¿Qué es un dato personal y qué no?

La nueva normativa de protección de datos que la Unión Europea va camino de aprobar este enero -y de la que ayer se fraguó el acuerdo previo- no afecta a toda la información que es posible recopilar a través de internet y de los dispositivos conectados. La razón es casi de perogrullo: no todos los datos se consideran personales, por muy personales que parezcan. Es la información íntima.

La normativa europea -y hasta ahora también las nacionales- protege cualquier dato que permita identificar a una persona identificada (o identificable), como nombre, correo electrónico, DNI, matrícula del coche, número de teléfono, domicilio o fecha de nacimiento, entre otros. Y también imágenes, huellas o grabaciones de voz.

Pero también admite como información personal los datos que puedan conducir a identificar a una persona aunque no esté directamente identificada, “mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social”. La ley solo pone un límite: “Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”. Una afirmación que la actual capacidad de procesamiento de datos relativiza sustancialmente.

Según explica la Agencia Española de Protección de Datos (AEPD) en su 'Guía del Ciudadano', “el derecho fundamental a la protección de datos es la capacidad que tiene el ciudadano para disponer y decidir sobre todas las informaciones que se refieran a él. Es un derecho reconocido en la Constitución Española y el derecho europeo y protegido por la ley orgánica de protección de datos (LOPD)”.   

La ley española (redactada siguiendo las directrices de la normativa europea) reconoce a toda persona “el derecho a saber por qué, para qué y cómo van a ser tratados sus datos personales y a decidir acerca de su uso”, recuerda la AEPD. Tan solo las Administraciones públicas, la policía o la publicidad que usa datos de fuentes accesibles al público como la guía telefónica están excluidas de notificar a los interesados que se está utilizando su información personal.

NUEVOS TRATAMIENTOS

El traspaso de esto a la vida digital ha sido la difusión en internet de los datos que aparecen en publicaciones oficiales o registros mercantiles, que han sido analizadas y tratadas por distintas empresas y que han motivado numerosas quejas de particulares.

La ley española (y la europea) requiere el consentimiento expreso del usuario para el tratamiento de datos relativos a raza, salud o vida sexual, así como religión, ideología y creencias, excepto en el caso de profesionales de salud en caso de urgencia vital (puede ser útil para descartar un diagnóstico de prácticas sexuales de riesgo, por ejemplo, o al revés).

Este tipo de información está sujeta a lo que se llaman los derechos ARCO: acceso, rectificación, cancelación y oposición. Es decir, saber qué datos se tienen, poder modificar el que sea incorrecto, poder solicitar que se borren y poderse negar a que sean recogidos.

PERFILES IDENTIFICABLES

Pero no todos los datos que se recogen se consideran estrictamente personales. Por ejemplo, muchas de las empresas de creación de perfiles publicitarios se escudan en que lo que rastrean de los usuarios no son datos personales identificatorios sino información personal anonimizada. ¿Y dónde acaba el anonimato y empieza la consideración de 'dato personal'? Según los especialistas en tratamiento de datos, en el momento en que el cruce de información permitiría asociarlo a un perfil concreto.

Las redes sociales ya procesan información personal y, en princpio, el usuario ha dado su consentimiento para ello. Pero lo que seguramente el usuario medio no conoce es hasta qué punto la red social, utilizando técnicas de inteligencia artificial o de pura ingeniería social (la persuasión no tecnológica), deduce información más íntima como creencias religiosas, ideologías, intenciones o simpatías hacia temas concretos. Y ese tipo de información, la más valiosa en la actualidad, no está claro que el usuario pueda recuperarla.