Protección de lo sensible o cuando la naturaleza del dato no lo es todo
En la era de la información, el legislador europeo ha establecido un conjunto, cerrado, de tipologías de datos merecedoras de ser calificadas como especiales. Su existencia se funda en una doble convicción: ni todos los datos son igual de valiosos, ni su uso entraña el mismo nivel de riesgo.
Sin embargo, el modelo europeo de protección de lo sensible adolece de ciertos problemas y disonancias: carece de flexibilidad para proporcionar una respuesta jurídica adecuada a aquellos tratamientos que, sin utilizar datos sensibles, pueden entrañar un riesgo elevado de discriminación. Tampoco termina de explicar por qué todos los datos calificados como especiales tienen la misma condición, cuando el nivel de sensibilidad (y riesgo) puede ser muy diferente. Por si no fuese suficiente, la identificación de lo sensible está afectada por un problema de indeterminación aún mayor, y es que, en el contexto adecuado, casi cualquier dato personal puede ser considerado especial.
Esta monografía busca dar respuesta a estos desafíos. Para ello, se exponen una serie de propuestas en relación con las categorías especiales de datos. Para asegurar la validez y viabilidad de las medidas planteadas, se examinan, previamente, una serie de factores: la idiosincrasia del modelo europeo, la naturaleza del derecho fundamental a la protección de datos y las interrelaciones entre el dato y el tratamiento. Respecto de esta última variable, se apunta la necesidad de revisar el concepto de dato personal y dar un mayor peso al tratamiento.
CAPÍTULO PRIMERO
CONTEXTO, ESPACIO Y OBJETO
I. El contexto o cuando las circunstancias y el momento importan
1. La importancia de los orígenes y el camino recorrido
2. Los riesgos derivados de la automatización del tratamiento de la información
2.1. Nuevas tecnologías, nuevos desafíos. De las fichas perforadas a la
computación cuántica
2.2. Los riesgos de la informatización
2.2.1. La quiebra de lo reservado: de ciudadanos a consumidoresproductores
3. Las respuestas frente a la automatización en el tratamiento de la información
3.1. Los Warren y Brandeis de la década de los 60
3.2. La legislación y la jurisprudencia como factores configuradores del derecho
a la protección de datos
3.2.1. La legislación abre camino. La protección que dio fundamento al
derecho
3.2.2. El factor jurisprudencial y la consolidación del derecho a la
protección de datos
4. La externalidad, la reserva de lo privado y la contextualidad del derecho a la
protección de datos
II. Un espacio determinado: la Unión Europea
III. El objeto: la protección de las personas frente al uso de su información
CAPÍTULO SEGUNDO
UN DERECHO FUNDAMENTAL COMPLEJO
I. La Carta de Derechos Fundamentales como referencia
II. Un derecho con un contenido por definir
1. De los nombres y su importancia. Un concepto omnicomprensivo
2. El art. 6 del TUE y el art. 52 de la CDFUE como fundamentos interpretativos del art.
8 de la CDFUE
3. El objeto de los Reglamentos de protección de datos y la naturaleza del derecho
4. Interrogantes a solventar en torno a la naturaleza del art. 8 de la CDFUE
III. La caracterización del derecho a la protección de datos. La oscilante jurisprudencia del
TJUE
1. El «privacy thinking» del TJUE y el derecho a la protección de datos como
prohibición
2. El derecho a la protección de datos no es una prohibición
IV. El derecho a la protección de datos: un derecho de configuración legal
V. La protección de datos y el dominio de la proyección exterior. El derecho como poder de
control y disposición
1. Un bagaje jurisprudencial a considerar. La jurisprudencia creadora de los Tribunales
Constitucionales español y alemán
2. El derecho a la protección de datos como poder de control y disposición
3. Derechos fundamentales, poder de control y protección instrumental
3.1. La protección de los derechos y el derecho a la protección de datos
3.2. La relación entre el poder de control y la protección de los derechos. Las
dos opciones del modelo europeo
3.3. Una variante a considerar. La particularidad española
4. El poder de control y disposición y el resto de facultades y derechos no previstos en
la CDFUE
5. El problema del derecho del derecho
VI. La tutela jurídica de los datos personales. El derecho a la protección de datos en sentido
amplio y en sentido estricto
1. Las finalidades como factor delimitador y definidor de la naturaleza del derecho a la
protección de datos
2. El derecho fundamental a la protección de datos en su configuración europea
2.1. Un contenido dual
2.2. La unidad de lo dual
VII. El derecho fundamental a la protección de datos en su configuración europea
CAPÍTULO TERCERO
LA IDIOSINCRASIA DEL MODELO EUROPEO DE PROTECCIÓN DE DATOS:
PROACTIVIDAD Y PREVENCIÓN DE RIESGOS
I. La “europeización” del derecho a la protección de datos
1. Primeros pasos: La construcción del mercado interior como impulso
2. La armonización como herramienta: La Directiva 95/46/CE del Parlamento Europeo y
del Consejo, de 24 de octubre de 1995
II. El Reglamento General de Protección de Datos: la plasmación normativa de la cultura
jurídica europea
1. El RGPD, el buque insignia del modelo europeo de protección de datos
1.1. El necesario complemento estatal y la idiosincrasia del modelo
2. Los dos pilares del RGPD: La protección de los derechos y la libre circulación de la
información
3. Un ámbito de aplicación con aspiración de influencia global. La fuerza condicionante
del RGPD
4. Un modelo de resolución de conflictos
5. Los principios como elemento vertebrador del modelo de protección
III. El alma del Reglamento General de Protección de Datos: proactividad y riesgo
1. El responsable del tratamiento
2. La proactividad. Elemento central del modelo
3. El riesgo como factor modulador y condicionante del sistema
3.1. Medidas específicas de prevención de riesgos
3.1.1. Protección desde el diseño y por defecto
3.1.2. Notificación de violaciones de seguridad
3.1.3. Las evaluaciones de impacto
3.2. Medidas no exclusivamente vinculadas a la reducción del riesgo
4. Un modelo complejo e híbrido
IV. Reflejos de la idiosincrasia del modelo europeo en el ecosistema normativo europeo de
tratamiento de la información
1. Más allá del RGPD
2. Adecuación normativa a las finalidades y contextos del tratamiento
3. ¿Toda opción regulatoria debe ser proactiva?
4. Una mirada al futuro. La regulación de la Inteligencia Artificial
V. Un modelo eminentemente preventivo y proactivo
CAPÍTULO CUARTO
TRATAMIENTO FRENTE A DATO. O CUANDO EL CÓMO Y EL PARA QUÉ IMPORTAN
TANTO COMO EL QUÉ
I. Dato personal y tratamiento como objeto primario de estudio
II. El concepto de dato personal
1. Elementos clave
2. Información
3. Persona física
3.1. La “individualidad” de los datos
3.2. Sobre la “propiedad” de los datos
3.3. Los datos de las personas fallecidas
4. Identificada o identificable
4.1. Los dos extremos: identificado y anónimo (o dato no personal)
4.2. Problemas en torno a la anonimidad de la información
4.3. La identificabilidad
5. ¿Una ampliación del concepto?
5.1. El contenido, la finalidad y los efectos como variables identificativas
5.2. La interpretación restrictiva en el asunto YS
5.3. Nowak: las opciones se amplían
5.4. Consecuencias de la ampliación del concepto dato personal
5.4.1. El proceso de ampliación conceptual. Primeros pasos
5.4.2. El RGPD. Un modelo más acorde con una interpretación amplia
del concepto
III. El tratamiento y la protección frente a los riesgos
1. El tratamiento como elemento configurador del sistema de protección
2. La definición de tratamiento
3. La confirmación del riesgo como criterio determinante en la aplicación del derecho de
protección frente al tratamiento de la información personal
3.1. El ámbito de aplicación del RGPD como punto de partida
3.2. Tratamiento no automatizado de los datos personales
3.3. La exención doméstica
IV. Un concepto de dato personal para la era digital
1. El tratamiento como eje vertebral del derecho fundamental
2. El concepto de dato personal ante el espejo de su realidad
3. ¿Hacia una ampliación del concepto de dato personal?
4. La deseable ampliación del concepto de dato personal. El contexto como factor a
considerar
5. Una propuesta en consonancia con la idiosincrasia del modelo europeo de
protección de datos
6. Compatibilidad de la propuesta con el derecho fundamental a la protección de datos
CAPÍTULO QUINTO
LAS CATEGORÍAS ESPECIALES. EL RECONOCIMIENTO JURÍDICO DE LO SENSIBLE Y
EL MODELO DE PROTECCIÓN EUROPEO
I. Las categorías especiales de datos
II. El fundamento de las categorías especiales
1. No todos los datos son iguales
2. El difícil consenso sobre lo sensible
2.1. Los datos sobre condenas e infracciones penales. La particular
regulación europea
3. ¿Qué subyace a las categorías especiales?
3.1. Representación de los elementos más identificativos y sensibles de la
persona
3.2. Las bases de lo sensible: intimidad, alto riesgo y discriminación
3.2.1. Cuanto más privado, más sensible
3.2.2. Categorías sospechosas y derecho antidiscriminatorio
3.2.3. El alto riesgo: el factor con mayor alcance
III. El reconocimiento jurídico de lo sensible. Modelos de protección
1. El contenido y las categorías de datos predefinidas. La seguridad aplicativa como
valor
2. La realidad del tratamiento determina la naturaleza del dato. El contexto como
identificador
3. La protección jurídica de los supuestos dudosos y la importancia del contexto
3.1. El contexto como identificador de lo sensible
IV. El modelo europeo de protección de los datos especiales
1. El régimen jurídico de los datos especiales en el RGPD. La prohibición como
premisa
2. Dos modos de afrontar la habilitación del RGPD. El modelo español y el alemán
2.1. España
2.2. Alemania
V. La dificultad ¿insuperable?: la identificación de lo sensible en el rgpd
1. El contexto y las características del tratamiento como factor condicionante
2. Lo que el modelo actual de protección de lo sensible no termina de responder
CAPÍTULO SEXTO
DOS MODELOS ALTERNATIVOS DE PROTECCIÓN DE LO SENSIBLE
I. Una propuesta moderada. Ajustar el modelo sin alterarlo en exceso
1. De los datos especiales a los tratamientos especiales
2. Carencias de la propuesta
II. Una propuesta más rupturista: El fin de las categorías especiales
1. La sustitución de las categorías especiales por un modelo de protección riesgos
racionalizado
2. Viabilidad de la propuesta
2.1. Una propuesta acorde con el modelo europeo de proactividad y riesgo
2.2. Compatibilidad con el derecho fundamental a la protección de datos
2.3. No entraña un menor nivel de protección
REFERENCIAS BIBLIOGRÁFICAS