LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 11:17:23

LegalToday

Por y para profesionales del Derecho

Sobre el ámbito de aplicación material del Reglamento General de Protección de Datos

La fecha de aplicación del Reglamento General de Protección de Datos o RGPD, el pasado 25 de mayo de este año, no ha pasado precisamente desapercibida para nadie. Aunque se trata de una norma publicada hace más de dos años, existen todavía grandes incertidumbres respecto de muchas de las cuestiones que regula y la sensación de que su aplicación e interpretación es muy diferente por parte de las distintas autoridades de control europeas.

Protección datos

Uno de los aspectos que puede generar dudas es su ámbito material de aplicación, regulado en el artículo 2. De una interpretación literal de lo dispuesto en su apartado primero parece deducirse que el RGPD se aplica a los tratamientos automatizados o parcialmente automatizados de datos personales, independientemente de si figuran o no (o están destinados a ser incluidos) en una base de datos estructurada con arreglo a criterios específicos, quedando esta exigencia de pertenencia a un fichero estructurado limitada a los datos tratados únicamente de forma no automatizada. 

Una interpretación muy diferente

El Considerando 15 del RGPD, sin embargo, propone una interpretación muy diferente del precepto y aclara que: "[…]. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento."

Es decir, el tratamiento de datos de forma automatizada que no se produce en el marco de un fichero estructurado podría quedar al fuera del alcance material del RGPD.

Por su parte, el artículo 4 del RGPD indica que estaremos ante un tratamiento de datos personales siempre que "operemos" con datos relativos a una persona física identificada o identificable. No obstante, cabe plantearse si toda acción u omisión que afecte a un dato personal que figura en un fichero estructurado debe ser considerada un tratamiento de datos personales sujeto al RGPD. Por ejemplo, ¿estamos tratando los datos personales incorporados en texto corrido a los mensajes de correo electrónico que archivamos de forma estructurada sólo en función de su procedencia, su emisor, etc.? Es decir, ¿resulta irrelevante a qué datos se aplica la estructura del fichero a los fines de establecer si estamos tratando esos datos o no? Si así fuera, se podrían producir situaciones un tanto kafkianas, como que la persona sobre la que se escribe una biografía (no su autor) pueda acudir a cualquiera que incluya dicho libro en un fichero estructurado (por ejemplo, una librería) y ejercitar sus derechos de acceso.

Perspectiva dinámica

Nuestro Tribunal Supremo, aplicando el régimen de protección de datos anterior, ya aclaró en su sentencia de 19 de septiembre de 2008 [RJ 20085475]) que "[…] la Ley concibe los ficheros desde una perspectiva dinámica de tal forma que los concibe no sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados […]".  Es decir, no basta con que los datos figuren o estén almacenados en un fichero estructurado para que estemos ante un tratamiento de datos protegido por la ley. Nuestro Tribunal Supremo parece sugerir que resulta necesario, además, aplicar algún proceso (realizar alguna operación consciente) sobre los datos personales para que éstos puedan considerarse integrados en un fichero sujeto a la protección que otorga la normativa de protección de datos.

Así, en función de lo anterior, en un fichero de correos electrónicos, los datos que forman parte de ese fichero y que deben entenderse objeto de tratamiento serán únicamente aquellos sobre los que se apliquen procesos o aplicaciones informáticas (e. g. nombre y/ o dirección de correo del emisor) y no aquellos que se incluyen en texto corrido en los mensajes de correo electrónico (e. g. sujetos identificados en el texto del mensaje: "hablé ayer con Francero Yecra y me dijo…").

A la luz de lo que se indica en el Considerando 15 del RGPD y de que su artículo 2.1 replica el artículo 3.1 de la Directiva 95/46/CE en cuanto a su alcance material, tampoco parece que el criterio expresado por nuestro Tribunal Supremo necesite ser corregido. Por amplia que la definición de tratamiento incluida en el artículo 4 del RGPD nos pueda parecer, el mero hecho de que un dato personal figure en una base de datos no significa que se esté llevando a cabo un tratamiento de ese dato. Podríamos distinguir en este punto, quizá, entre lo que podríamos denominar tratamiento activo o dinámico de datos personales y tratamiento pasivo o estático de datos personales, quedando referido, en principio, el tratamiento al que se refiere el RGPD, al primero de ellos únicamente.

Por otro lado, seguir esta interpretación del concepto de tratamiento no significaría que los datos personales objeto de tratamiento pasivo quedasen desprotegidos por completo. Muy al contrario, en la práctica, se trataría de datos personales que se seguirían beneficiando, siempre y en todos los casos, de la protección aplicada al fichero estructurado al que han sido incorporados.

En cualquier caso, habrá que esperar a que las autoridades de protección de datos y, en su caso, los tribunales, se pronuncien respecto a esta cuestión en el marco de la aplicación del RGPD para contar con un criterio interpretativo sólido que aporte seguridad jurídica en esta materia.

Si quieres disponer de toda la información y la opinión jurídica para estar al día, no pierdas
de vista a Actualidad Jurídica Aranzadi

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

RECOMENDAMOS