¿Qué datos son personales y por qué los cookies siempre lo son, independientemente de sus valores, es el objeto de este artículo. Un enlace con personas existe más a menudo de lo que muchos creen. Los datos personales tiñen así otros datos y los convierten en datos relacionados con personas.
Introducción
Los datos personales son aquellos que permiten inferir sobre una persona. Por lo tanto, por ejemplo, el nombre de una persona junto con su dirección (calle, número de casa, código postal, ciudad, país, designación de planeta, designación de galaxia) es un valor de datos personales. Por cierto, a menudo se habla de Fecha en lugar de valor de datos. Fecha es la forma singular de datos.
El nombre de una persona junto con su dirección es un enlace directo a la persona. Pero también los datos que indirectamente sugieren una persona son personales. Esto se desprende claramente del Artículo 4, núm. 1 RGPD. La RGPD no habla de enlaces directos o indirectos a la persona, sino de personas identificadas o identificables.
Una persona es identificable tan pronto como sea objetivamente posible que alguien, ya sea usted mismo o con la ayuda de terceros, pueda establecer una relación personal. Los terceros pueden ser por ejemplo prestadores de servicios de telecomunicaciones, servicios de inteligencia o autoridades. No importa si estos terceros actualmente pueden ser preguntados a usted sobre datos personales. Basta con que haya una posibilidad objetivamente prevista. Por ejemplo, tal posibilidad puede abrirse camino en la persecución penal. Esto lo había establecido el Tribunal de Justicia de la Unión Europea en su sentencia del 19.10.2016 – C-582/14("Breyer", las direcciones IP son datos personales).
Al mismo tiempo, la Gruppo Articolo 29 de la UE ha establecido que una persona también se considera identificable si puede distinguirse en un grupo de personas de las demás personas. Esto se expresó en la llamada Opinión 4/2007. El Grupo de Protección de Datos del Artículo 29 es el predecesor del Comité Europeo de Protección de Datos (EDSA) y, incluso, está mencionado en Artículo 94 RGPD. Por lo tanto, tiene una relevancia considerable.
Cuándo es una persona directamente identificable?
Arriba ya di un ejemplo con el nombre y la dirección de una persona. Esta situación de datos permite una identificación completa y directa de una persona. Todos los datos que apuntan directamente a una persona hacen que esta sea identificable directamente.
Si en un grupo de autoayuda del alcohólico anónimo una persona tiene cabello gris y las otras no tienen cabello gris, entonces esa persona sería distinguible de las demás por el siguiente valor de datos: "La persona que se trata es esta en la gruopa y tiene cabello gris".
La persona podría estar identificada de esa manera pero aún no directamente. Porque cuando veo a alguien delante de mí, no sé quién es ese alguien, cómo se llama y dónde reside ese alguien.
Sin embargo podría ser que una persona sufra un daño porque alguien maltrata sus datos sin que se conozca dónde vive. En este caso surge la pregunta de si no basta tener a la persona frente a uno para tener un vínculo directo con ella. A esta pregunta me refiero aquí, pero no la desarrollaré más. Sería una investigación digna de ser escrita por un jurista.
¿Qué es un enlace de persona indirecto?
Si se niega el vínculo directo con la persona, a menudo existe un vínculo indirecto. Esto debe ser afirmado siempre que exista una posibilidad objetiva de identificar completamente a la persona.
El ejemplo mencionado de la persona calva en el grupo de anónimos alcohólicos muestra que existe al menos un vínculo indirecto con personas. Porque si la persona calva comete una infracción penal, se puede determinar quién es exactamente la persona calva dentro del marco de la persecución penal. Por lo tanto, el dato "la persona en el grupo tiene cabello gris" es un dato personal (naturalmente en ese contexto). Porque existe objetivamente la posibilidad de que
- La persona calva una delincuencia cometerá y
- Las posibilidades de persecución penal en Alemania permiten identificar a la persona por completo debido a un presunto comisión de una infracción penal.
Se podría identificar a la persona calva sin delinquir, por ejemplo, cuando conduce un automóvil autorizado y ha conducido hasta el encuentro de la asociación de ayuda mutua. En un automóvil debe haber según la ordenanza de tráfico un matrícula de vehículos (posiblemente existen automóviles a los que esto no se aplique, pero eso es lo que aquí importa). El license plate está nuevamente asociado a la persona, es decir, a su nombre y dirección. La autoridad de tráfico conoce esta asociación. Si el automóvil ahora está involucrado en un accidente, se puede identificar al propietario. Un accidente es normalmente no delito. Podría incluso ser que la conductora calva de la asociación de ayuda mutua no fuera culpable del accidente. El causante del accidente debe, por lo menos, proporcionar los datos de dirección a la persona afectada para garantizar una adecuada liquidación del accidente. También es posible que el causante del accidente desee evitar algo como fuga del conductor y anota en su caso el número de matrícula de la víctima si no se encuentra en su automóvil.
Si alguien puede ser involucrado en un accidente de manera teórica, entonces cada persona con la que se cruza es identificable en última instancia. Por lo tanto, cualquier valor de datos a una persona físicamente cerca de usted sería un dato personalizado. En todo caso, esto es aplicable a las personas que navegan por Internet. Consulte el apartado "Cookies" más abajo. Si habla con alguien y esa persona habla con usted desde su conexión privada o su propio teléfono inteligente, entonces todos los datos sobre su interlocutor son personales. La RGPD solo es aplicable si se almacenan o se procesan de manera parcialmente automatizada (ver Artículo 2, apartado 1 de la RGPD). Hasta mi conocimiento, la transmisión de señal en los teléfonos es automática.
Además es probablemente posible seguir a una persona dentro de la legalidad para descubrir adónde ha ido, quizás sí a su domicilio. Eso solo para inspiración.
El lugar de una persona también la hace identificable. Piensa solo en el señal GPS del teléfono inteligente. Yo había leído alguna vez que a una delincuente se le descubrió porque se evaluó su cuenta de Google. En mi teléfono inteligente está casi siempre apagado el señal GPS (pero no, porque planeaba cometer un delito, sino porque me desagrada saber que alguien sabe dónde estoy o estuve gracias a señales electrónicas).
Cookies
Laut la Directiva de Privacidad en Línea, no importa si los cookies almacenan datos personales o no. La directiva de privacidad en línea sigue siendo aplicable. En Alemania, es sobre todo a través del § 25 TTDSG que se lleva a cabo. El TTDSG es un estatuto especial para la RGPD. Si el TTDSG es aplicable, ejerce una suspensión de efectos frente a la RGPD. Sólo cuando la revisión legal según el § 25 TTDSG respecto de los cookies y otros accesos a dispositivos finales ha sido concluida positivamente, se aplica la RGPD.
Actualización mayo 2024: El TTDSG se llama ahora TDDDG. Porque muchos lectores solo conocen el TTDSG, aquí sigue utilizando la denominación original.
La almacenación de cookies en su dispositivo terminal (como su smartphone o escritorio) y el acceso a los cookies almacenados en su dispositivo son solo gratuitos, si los cookies son absolutamente necesarios. La mayoría de los cookies no son absolutamente necesarios. Aquí, como ya se ha dicho, no importa si los valores del cookie son personales o no. No importa qué valores se almacenan en el cookie; la TTDSG es aplicable siempre.
Nun se almacena un cookie en el dispositivo y luego se lee nuevamente. Luego se quiere trabajar seguro con el valor del cookie, ya que de lo contrario se podría haber eliminado el cookie desde el principio. Esta Trabajo con el valor de la cookie cae bajo las regulaciones de la RGPD. La RGPD solo es aplicable a los datos personales, incluidos los datos personenbezogen, como se escribió arriba. Estos son todos los datos que pueden indicar directa o indirectamente una persona.
¿Qué pasa si el valor de un cookie no es personalizado? Tomemos como ejemplo un valor como "xyz123". Aun así, el valor del cookie es personalizado. Algunos no quieren verlo o afirman lo contrario porque sería beneficioso para sus clientes. Para explicar mi argumentación sobre por qué los valores de cookies siempre son personales, tengo que extenderme un poco.
Todos los datos que aparecen en conexión con datos personales son personalizables y por lo tanto personales.
Véase el artículo para más detalles.
Las direcciones IP son datos personales. Esto lo han establecido el TJUE y el BGH en sus sentencias Breyer de los años 2016 y 2017 (consulte arriba para la referencia del fallo). También se aplica a las direcciones IP dinámicas.
Los cookies se envían siempre junto con la dirección IP del visitante de una página web a la página web. La dirección IP es personalizada, por lo tanto cualquier otro valor de datos (potencialmente cargado con significado) que aparezca junto con la dirección IP es personalizado.
Los valores de las cookies son siempre personales. Por lo tanto, la RGPD es aplicable en la gestión de los valores de las cookies, aunque algunos prefieran discutir esto.
Conclusión
Los datos son personales cuando directa o indirectamente se refieren a una persona. Según definición legal, los datos relacionados con personas deben equipararse a los datos personales.
Un valor de datos que aparece junto con un dato personal se vuelve automáticamente personalizable y por lo tanto personalizado. Esto puede no ser aplicable solo si al valor de datos no le corresponde ninguna importancia, ni objetiva ni subjetiva. Subjetivamente significa aquí que el valor de datos en sí mismo carece de significado para cualquier posible receptor de datos. Sin embargo, surge la pregunta de por qué existe el valor de datos en primer lugar. Quizás haya un ejemplo sensato; actualmente solo me viene a la mente uno.
Es es igualmente indiferente cuánto tiempo un valor de datos X coexiste con un valor de datos personales, para que el valor de datos X sea considerado como personal. Esto incluso lo había establecido la no conocida por su dureza autoridad de protección de datos irlandesa en el procedimiento contra WhatsApp.
También es igual si los datos se almacenan o no, siempre y cuando sean procesados de manera parcial o completamente automatizada. Si los datos son personales en el momento de su existencia, entonces son personales. La procesamiento de datos comienza ya desde la "conocimiento objetivo" deseado, que se denomina recolección de datos.
Por cierto, las direcciones IP para Google son potencialmente siempre personales debido a la identificabilidad de personas y probablemente sean mundiales independientemente de cómo sean las posibilidades de persecución penal en cada país. Porque si un usuario utiliza un servicio de Google como GMail o tiene un teléfono Android, ese usuario puede ser identificado objetivamente. Un teléfono tiene una número telefónico. Esta numeración está registrada (al menos en algunos países) a una persona. En Alemania debe ser así (al menos es así según mi conocimiento para teléfonos privados y se trata aquí de personas particulares, no de empresas). GMail nuevamente es un servicio de correo electrónico. Debe haber personas que reciben correos electrónicos en su dirección de GMail con el nombre y la dirección de la persona que tiene la cuenta de GMail.
Esta pregunta la había investigado en el marco de las advertencias de Google Fonts, para demostrar que la dirección IP también tiene un posible vínculo con personas en Austria.
En caso de duda, los datos deben considerarse personales. La duda surge a menudo "solo" porque falta la capacidad de imaginar que un valor de datos podría referirse a una persona. En aplicaciones de inteligencia artificial, la pregunta sobre si un valor de datos es personal es en cualquier caso difícil de responder. Pues si para 100 puntos de datos no hay un vínculo con personas, puede ser muy diferente cuando se trata de 100 millones de puntos de datos.
Por cierto, no siempre surge un problema o caso para la RGPD al utilizar datos personales. Si dos personas se comunican en la calle, el diálogo no está sujeto a la RGPD porque no se procesa automáticamente ni se almacena en un sistema de archivos. También es posible utilizar información pública accesible dentro del marco del interés legítimo. Si faltan datos adicionales para convertir datos personales en datos personales, y si una entidad X no puede obtener estos datos de manera objetiva, entonces para la entidad X no se trata de datos personales ni de datos personales. Este caso es especialmente relevante cuando los datos adicionales están fuera del contexto propio, por ejemplo, en empresas con las que la entidad X no tiene ninguna relación y que pueden ser desconocidas para la entidad X.
Mensajes clave
Los datos personales son aquellos que permiten identificar a una persona, ya sea directamente (como nombre y dirección) o indirectamente (como características que la distinguen en un grupo).
Incluso si no conoces la dirección de alguien, los datos sobre esa persona pueden ser personales si existe la posibilidad de identificarla.
La información que se almacena en las cookies, incluso si no parece personal, puede ser considerada como datos personales porque se relaciona con datos que sí lo son.
Las cookies y los datos que se envían junto con ellas pueden ser personales porque se pueden relacionar con una persona.
Determinar si datos son personales depende del contexto y la cantidad de datos.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
