260 - Principios y elementos esenciales del deber de confidencialidad en el tratamiento de datos personales

Artículo 5 de la LOPDGDD

«1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.

2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento».

En suma, los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del RGPD. Es decir, los datos personales serán tratados de manera «(...) que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas».

A título ilustrativo, en un procedimiento de despido, la Sala de lo Social del Tribunal Superior de Justicia de Madrid, en su sentencia n.º 863/2020, de 30 de septiembre, ECLI:ES:TSJM:2020:9709, entiende que «(...) el hecho de que los trabajadores desde su puesto de trabajo puedan y deban acceder a las bases de datos de la empresa para el desempeño de sus funciones, no supone un permiso para disponer particularmente de tales datos, por lo que en absoluto pueden copiarlos, enviarlos o utilizarlos en su propio beneficio, y precisamente en esa confianza los trabajadores prestan sus servicios para las empresas, con el deber de confidencialidad y lealtad, que en este caso se ha vulnerado de forma flagrante y con engaño, ya que, con la excusa de sacar del ordenador de la empresa que tenía a su disposición, archivos personales, lo que hizo fue autoenviarse a su correo privado toda la documentación que consta acreditado, sin que ello fuera permitido por la empresa».

Además son varios los considerandos del RGPD que se refieren al principio que nos ocupa, entre otros, podemos destacar los siguientes:

a) Considerando 39 del RGPD:

«Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento».

b) Considerando 49 del RGPD:

«Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas».

c) Considerando 75 del RGPD:

«Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo».

d) Considerando 83 del RGPD:

«A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales».

e) Considerando 85 del RGPD:

«Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión».

f) Considerando 162 del RGPD:

«El presente Reglamento debe aplicarse al tratamiento de datos personales con fines estadísticos. El contenido estadístico, el control de accesos, las especificaciones para el tratamiento de datos personales con fines estadísticos y las medidas adecuadas para salvaguardar los derechos y las libertades de los interesados y garantizar la confidencialidad estadística deben ser establecidos, dentro de los límites del presente Reglamento, por el Derecho de la Unión o de los Estados miembros. Por fines estadísticos se entiende cualquier operación de recogida y tratamiento de datos personales necesarios para encuestas estadísticas o para la producción de resultados estadísticos. Estos resultados estadísticos pueden además utilizarse con diferentes fines, incluidos fines de investigación científica. El fin estadístico implica que el resultado del tratamiento con fines estadísticos no sean datos personales, sino datos agregados, y que este resultado o los datos personales no se utilicen para respaldar medidas o decisiones relativas a personas físicas concretas».

g) Considerando 163 del RGPD:

«Debe protegerse la información confidencial que las autoridades estadísticas de la Unión y nacionales recojan para la elaboración de las estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben desarrollarse, elaborarse y difundirse con arreglo a los principios estadísticos fijados en el artículo 338, apartado 2, del TFUE, mientras que las estadísticas nacionales deben cumplir asimismo el Derecho de los Estados miembros. El Reglamento (CE) n.º 223/2009 del Parlamento Europeo y del Consejo (16) facilita especificaciones adicionales sobre la confidencialidad estadística aplicada a las estadísticas europeas».

A TENER EN CUENTA. La D.A. 17.ª.2.d) de la LOPDGDD dispone que «se considera lícito el uso de datos personales seudonimizados con fines de investigación en salud y, en concreto, biomédica».

Si bien, el uso de tales datos personales seudonimizados exigirá:

a) Una separación técnica y funcional entre:

- El equipo investigador.

- Los que realicen la seudonimización y conserven la información que posibilite la reidentificación.

b) Que los datos seudonimizados solamente sean accesibles al equipo de investigación cuando:

- Exista un acuerdo de confidencialidad y de no realizar ninguna actividad de reidentificación.

- Se hayan adoptado medidas de seguridad concretas para evitar la reidentificación y el acceso de terceros que no estén autorizados.

No obstante, cabe la posibilidad de proceder a la reidentificación de los datos en su origen, cuando con motivo de una investigación que utilice datos seudonimizados, se estime:

- La existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas.

- Una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria.

CUESTIONES

1. ¿El deber de confidencialidad cesa con la finalización del tratamiento o de la relación comercial?

En virtud del apartado tercero del artículo 5 de la LOPDGDD, las obligaciones reguladas en el artículo de referencia «se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento».

2. ¿Cómo se regirá el tratamiento de datos?

Según el artículo 28.3 del RGPD, el tratamiento por el encargado «se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable». El mencionado contrato o acto jurídico estipulará, en particular, que el encargado garantice «que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria».

3. ¿Cómo garantizará el responsable del tratamiento un correcto nivel de seguridad?

Con respecto a la seguridad del tratamiento, el artículo 32.1 del RGPD declara que:

«1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento».

4. ¿Qué artículos del RGPD se refieren al principio de confidencialidad?

Entre otros, se refieren al principio de confidencialidad, los relacionados a continuación:

- Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (artículo 14 del RGPD).

- Posición del delegado de protección de datos (artículo 38 del RGPD).

- Normas relativas al establecimiento de la autoridad de control (artículo 54 del RGPD).

- Confidencialidad (artículo 76 del RGPD).

5. ¿Se considerará infracción la vulneración del deber de confidencialidad?

Sí, se considera infracción muy grave la conducta consistente en la vulneración del deber de confidencialidad del artículo 5 de la LOPDGDD (artículo 72.1.i) de la LOPDGDD).

6. ¿Qué normas de la LOPDGDD mencionan el principio de confidencialidad?

El principio de confidencialidad se menciona en los siguientes artículos de la LOPDGDD:

- Categorías especiales de datos (artículo 9 de la LOPDGDD).

- Tratamiento de datos para la protección de las personas que informen sobre infracciones normativas (artículo 24 de la LOPDGDD).

- Obligaciones generales del responsable y encargado del tratamiento (artículo 28 de la LOPDGDD).

- Posición del delegado de protección de datos (artículo 36 de la LOPDGDD).

A TENER EN CUENTA. Respecto al artículo 24 de la LOPDGDD debemos advertir que ha sido modificado por la publicación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, con entrada en vigor el 13/03/2023, cambiando su rúbrica por «Tratamiento de datos para la protección de las personas que informen sobre infracciones normativas», y quedando redactado de la siguiente manera:

«Serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas.

Dichos tratamientos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en esta ley orgánica y en la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción».