Lectura pública del tema
1. Normativa reguladora de la protección de datos personales
1. Normativa reguladora de la protección de datos personales
🎯 Idea clave
- El artículo 18.4 de la Constitución Española establece la base constitucional del derecho fundamental a la protección de datos personales, limitando el uso de la informática para garantizar el honor y la intimidad.
- El marco normativo principal se compone del Reglamento (UE) 2016/679, conocido como RGPD, y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- El RGPD es directamente aplicable en todos los Estados miembros de la Unión Europea y configura el régimen general completo de la materia.
- La LOPDGDD adapta el ordenamiento español al RGPD, concreta aspectos remitidos a la legislación nacional y regula específicamente las garantías de derechos digitales.
- En el ámbito de la Seguridad Social, los organismos gestores (INSS, TGSS e ISM) actúan como responsables del tratamiento sujetos íntegramente a estas normativas.
📚 Desarrollo
Fundamento constitucional. El artículo 18.4 de la Constitución Española dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos. La jurisprudencia constitucional ha construido sobre este precepto el derecho fundamental a la protección de datos personales, distinto aunque estrechamente relacionado con el derecho a la intimidad.
Normativa europea. El Reglamento (UE) 2016/679, conocido como RGPD, constituye el pilar fundamental del marco normativo. Es directamente aplicable en los Estados miembros de la Unión Europea y establece el régimen general de principios, bases de legitimación, derechos, obligaciones, responsabilidad proactiva, seguridad, transferencias internacionales, autoridades de control y sanciones.
Normativa española. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) adapta el ordenamiento español al RGPD. Su función es concretar determinados aspectos dejados al derecho nacional por el Reglamento y regular las garantías de derechos digitales.
Relación entre normas. El RGPD prevalece como norma de origen europeo directamente aplicable, mientras que la LOPDGDD desarrolla y complementa aquellos aspectos que el propio Reglamento remite a la legislación nacional. Ambos textos forman un marco integrado y coherentemente aplicable.
Aplicación específica. En el ámbito de la Administración de la Seguridad Social, los organismos gestores (INSS, TGSS e ISM) actúan como responsables del tratamiento respecto a sus ficheros. Están sujetos a todas las obligaciones del RGPD y la LOPDGDD, incluyendo la designación obligatoria de Delegado de Protección de Datos.
Datos sensibles. La Seguridad Social gestiona tratamientos de datos particularmente sensibles, incluyendo datos de salud en expedientes de incapacidad temporal y permanente, que constituyen categorías especiales sujetas a garantías reforzadas dentro del marco normativo descrito.
🧩 Elementos esenciales
- Artículo 18.4 CE: Base constitucional que limita el uso de la informática para proteger el honor y la intimidad personal y familiar de los ciudadanos.
- RGPD (Reglamento UE 2016/679): Norma europea directamente aplicable que regula el tratamiento de datos personales en todo el territorio de la Unión.
- LOPDGDD (Ley Orgánica 3/2018): Norma española que adapta el ordenamiento interno al RGPD y regula específicamente los derechos digitales.
- Derecho fundamental: La protección de datos personales tiene rango de derecho fundamental derivado del artículo 18.4 CE según la jurisprudencia constitucional.
- Direct aplicability: El RGPD se aplica directamente en España sin necesidad de desarrollo legislativo nacional previo.
- Responsable del tratamiento: En la Seguridad Social, los organismos gestores (INSS, TGSS, ISM) asumen esta condición respecto a sus respectivos ficheros.
- Delegado de Protección de Datos: Figura obligatoria en la Administración de la Seguridad Social según el marco normativo vigente.
- Categorías especiales de datos: Incluyen datos de salud tratados por el INSS en expedientes de incapacidad, sujetos a garantías reforzadas.
- Protección de datos vs intimidad: El derecho a la protección de datos es distinto aunque relacionado con el derecho a la intimidad personal y familiar.
🧠 Recuerda
- El artículo 18.4 CE es la base constitucional de la protección de datos como derecho fundamental.
- El RGPD y la LOPDGDD forman el marco normativo principal aplicable.
- El RGPD es directamente aplicable en todos los Estados miembros de la Unión.
- La LOPDGDD adapta el derecho español al RGPD y desarrolla los derechos digitales.
- La Seguridad Social gestiona datos altamente sensibles sujetos a este marco normativo.
- Los organismos gestores (INSS, TGSS, ISM) son responsables del tratamiento.
- La designación de Delegado de Protección de Datos es obligatoria en la Seguridad Social.
- Los datos de salud en expedientes de incapacidad constituyen categorías especiales con protección reforzada.
- El acceso a información con contenido personal en Seguridad Social está subordinado al régimen de protección de datos.
- La confidencialidad es especialmente relevante en el ámbito de la Seguridad Social por la sensibilidad de los datos tratados.
2. Principios, derechos de las personas y ejercicios de los derechos
2. Principios, derechos de las personas y ejercicios de los derechos
🎯 Idea clave
- El artículo 5 del RGPD establece diez principios vinculantes que deben regir simultáneamente todo tratamiento de datos personales.
- Los ciudadanos disponen de un catálogo de derechos ARCO+ que abarca información, acceso, rectificación, supresión, oposición, limitación, portabilidad y protección ante decisiones automatizadas.
- El ejercicio de derechos debe realizarse ante el responsable del tratamiento con un plazo general de respuesta de un mes, prorrogable a dos en casos complejos.
- En la Administración pública, la base jurídica habitual no es el consentimiento, sino la obligación legal, el interés público o el ejercicio de poderes públicos.
- La supresión y oposición pueden encontrar límites en el sector público cuando existan obligaciones legales de conservación o tratamientos administrativos obligatorios.
📚 Desarrollo
Principios del tratamiento. El artículo 5 del RGPD configura el núcleo de la protección de datos mediante diez principios: licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva. Estos principios operan de forma conjunta, de modo que no basta una finalidad legítima si concurren vicios en otros principios como la minimización o la exactitud.
Derechos ARCO+. La normativa reconoce derechos de información, acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad y a no ser objeto de decisiones individuales automatizadas. El derecho de acceso permite conocer si se tratan datos personales y obtener información sobre el tratamiento, diferenciándose del acceso al expediente administrativo, que se rige por normas procedimentales y debe proteger datos de terceros.
Información y transparencia. El derecho de información obliga a facilitar datos sobre la identidad del responsable, fines del tratamiento, base jurídica, destinatarios, plazo de conservación y derechos del interesado. La LOPDGDD admite sistemas de información por capas, combinando información básica inmediata con detalles adicionales de acceso sencillo.
Rectificación y supresión. El derecho de rectificación permite corregir datos inexactos o completar información incompleta, pudiendo exigirse documentación acreditativa. El derecho de supresión faculta para solicitar la eliminación cuando los datos ya no sean necesarios o se hayan tratado ilícitamente, aunque en el sector público puede limitarse por obligaciones legales de conservación, archivo o ejercicio de potestades.
Oposición y limitación. El derecho de oposición permite oponerse a tratamientos basados en misión de interés público o ejercicio de poderes públicos por motivos relacionados con la situación particular del interesado, salvo motivos legítimos imperiosos. La limitación del tratamiento implica bloquear los datos, que solo podrán tratarse en condiciones restringidas para el ejercicio de reclamaciones o la protección de derechos, sin equivaler a su borrado definitivo.
Ejercicio de derechos. Los derechos se ejercen ante el responsable del tratamiento resultando gratuito con carácter general. El plazo de respuesta es de un mes, prorrogable a dos meses en supuestos complejos previa notificación al interesado. En tratamientos administrativos obligatorios, la oposición puede no prosperar cuando la ley impone el tratamiento de los datos.
🧩 Elementos esenciales
- Principio de licitud, lealtad y transparencia: Exige base jurídica válida, ausencia de engaño y comprensibilidad para el interesado sobre quién trata sus datos y con qué finalidad.
- Principio de limitación de la finalidad: Los datos deben recogerse para fines determinados, explícitos y legítimos, sin tratamientos ulteriores incompatibles con esos fines.
- Principio de minimización: Solo se deben solicitar datos adecuados, pertinentes y limitados a lo estrictamente necesario para los fines previstos.
- Derecho de acceso: Faculta a conocer si se tratan datos personales propios y obtener información detallada del tratamiento, distinguiéndose del acceso al expediente administrativo.
- Derecho de rectificación: Permite corregir datos inexactos y completar los incompletos, pudiendo requerirse documentación acreditativa según el caso.
- Derecho de supresión (olvido): Posibilita solicitar la eliminación de datos cuando ya no sean necesarios, resulten ilícitos o se oponga el interesado, salvo obligaciones legales de conservación.
- Derecho de oposición: Posibilita oponerse al tratamiento por motivos relacionados con la situación particular, salvo que existan motivos legítimos imperiosos o sea necesario para reclamaciones.
- Derecho de limitación: Supone el bloqueo de datos para impedir su tratamiento ordinario, manteniéndose solo para el ejercicio de reclamaciones, la protección de derechos o verificar la oposición.
- Derecho de portabilidad: Faculta a recibir los datos personales en formato estructurado, de uso común y lectura mecánica para transmitirlos a otro responsable sin impedimentos.
- Plazo de respuesta: Un mes desde la solicitud, prorrogable a dos meses en casos complejos, debiendo informarse al interesado de dicha prórroga y sus motivos.
- Gratuidad: El ejercicio de derechos es gratuito con carácter general, sin perjuicio de costos razonables por solicitud de copias adicionales cuando procedan.
🧠 Recuerda
- Los diez principios del artículo 5 del RGPD son examinables y deben cumplirse simultáneamente; no basta una finalidad legítima.
- El acceso a datos de protección de datos se centra en información personal propia, diferenciándose del acceso al expediente administrativo.
- En la Administración, la base jurídica es habitualmente el interés público u obligación legal, no el consentimiento del interesado.
- La supresión puede limitarse por obligaciones de conservación legal, archivo o ejercicio de potestades en el sector público.
- La limitación del tratamiento implica bloqueo restrictivo, no eliminación definitiva de los datos.
- El plazo general de respuesta es de un mes, prorrogable a dos en casos complejos previa notificación.
- El ejercicio es gratuito y debe dirigirse ante el responsable del tratamiento.
- La LOPDGDD admite sistemas de información por capas para garantizar la transparencia sin saturar al interesado.
- El derecho de oposición puede no prosperar en tratamientos administrativos obligatorios establecidos por ley.
- La confidencialidad adquiere relevancia especial en el ámbito de la Seguridad Social por la sensibilidad de los datos tratados.