Los datos personales son toda la información que hace referencia a un persona física identificada o identificable (el interesado). Se consideran “identificables” aquellas personas que se pueden identificar directa o indirectamente, en particular mediante referencia a un identificador específico.
El interesado es usted, es decir, la persona física a la que se refieren los datos personales. El interesado se refiere a cualquier persona individual que pueda ser identificada directa o indirectamente por medio de un identificador, como puede ser un nombre, número de identificación, datos de ubicación o mediante factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de la persona.
La Ley de transferibilidad y responsabilidad del seguro sanitario (HIPAA) es una ley federal estadounidense diseñada para proporcionar estándares de privacidad para proteger las historias clínicas de los pacientes y cualquier otra información sanitaria proporcionada a los cirujanos, seguros médicos, hospitales, socios empresariales y otros profesionales al cuidado de la salud.
Según la HIPAA, información médica protegida (PHI) es la información médica en cualquier formato, incluyendo registros físicos, registros electrónicos o información comunicada verbalmente acerca del estado de salud de un individuo, la prestación de atención sanitaria o el pago de la atención sanitaria, que crea o recoge una entidad cubierta y que puede vincularse a un individuo específico. Existen 18 identificadores HIPAA que hacen que una información médica sea PHI.
El Reglamento General de Protección de Datos (RGPD) es un reglamento UE sobre protección y privacidad de datos en vigor en la Unión Europea y el Espacio Económico Europeo. El RGPD regula cómo deben proteger las empresas los Datos Personales de los ciudadanos de la UE.
Las categorías especiales de datos personales según el RGPD incluyen datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física.
Los datos relativos a la salud son datos personales relacionados con la salud física o mental de una persona física, incluyendo la prestación de servicios de atención sanitaria, que revelan información acerca de su estado de salud.
Tratamiento se refiere a cualquier acción que se lleve a cabo sobre los datos personales o sobre conjuntos de datos personales, tanto por medios automatizados como no automatizados. Los ejemplos de tratamiento incluyen la recogida, el registro, la organización, la estructuración, el almacenamiento, la adaptación o la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, la difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Básicamente, tratamiento es cualquier operación que alguna vez haya imaginado realizar con datos personales.
El tratamiento de datos personales es legal si se realiza con el consentimiento informado del individuo o en aquellos casos en los que se considere necesario, incluyendo la ejecución de un contrato, el cumplimiento de la legislación europea, la protección de la vida humana, la realización de una tarea de interés público o para actividades oficiales u otros intereses legítimos.
Anonimización es la modificación de datos personales de manera que ya no permitan identificar al interesado. Esto requiere la eliminación de todos aquellos identificadores, usados por un responsable del tratamiento de datos o por otra persona, que permitan identificar a un individuo de manera razonable. La información que es realmente anónima no está cubierta por el RGPD.
Seudonimización es el tratamiento de datos personales de forma que resulte imposible relacionarlos con una persona física específica sin recurrir a información adicional. Dicha información adicional se almacena por separado y se somete a medidas técnicas y organizativas para garantizar que dichos datos personales no se puedan atribuir a ninguna persona física identificada o identificable. Según el RGPD, tras la eliminación o sustitución de los identificadores para seudonimizar los datos, dicha información sigue considerándose información personal.
La elaboración de perfiles es cualquier proceso automatizado llevado a cabo con los datos personales para evaluar aspectos personales de una persona, en particular para analizar o predecir aspectos relacionados con sus preferencias o intereses personales, su fiabilidad o comportamiento, su localización o sus movimientos.
Consent is the clear, affirmative act establishing a freely given, specific, informed, and unambiguous indication that a data subject agrees to the processing of their personal data.
Si se requiere el consentimiento para el tratamiento de los datos personales, deberá obtenerse de forma independiente. La notificación de un aviso de privacidad no sustituye a la obtención del consentimiento.
El responsable del tratamiento es la entidad que, sola o junto con otras, determina los fines y medios del tratamiento de datos personales. Los responsables del tratamiento deciden sobre los fines y medios del tratamiento de datos personales. Los responsables del tratamiento deben cumplir y demostrar el cumplimiento de todos los principios de protección de datos, así como del resto de requisitos del RGPD. También son responsables del cumplimiento por parte de los encargados del tratamiento. Si dos o más responsable del tratamiento deciden de manera conjunta los fines y medios del tratamiento de los mismos datos personales, serán coresponsables del tratamiento. No obstante, no serán coresponsables del tratamiento si están tratando los mismos datos para diferentes fines.
Los encargados del tratamiento de datos son entidades que tratan datos personales en nombre del responsable del tratamiento. Si no se ha establecido un fin específico para el tratamiento de los datos y usted simplemente ejecuta las instrucciones de un cliente, es probable que sea usted un encargado del tratamiento, incluso aunque tome decisiones técnicas sobre la forma de tratar los datos. Si es necesario llevar a cabo un tratamiento de datos en nombre de un responsable del tratamiento, dicho responsable del tratamiento deberá trabajar únicamente con encargados del tratamiento que ofrezcan garantías suficientes para implementar medidas técnicas y organizativas adecuadas, de modo que el tratamiento de los datos cumpla los requisitos del RGPD, incluyendo la seguridad del tratamiento y la protección de los derechos del interesado.
Los encargados del tratamiento de datos pueden contratar a otros encargados del tratamiento, conocidos como “subencargados del tratamiento” para que lleven a cabo las actividades de tratamiento en nombre del responsable del tratamiento. En esos casos, el subencargado del tratamiento estará sujeto a las mismas obligaciones de protección de datos establecidas en el contrato en vigor entre el responsable del tratamiento y el encargado del tratamiento (es decir, medidas técnicas y organizativas adecuadas).
En caso de que el subencargado del tratamiento incumpla sus obligaciones sobre protección de datos, el encargado del tratamiento principal seguirá siendo plenamente responsable frente al responsable del tratamiento en cuanto al cumplimiento de sus obligaciones. La contratación del subencargado del tratamiento debe realizarse con la autorización previa por escrito, específica o general, del responsable del tratamiento. En el caso de autorización general por escrito, el encargado del tratamiento informará al responsable del tratamiento acerca de cualquier cambio previsto en relación con la adición o sustitución de subencargados del tratamiento, de modo que el responsable del tratamiento tenga la oportunidad de oponerse a dichos cambios.
Se considera un tercero a cualquier persona que no sea un interesado, un responsable del tratamiento o un encargado del tratamiento. Entre ellos podrían incluirse las empresas de servicios de limpieza para limpiar sus oficinas o las empresas de mantenimiento de equipos. A pesar de que, ocasionalmente, pueden tener acceso a datos personales mientras se encuentran en la oficina o trabajando en un equipo, pueden llevar a cabo su trabajo sin acceder a datos. Además, los terceros tienen prohibido por contrato acceder o tratar de otro modo datos personales que la empresa guarde como responsable del tratamiento.
Un destinatario de datos es cualquier otra entidad a las que podemos divulgar datos personales, independientemente de si son terceros o no.
Un acuerdo de tratamiento de datos (DPA) es un contrato legalmente vinculante que establece los derechos y obligaciones de cada una de las partes en relación con la protección de datos personales.
Para implementar medidas eficaces y aplicables que garanticen la seguridad de las transferencias internacionales de datos, el Comité Europeo de Protección de Datos (CEPD) adoptó recomendaciones sobre la salvaguardia de las transferencias internacionales de datos el 18 de junio de 2021. Dichas recomendaciones se basan en la decisión “Schrems II” del Tribunal de Justicia de la Unión Europea, en la que se establece la obligación de que los responsables del tratamiento que transfieran datos personales a países fuera de la UE tomen medidas adicionales para garantizar la transferencia de datos.
Las cláusulas contractuales tipo (SCC) contienen las obligaciones contractuales entre el exportador de datos y el importador de datos, así como los derechos de los individuos cuyos datos personales se transfieren.
La posición europea sobre el tratamiento de datos incluye el concepto clave de “Know Your Transfer” (conozca sus transferencias), que hace referencia al país al que se van a transferir sus datos personales para su tratamiento. Basándose en la decisión “Schrems II” del Tribunal de Justicia de la Unión Europea, un responsable del tratamiento que transfiera datos personales a países fuera de la UE está obligado a tomar medidas adicionales para garantizar la transferencia de datos.
El término “terceros países” no se define en el RGPD, sino que procede de los tratados principales de la UE para referirse a países que no forman parte de dichos tratados. Se trata de un término común en la legislación de la UE y normalmente se emplea para referirse a cualquier país que no forme parte de una organización sujeta a dicha legislación. Dado que el RGPD tiene validez jurídica en la UE y el EEE, “terceros países” se refiere a aquellos países que no son Estados miembros de la UE o del EEE.
La “decisión de adecuación” de la Comisión Europea confirma que otro país, territorio o sector fuera de la UE proporciona un nivel de protección para los datos personales equivalente al de la UE. Podrá encontrar una lista actualizada de los países a los que se les ha otorgado una decisión de adecuación (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
Un acuerdo de asociación comercial (BAA) es un acuerdo por escrito que especifica, para cada parte, las responsabilidades en cuanto a la manipulación de PHI. Las garantías satisfactorias entre una entidad cubierta y el socio comercial deben especificarse por escrito. El departamento de privacidad debe revisar y firmar todos los BAA.
La privacidad desde el diseño requiere que tanto la privacidad como la protección de datos formen parte integrante de todo el ciclo de vida de un proyecto, desde las primeras etapas del diseño hasta la implantación, el uso y la eliminación. Las principales actividades de privacidad desde el diseño incluyen ser proactivos, implementar controles de privacidad y demostrar respeto por la protección de los datos del interesado. La idea es que se informe al respecto al equipo de privacidad en las primeras fases del proyecto para que se puedan llevar a cabo controles de privacidad.
Según la HIPAA, una violación de la seguridad de PHI es la adquisición, el acceso, el uso o la divulgación de PHI no segura de una manera no permitida por la HIPAA, que conlleva un riesgo significativo de daño financiero, para la reputación u otro daño a un individuo. La norma sobre notificación de violaciones de la seguridad de la HIPAA exigen que las entidades cubiertas y los socios comerciales notifiquen cualquier brecha de PHI no segura a los individuos afectados, al Departamento de Salud y Servicios Humanos de EE. UU. y, en algunos casos, a los medios de comunicación.
Según el RGPD, una violación de la seguridad de los datos personales es toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.