Luis Arancibia Medina
Abogado
luiarme@gmail.com

 

Introducción.

En otro artículo nos hemos referido al significado del Reglamento Europeo de Protección de Datos, también conocido como GDPR.[1] [2]

Para avanzar en la comprensión de la normativa europea, es preciso entregar algunas orientaciones respecto del ámbito de aplicación del nuevo estatuto, lo cual es un análisis esencial y necesario para fijar los supuestos, condiciones y requisitos de la regulación de que se trata. La configuración precisa del marco normativo facilitará el abordaje de los casos en los cuales la norma podrá tener aplicación respecto de aquellas situaciones que quedarán excluidas.

A casi dos meses de la vigencia del Reglamento Europeo de Protección de Datos, se ha podido detectar un alto interés de la comunidad de abogados y, muy especialmente, de las empresas chilenas que tienen intereses económicos en la Unión Europea por las implicancias jurídicas que puede tener para ellas las normas sobre protección de datos que entraron en vigencia el reciente 25 de mayo.[3]  [4]

Junto a la circunstancia de la potencial aplicabilidad del GDPR a intereses chilenos en la Unión Europea, la entrada en vigencia de la norma ocurre en un contexto donde el tema de la protección de datos es parte de la agenda pública en Chile. [5] Por un lado, está en tramitación el proyecto de la nueva ley de protección de datos y, por otro, ha ocurrido un cambio sustantivo en la materia al aprobarse, el 15 de mayo de 2018, el proyecto de reforma a la Constitución que agrega al numeral 4° del artículo 19 el que la Carta Fundamental asegura a todas las personas el derecho a la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley. [6]

El esclarecimiento del encuadre normativo del GDPR no solo contribuirá a la precisión de sus efectos e impacto jurídico, sino que también aportará a la interpretación de la norma frente a la situaciones concretas en las que su aplicación tendrá lugar.

Para el tratamiento del ámbito de aplicación del Reglamento Europeo de Protección de Datos distinguiremos entre ámbito de aplicación material y ámbito de aplicación territorial. En este artículo nos referiremos al desarrollo del ámbito de aplicación material del GDPR.

 

  1. Ámbito de aplicación material.

De acuerdo al nro.1 del artículo 2º, el Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

El artículo 2° del Reglamento, junto con fijar el ámbito de aplicación de sus normas, enumera también un conjunto de exclusiones, las que se refieren a situaciones de excepción propiamente tales o a casos que tienen una regulación especial y distinta. [7]

Sin perjuicio de la existencia de dichas situaciones de excepción, en este artículo abordaremos solamente del objeto preciso de la regulación. Esto es, del tratamiento total o parcialmente automatizado de datos personales y a los casos en que el tratamiento no automatizado de los mismos queda cubierto por la regulación del Reglamento.

 

  1. Ejes de la aplicación material del GDPR.

Para comprender el ámbito de aplicación material del Reglamento es preciso atender a la regulación de dos conceptos fundamentales: (a) datos personales y (b) tratamiento de datos personales.

Recurriremos al artículo 4º del Reglamento, el cual está dedicado a fijar definiciones de distintos conceptos necesarios para delimitar qué debe entenderse por cada uno de ellos en el contexto de su regulación. [8]

2.1.      Datos personales.

Para el Reglamento (número 1 del art. 4º) datos personales son toda información sobre una persona física identificada o identificable («el interesado”). Agrega que, se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. [9]

2.1.1.   Datos personales de las personas físicas.

El sujeto de la tutela es la persona física y en este sentido, la protección otorgada por el Reglamento debe entenderse que aplica a ellas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. Por otro lado, el GDPR no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto. [10]

 2.1.2.   Calificación del dato personal.

La característica que hace que los datos tengan la calidad de personales es que se refieran a una persona física, que la identifiquen o que la hagan identificable. El atributo de identificable encierra la posibilidad de que la identidad del interesado pueda determinarse, directa o indirectamente, por medio de cualquiera información referida a su identidad física, fisiológica, genética, psíquica, económica, cultural o social. Por tanto, los datos son personales si la identificación de la persona es posible en función de los datos disponibles, es decir, si una persona puede ser detectada, directa o indirectamente, por referencia a un identificador. Así, son ejemplo de datos personales un nombre y apellido; una dirección de casa; una dirección de correo electrónico como name.surname@company.com; un número de tarjeta de identificación; datos de ubicación (por ejemplo, la función de datos de ubicación en un teléfono móvil); una dirección de protocolo de internet (IP); datos en manos de un hospital o un médico, que podrían ser un símbolo que identifique de manera única a una persona. [11]

2.1.3.   Alcances de la identificabilidad.

Queda abarcado por este concepto de identificabilidad, por ejemplo, el hecho que las personas físicas puedan ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Cualquiera de estos mecanismos puede dejar huellas las que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas. [12]

2.1.4.   Criterio para establecer la identificabilidad.

En este aspecto el GDPR está inspirado en la concepción de que: “Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.” [13]

La probabilidad razonable de identificabilidad es un criterio que puede anticiparse, desde ya, polémico. Puede suceder que la mera e hipotética posibilidad de singularizar a un individuo no sea suficiente para considerar a la persona como “identificable”. De ahí que el mismo Reglamento contribuya a orientar acerca de la determinación de la probabilidad razonable: debe atenderse a factores objetivos, como el costo y tiempo necesarios para la identificación, habida cuenta de la tecnología disponible y los avances tecnológicos.

2.1.5.   Datos excluidos.

El Reglamento no aplica a los datos personales de una persona fallecida[14] y tampoco a los datos anonimizados. Un dato anonimizado es información que no se relaciona con los datos personales de un interesado que sea identificado o identificable y la persona no es o ya no será identificable. Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. Cabe anotar para que los datos sean verdaderamente anónimos, la anonimización debe ser irreversible. [15] El Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación. [16]

2.1.6.  Los datos seudonimizados

De acuerdo al nro. 5 del art. 4, se entiende por «seudonimización» el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

El procedimiento descrito es una herramienta común para evitar la posibilidad de identificar a un individuo a través de los datos. La seudonimización al ser el procesamiento de datos personales de manera que ellos ya no puedan atribuirse a un sujeto específico sin el uso de información adicional, supone la posibilidad de que exista un reemplazo en el nombre u otras características con ciertos indicadores. La información adicional que potencialmente permita la identificación debe mantenerse por separado. Además, la seudonimización debe garantizarse mediante medidas técnicas y organizativas adicionales.

Es importante atender a la importancia que tiene este tipo especial de tratamiento de datos personales, puesto que puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos.  Sin embargo, la introducción explícita de la «seudonimización» en el GDPR no pretende excluir ninguna otra medida relativa a la protección de los datos. [17]

Finalmente, para incentivar la aplicación de la seudonimización en el tratamiento de datos personales, debe ser posible establecer medidas de seudonimización, permitiendo al mismo tiempo un análisis general, por parte del mismo responsable del tratamiento, cuando éste haya adoptado las medidas técnicas y organizativas necesarias para garantizar que se aplique el presente Reglamento al tratamiento correspondiente y que se mantenga por separado la información adicional para la atribución de los datos personales a una persona concreta. El responsable que trata datos personales debe indicar cuáles son sus personas autorizadas. [18]

2.1.7.   Datos anónimos vs. datos seudonimizados.

Cabe agregar que, a diferencia de los datos anónimos, los datos seudonimizados aún se encuentran dentro del ámbito de aplicación del Reglamento, ya que el riesgo de reidentificación es mayor con éstos últimos, en contraste con los primeros.

Al tenor de lo expresado, la seudonimización es una medida para que controladores o procesadores cumplan con sus obligaciónes de protección en virtud del GDPR y de esa manera facilitar el cumplimiento de la norma. En este sentido, la seudonimización constituye una medida apropiada para lograr la protección de datos a través de la tecnología; puede disminuir el riesgo potencial del procesamiento de tal manera que el controlador no estará obligado a notificar una violación de datos personales con respecto a los datos seudonimizados, junto con poder constituir garantía suficiente para justificar un cambio en el propósito del procesamiento de datos. [19]


2.2.     El tratamiento de los datos personales.

El nro. 2 del art. 4 define «tratamiento» como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

La redacción amplia y no exhaustiva del concepto pretende evitar el riesgo de elusión de las normas de protección y autonomizar el concepto de un determinado estado de cosas tecnológico. Es así que para impedir la elusion, la protección de las personas debe ser tecnológicamente neutral y no debe depender de las técnicas utilizadas. [20]

Se incluye en la definición el procesamiento llevado a cabo total o parcialmente por medios automáticos, lo que significa cualquier procesamiento en que ciertos pasos son llevados a cabo por individuos, tales como ingresar datos en un sistema de computación. [21] La definición amplia incluye también el uso a corto plazo de pequeñas cantidades de datos personales. [22]

El tratamiento de los datos es el concepto pivotal para determinar el ámbito de aplicación material del Reglamento, dado que para que un dato personal sea susceptible de protección debe ser objeto de tratamiento total o parcial. De ahí que sea posible sostener que podríamos estar ante datos de caracter personal, sin obligación de cumplir con la norma que a ellos se refiere, porque no estamos ante un tratamiento de datos en el sentido del concepto del GDPR. [23]

Por otra parte, por definición el procesamiento manual de datos se considera “tratamiento” bajo el GDPR. En contraste con el procesamiento automatizado, el procesamiento manual está siendo ejecutado completamente por humanos sin usar herramientas o máquinas. De acuerdo al art. 2º, el Reglamento aplica al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero o sistema de archivo. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito del Reglamento. [24]

2.2.1.   La limitacion del tratamiento de los datos personales.

Esta es una novedad del Reglamento.  Es así que el nro. 3 del artículo 4 define la limitación del tratamiento como el marcado de los datos de caracter personal conservados con el fin de limitar su tratamiento en el futuro.

La importancia del concepto consiste en que el artículo 18 del Reglamento reconoce a favor de los interesados el derecho a la limitación del tratamiento, el cual consiste en la facultad de obtener del responsable del tratamiento el marcado de determinados datos personales en determinadas condiciones. Uno de esos casos será que un interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.[25]

A nivel metodológico, entre los mecanismos para limitar el tratamiento de datos personales cabría incluir los consistentes en trasladar temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso de usuarios a los datos personales seleccionados o en retirar temporalmente los datos publicados de un sitio en internet. En los ficheros automatizados la limitación del tratamiento debe realizarse, en principio, por medios técnicos, de forma que los datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el tratamiento de los datos personales esté limitado debe indicarse claramente en el sistema.[26]


 

[1] Véase, http://www.laleyaldia.cl/?p=4196  (Cita Westlaw CL/DOC/596/2018)

[2] Agradezco los valiosos comentarios brindados al borrador de este artículo por el Ingeniero Luis Cárdenas Graide.

[3] En este sentido, VELASCO: “Sin ir más lejos, el debut de la nueva y estricta normativa europea […] apunta precisamente a la fiscalización y aplicación extraterritorial de sanciones fuera de Europa, que podría afectar incluso a las compañías chilenas que hagan tratamiento de datos de ciudadanos europeos.” (http://www.elmercurio.com/blogs/2018/04/21/59644/Datos-personales-y-Facebook.aspx); LAVADOS: “El GDPR aplica a empresas con negocios en la Unión Europea y a aquellas que procesen datos de residentes o nacionales de países de la Unión. Por lo tanto, el reglamento aplicará a empresas con presencia en Chile, en cuanto caigan en alguna de estas hipótesis. Estamos hablando principalmente de multinacionales. Y más allá de ese efecto directo, la GDPR se ha establecido como un modelo de regulación sobre privacidad que será implementado por la mayoría de las empresas, como un estándar mundial. (Diario Financiero, 16/4/2018, pp. 12-13); también, BARDÓN, en http://portal.nexnews.cl/showN?valor=MjEwNzE5MU4yVTEwMjkwMTYxMzgxNjczNDE2NTQ2MTY5MzA5MDk4MTEyOTgxMDkwMDEwODk2MTA0OTAxMzM0MjkwOTZDNTU1NTU1NDU1NTU1NA==.

[4] De este asunto del se ha ocupado un reciente seminario (31 de mayo) de la Cámara Chileno Alemana de Comercio la cual, bajo el título de “Cómo afectará a las empresas chilenas la entrada en vigencia del Reglamento Europeo”, sostiene que uno de los requerimientos del GDPR es que las personas y/o empresas situadas fuera de la UE cumplan con una variedad de obligaciones legales, tales como las condiciones para tratar datos de los residentes de dicha región, respetar principios cardinales, implementar medidas organizacionales, etc., para no verse sometidos a eventuales sanciones.” Véase: https://welcu.com/socios-camchal/90mins-proteccion-datos

[5] Cabe agregar como otro elemento de contexto el que la Unión Europea eligió a Santiago de Chile, conjuntamente con Bruselas y Nueva Delhi, como una de las 3 capitales mundiales para difundir el GDPR en el Seminario: “La Unión Europea y América Latina. La convergencia  como oportunidad”. (25 de mayo) Ver: https://eeas.europa.eu/delegations/chile/45217/expertos-internacionales-en-protecci%C3%B3n-de-datos-se-re%C3%BAnen-en-chile_es

[6] LEY NÚM. 21.096 del 5 de junio de 2018.

[7] En las excepciones contenidas en el artículo 2º , el GDPR no aplica al tratamiento de datos personales:

  1. en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
  2. por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del Título V del TUE (Tratado de la Unión Europea);
  3. efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
  4. por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la segurida pública y su prevención

[8]  El art. 4º contiene 26 definiciones frente a las ocho que recogía la Directiva 95/46/CE. Tales conceptos, en algunos casos corresponden a novedades que introduce el Reglamento, incluidos casos en los cuales se ha agregado o modificado los términos de la Directiva. En este sentido, tanto las novedades introducidas en las definiciones que ya recogía la Directiva, como las definiciones de los nuevos términos elegidos clarifican y ayudan a la aplicación del nuevo régimen jurídico que el Reglamento incorpora. Así, ARIAS POU, María. Definiciones y efectos del Reglamento General de Protección de Datos. En Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad. (2016), Madrid, Reus, p.116.

[9] El Reglamento agrega nuevas formas desarrolladas por la tecnología que permiten llegar a identificar a una persona y que están vinculadas con desarrollos de aplicaciones móviles o con el desarrollo del Internet de las Cosas, por ejemplo, donde la información de usuario que se maneja por el responsable responde a un identificador de usuario único o metadatos. (ARIAS POU, op. cit. p. 118)

[10] Considerando 14 del GDPR. En adelante, haremos referencia solamente al número de considerando respectivo, debiendo entenderse que se hace alusión de los “recitals” del Reglamento.

[11] Ejemplos obtenidos del sitio https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en

[12] Considerando 30.

[13] Considerando 26.

[14] Los Estados de la Unión son competentes para establecer normas relativas al tratamiento de los datos personales de las personas fallecidas  (Considerando 27).

[16] Considerando 26, parte final.

[17] Considerando 28.

[18]  Considerando 29.

[19]  VOIGT, Paul; von dem BUSSCHE, Axel. The EU General Data Protection Regulation (GDPR). A practical guide. (2017), p. 15.

[20]  Considerando 15, primera parte.

[21]  Ejemplo de lo dicho sería el procesamiento de datos personales mediante uso de computadoras, teléfonos inteligentes, cámaras web, dashboards, drones de cámara, etc. (VOIGT, op. cit., p.10)

[22]  Datos personales que se almacenan forma inmediata en un sistema informático, como la memoria caché de un navegador; datos personales que se muestran en la pantalla de una computadora. (VOIGT, ibid.p.10)

[23]  En este sentido, ARIAS POU, op. cit. p. 120.

[24] Considerando 15, parte final. El GDPR no define cuáles son esos criterios específicos. VOIGT agrega que, dada la legislación previa y la manera amplia de interpretación del GDPR, por ejemplo, los archivos organizados de acuerdo con categorías predeterminadas (orden alfabético) deben cumplir con esas condiciones. (Ibid., p. 12)

[25]  Veáse el artículo 18 del Reglamento que contempla un catálogo amplio de situaciones que legitiman el derecho a la limitación del tratamiento.

[26] Considerando 67.