La protección de los sensible, o cuando la naturaleza del dato no lo es todo
- ISBN: 9788411694230
- Editorial: Editorial Tirant lo Blanch
- Fecha de la edición: 2023
- Lugar de la edición: Valencia. España
- Colección: Monografías
- Encuadernación: Rústica
- Medidas: 22 cm
- Nº Pág.: 420
- Idiomas: Español
En la era de la información, el legislador europeo ha establecido un conjunto, cerrado, de tipologías de datos merecedoras de ser calificadas como especiales. Su existencia se funda en una doble convicción: ni todos los datos son igual de valiosos, ni su uso entraña el mismo nivel de riesgo. Sin embargo, el modelo europeo de protección de lo sensible adolece de ciertos problemas y disonancias: carece de flexibilidad para proporcionar una respuesta jurídica adecuada a aquellos tratamientos que, sin utilizar datos sensibles, pueden entrañar un riesgo elevado de discriminación. Tampoco termina de explicar por qué todos los datos calificados como especiales tienen la misma condición, cuando el nivel de sensibilidad (y riesgo) puede ser muy diferente. Por si no fuese suficiente, la identificación de lo sensible está afectada por un problema de indeterminación aún mayor, y es que, en el contexto adecuado, casi cualquier dato personal puede ser considerado especial.
Esta monografía busca dar respuesta a estos desafíos. Para ello, se exponen una serie de propuestas en relación con las categorías especiales de datos. Para asegurar la validez y viabilidad de las medidas planteadas, se examinan, previamente, una serie de factores: la idiosincrasia del modelo europeo, la naturaleza del derecho fundamental a la protección de datos y las interrelaciones entre el dato y el tratamiento. Respecto de esta última variable, se apunta la necesidad de revisar el concepto de dato personal y dar un mayor peso al tratamiento.
Capítulo Primero
CONTEXTO, ESPACIO Y OBJETO
I. El contexto o cuando las circunstancias y el momento importan 35
1. La importancia de los orígenes y el camino recorrido 35
2. Los riesgos derivados de la automatización del tratamiento de la información 43
2.1. Nuevas tecnologías, nuevos desafíos. De las fichas perforadas a la computación cuántica 43
2.2. Los riesgos de la informatización 47
2.2.1. La quiebra de lo reservado: de ciudadanos a consumidores-productores 53
3. Las respuestas frente a la automatización en el tratamiento de la información 58
3.1. Los Warren y Brandeis de la década de los 60 58
3.2. La legislación y la jurisprudencia como factores configuradores del derecho a la protección de datos 60
3.2.1. La legislación abre camino. La protección que dio fundamento al derecho 62
3.2.2. El factor jurisprudencial y la consolidación del derecho a la protección de datos 75
4. La externalidad, la reserva de lo privado y la contextualidad del derecho a la protección de datos 80
II. Un espacio determinado: la Unión Europea 84
III. El objeto: la protección de las personas frente al uso de su información 87
Capítulo Segundo
UN DERECHO FUNDAMENTAL COMPLEJO
I. La Carta de Derechos Fundamentales como referencia 91
II. Un derecho con un contenido por definir 97
1. De los nombres y su importancia. Un concepto omnicomprensivo 97
2. El art. 6 del TUE y el art. 52 de la CDFUE como fundamentos interpretativos del art. 8 de la CDFUE 100
3. El objeto de los Reglamentos de protección de datos y la naturaleza del derecho 108
4. Interrogantes a solventar en torno a la naturaleza del art. 8 de la CDFUE 110
III. La caracterización del derecho a la protección de datos. La oscilante jurisprudencia del TJUE 112
1. El «privacy thinking» del TJUE y el derecho a la protección de datos como prohibición 112
2. El derecho a la protección de datos no es una prohibición 119
IV. El derecho a la protección de datos: un derecho de configuración legal 123
V. La protección de datos y el dominio de la proyección exterior. El derecho como poder de control y disposición 126
1. Un bagaje jurisprudencial a considerar. La jurisprudencia creadora de los Tribunales Constitucionales español y alemán 126
2. El derecho a la protección de datos como poder de control y disposición 128
3. Derechos fundamentales, poder de control y protección instrumental 131
3.1. La protección de los derechos y el derecho a la protección de datos 131
3.2. La relación entre el poder de control y la protección de los derechos. Las dos opciones del modelo europeo 134
3.3. Una variante a considerar. La particularidad española 138
4. El poder de control y disposición y el resto de facultades y derechos no previstos en la CDFUE 140
5. El problema del derecho del derecho 142
VI. La tutela jurídica de los datos personales. El derecho a la protección de datos en sentido amplio y en sentido estricto 143
1. Las finalidades como factor delimitador y definidor de la naturaleza del derecho a la protección de datos 143
2. El derecho fundamental a la protección de datos en su configuración europea 146
2.1. Un contenido dual 146
2.2. La unidad de lo dual 150
VII. El derecho fundamental a la protección de datos en su configuración europea 158
Capítulo Tercero
LA IDIOSINCRASIA DEL MODELO EUROPEO DE PROTECCIÓN DE DATOS: PROACTIVIDAD Y PREVENCIÓN DE RIESGOS
I. La “europeización” del derecho a la protección de datos 163
1. Primeros pasos: La construcción del mercado interior como impulso 165
2. La armonización como herramienta: La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 168
II. El Reglamento General de Protección de Datos: la plasmación normativa de la cultura jurídica europea 174
1. El RGPD, el buque insignia del modelo europeo de protección de datos 174
1.1. El necesario complemento estatal y la idiosincrasia del modelo 176
2. Los dos pilares del RGPD: La protección de los derechos y la libre circulación de la información 181
3. Un ámbito de aplicación con aspiración de influencia global. La fuerza condicionante del RGPD 187
4. Un modelo de resolución de conflictos 194
5. Los principios como elemento vertebrador del modelo de protección 198
III. El alma del Reglamento General de Protección de Datos: proactividad y riesgo 204
1. El responsable del tratamiento 204
2. La proactividad. Elemento central del modelo 208
3. El riesgo como factor modulador y condicionante del sistema 212
3.1. Medidas específicas de prevención de riesgos 216
3.1.1. Protección desde el diseño y por defecto 216
3.1.2. Notificación de violaciones de seguridad 218
3.1.3. Las evaluaciones de impacto 220
3.2. Medidas no exclusivamente vinculadas a la reducción del riesgo 224
4. Un modelo complejo e híbrido 225
IV. Reflejos de la idiosincrasia del modelo europeo en el ecosistema normativo europeo de tratamiento de la información 227
1. Más allá del RGPD 227
2. Adecuación normativa a las finalidades y contextos del tratamiento 230
3. ¿Toda opción regulatoria debe ser proactiva? 236
4. Una mirada al futuro. La regulación de la Inteligencia Artificial 238
V. Un modelo eminentemente preventivo y proactivo 247
Capítulo Cuarto
TRATAMIENTO FRENTE A DATO. O CUANDO EL CÓMO Y EL PARA QUÉ IMPORTAN TANTO COMO EL QUÉ
I. Dato personal y tratamiento como objeto primario de estudio 251
II. El concepto de dato personal 253
1. Elementos clave 253
2. Información 254
3. Persona física 256
3.1. La “individualidad” de los datos 258
3.2. Sobre la “propiedad” de los datos 260
3.3. Los datos de las personas fallecidas 264
4. Identificada o identificable 266
4.1. Los dos extremos: identificado y anónimo (o dato no personal) 267
4.2. Problemas en torno a la anonimidad de la información 273
4.3. La identificabilidad 275
5. ¿Una ampliación del concepto? 277
5.1. El contenido, la finalidad y los efectos como variables identificativas 277
5.2. La interpretación restrictiva en el asunto YS 278
5.3. Nowak: las opciones se amplían 279
5.4. Consecuencias de la ampliación del concepto dato personal 282
5.4.1. El proceso de ampliación conceptual. Primeros pasos 282
5.4.2. El RGPD. Un modelo más acorde con una interpretación amplia del concepto 284
III. El tratamiento y la protección frente a los riesgos 286
1. El tratamiento como elemento configurador del sistema de protección 286
2. La definición de tratamiento 288
3. La confirmación del riesgo como criterio determinante en la aplicación del derecho de protección frente al tratamiento de la información personal 290
3.1. El ámbito de aplicación del RGPD como punto de partida 290
3.2. Tratamiento no automatizado de los datos personales 293
3.3. La exención doméstica 295
IV. Un concepto de dato personal para la era digital 296
1. El tratamiento como eje vertebral del derecho fundamental 296
2. El concepto de dato personal ante el espejo de su realidad 297
3. ¿Hacia una ampliación del concepto de dato personal? 299
4. La deseable ampliación del concepto de dato personal. El contexto como factor a considerar 301
5. Una propuesta en consonancia con la idiosincrasia del modelo europeo de protección de datos 303
6. Compatibilidad de la propuesta con el derecho fundamental a la protección de datos 306
Capítulo Quinto
LAS CATEGORÍAS ESPECIALES. EL RECONOCIMIENTO JURÍDICO DE LO SENSIBLE Y EL MODELO DE PROTECCIÓN EUROPEO
I. Las categorías especiales de datos 311
II. El fundamento de las categorías especiales 312
1. No todos los datos son iguales 312
2. El difícil consenso sobre lo sensible 314
2.1. Los datos sobre condenas e infracciones penales. La particular regulación europea 316
3. ¿Qué subyace a las categorías especiales? 319
3.1. Representación de los elementos más identificativos y sensibles de la persona 319
3.2. Las bases de lo sensible: intimidad, alto riesgo y discriminación 322
3.2.1. Cuanto más privado, más sensible 322
3.2.2. Categorías sospechosas y derecho antidiscriminatorio 323
3.2.3. El alto riesgo: el factor con mayor alcance 326
III. El reconocimiento jurídico de lo sensible. Modelos de protección 328
1. El contenido y las categorías de datos predefinidas. La seguridad aplicativa como valor 329
2. La realidad del tratamiento determina la naturaleza del dato. El contexto como identificador 333
3. La protección jurídica de los supuestos dudosos y la importancia del contexto 336
3.1. El contexto como identificador de lo sensible 339
IV. El modelo europeo de protección de los datos especiales 341
1. El régimen jurídico de los datos especiales en el RGPD. La prohibición como premisa 341
2. Dos modos de afrontar la habilitación del RGPD. El modelo español y el alemán 349
2.1. España 349
2.2. Alemania 352
V. La dificultad ¿insuperable?: la identificación de lo sensible en el rgpd 354
1. El contexto y las características del tratamiento como factor condicionante 358
2. Lo que el modelo actual de protección de lo sensible no termina de responder 361
Capítulo Sexto
DOS MODELOS ALTERNATIVOS DE PROTECCIÓN DE LO SENSIBLE
I. Una propuesta moderada. Ajustar el modelo sin alterarlo en exceso 363
1. De los datos especiales a los tratamientos especiales 363
2. Carencias de la propuesta 368
II. Una propuesta más rupturista: El fin de las categorías especiales 369
1. La sustitución de las categorías especiales por un modelo de protección riesgos racionalizado 369
2. Viabilidad de la propuesta 372
2.1. Una propuesta acorde con el modelo europeo de proactividad y riesgo 372
2.2. Compatibilidad con el derecho fundamental a la protección de datos 374
2.3. No entraña un menor nivel de protección 375
REFERENCIAS BIBLIOGRÁFICAS 377
