¿Qué significa recopilar datos en el contexto de la RGPD? Uno de los conceptos más importantes del procesamiento de datos

La procesamiento de datos comienza ya con la recopilación de datos personales. La recolección de datos es la actividad de procesamiento más temprana. De ella puede surgir una responsabilidad según RGPD junto a numerosas obligaciones. Solo quien recopila datos puede ser responsable. Pero ¿qué significa recopilar datos?

Por qué es la recolección de datos un concepto importante?

La recopilación de datos es lo mismo que el procesamiento de datos. Solo quien procesa datos personales o induce a otros a hacerlo puede ser responsable (y a menudo también, cuando se determinan fines y medios).

El responsable en el sentido de la RGPD debe cumplir con las normas de la RGPD. Por lo tanto, es muy importante saber qué significa "Recaudación de datos". El texto legal de la Regulación General de Protección de Datos no define nada al respecto.

Los siguientes términos se introducen por mí para explicar lo que se entiende con la recolección de datos:

• Dirección
• Contenedores (en el sentido de buzón o amortiguador)
• Recopilar
• Oferta

Sorprenderse ahora sobre algunos de estos términos en el contexto de la recolección de datos. En particular, el término del Contenedor, que presento aquí, debería ser nuevo en círculos de protección de datos, a menos que se refiera a la destrucción de actas. Los otros términos no aparecen (o solo parcialmente y muy limitadamente) en el texto legal de la RGPD. Quizás el término Caja de correos es más comprensible, aunque es demasiado concreto y por lo tanto impreciso.

Este artículo busca información que se le haya proporcionado a un responsable y no aquella que un responsable haya obtenido por su cuenta.

Diferenciación.

Además se distingue entre Datenerhebung y Verantwortlichkeit. La recopilación de datos en sí misma no es un tema crítico de protección de datos, sino que lo será cuando surja una responsabilidad. Una responsabilidad, por su parte, solo puede existir si hubo una recopilación de datos. No ser responsable de ninguna recopilación de datos es lo mismo que no tener ninguna responsabilidad.

Introducción

En El artículo 4, número 2 de la DSGVO define el tratamiento de datos por

El levantamiento, la captura, la organización, el ordenamiento, la almacenación, la adaptación o modificación, la lectura, la consulta, el uso, la divulgación a través de transmisión, difusión o cualquier otra forma de suministro, la comparación o unión, la limitación, la eliminación o la destrucción

Definición del concepto de tratamiento de datos según el artículo 4, número 2 del RGPD.

En el texto legal inglés se utiliza la palabra Colección (de to collect) para recaudar.

En el texto legal no se encuentra definición alguna para el concepto de recopilación. Por lo tanto, tuve que escribir este artículo para aportar claridad.

En este artículo se consideran solo recopilaciones de datos personales en el ámbito no privado que se realicen de manera automática o parcialmente automatizada, o que estén almacenadas o se almacenen en un sistema de archivos. Esto corresponde al ámbito de aplicación regulado por el artículo 2 de la RGPD , excluyendo las excepciones mencionadas en el apartado 2.

La recolección de datos es la primera actividad de procesamiento

Se nota que las actividades que implican procesamiento están ordenadas en secuencia. La ordenación consiste en que la primera actividad mencionada, el levantamiento, es la primera posible actividad de procesamiento y todas las demás son posteriores a ella.

Las tres actividades mencionadas en el texto legal que siguen a continuación, la restricción, la eliminación y la destrucción, las excluiré a continuación porque se trata de actividades destructivas que son más positivas desde un punto de vista de protección de datos, ya que reducen o hacen desaparecer una responsabilidad.

Las actividades que conlleva la procesamiento de datos son, según Artículo 4 Número 2, en orden cronológico ascendente, es decir, en el orden mencionado en el texto del decreto:

1. Elevar, después de lo cual se puede
2. Capturar luego, después es la captura
3. La organización es posible, así como también el
4. Organizar, luego (o también sin organización o ordenamiento) es la
5. Almacenamiento posible, después (o alternativamente antes del almacenamiento) la
6. Cambio, pero solo después de la guardado el
7. La lectura o la nada
8. Preguntar. Con o sin almacenamiento sigue la posibilidad de
9. Uso o la
10. La divulgación a través de transmisión, difusión o cualquier otra forma de suministro, así como el
11. Concordancia o enlace.

Esta secuencia no es casual y no puede ser casual, ya que hay 11! (11 factorial) posibilidades de ordenar esta lista. 11! = 11 * 10 * 9 * 8 * 7 * 6 * 5 * 4 * 3 * 2 * 1 = 39.916.800, por lo tanto, algo más de 40 millones. Si se consideran dos de los pares de términos como equivalentes, el número de posibilidades es superior a 300.000. La probabilidad de que la lista haya sido ordenada al azar sería entonces 1/362.880 = 0,0000028.

La Article 29 Working Party, Opinion 3/2013 ha destacado que la recopilación de datos es la primera actividad de tratamiento de datos.

El legislador ha establecido, por lo tanto, de manera absolutamente clara y sin ninguna duda, el comienzo del tratamiento de datos en la recopilación de ellos. Esto también se desprende del título del Artículo 13 DSGVO: "Obligación de información al recabar datos personales a la persona afectada".

Quien recopila datos, los procesa. La recopilación de datos es el primer proceso de tratamiento de datos posible!

Conclusión de la letra b) del artículo 4 de la DGSV.

La recopilación de datos se realiza antes de la recopilación de datos, como establece la ley. Recopilar significa según Duden reunir o recoger, lo que también se puede deducir del texto legal en inglés (to collect).

La palabra alemana zusammentragen suena un poco extraña al principio. Me ha llevado algún tiempo pensar en ello, pero he logrado aclarar y demostrar el concepto.

Requerir datos conlleva la necesidad de una dirección de destinatario.

Mi comprensión de la definición del concepto de recolección de datos.

Una recolección de datos solo puede tener lugar si se ha nombrado una dirección a la que una persona pueda enviar un mensaje. De la dirección, por cierto, se puede derivar el concepto de recolección. Como se muestra, la dirección no necesita ser la del verdadero destinatario, sino cualquier destinatario.

La recolección de datos viene después del recibimiento y antes de la captura (recording).

Una dirección implica un recipiente colectivo. Esto parece aún más sorprendente. Me llena de una cierta satisfacción esta percepción, sobre todo porque este tipo de derivación no se encuentra en ninguna parte.

Un contenedor se conoce en inglés, pero también en informática, como Contenedor o Collection. La Programación Java conoce el concepto de la Collection y del Containers también.

Ejemplos de direcciones con la indicación del contenedor correspondiente son:

• Dirección postal: buzón de correos
• Dirección de correo electrónico: buzón (más específicamente: servidor de buzón)
• Dirección IP al acceder a una web: memoria principal del servidor
• Entretenimiento personal: Cerebro del destinatario (memoria)
• Número de teléfono/llamada telefónica: lo mismo
• Número de teléfono/contestador automático: "Grabación" (ya que es digital en la mayoría de los casos)

Una dirección es un contenedor accesible a través de una identificación única, cuyo contenido puede ser revelado a un destinatario.

Mi definición de dirección en el contexto de la RGPD.

Un buzón muerto, que (por qué también) no puede ser vaciado objetivamente por nadie, no es una dirección en este sentido. La posibilidad de obtener conocimiento de mensajes no existe aquí. En informática hay el cero dispositivo como "dispositivo de salida virtual", "que rechaza todo lo que se le escribe" (Fuente: Wikipedia, cuya afirmación puedo confirmar como informático). El dispositivo cero también se conoce como NUL -Objetivo y no es una dirección en el sentido de la DSGVO, porque es casi imposible obtener conocimiento de los mensajes recibidos.

Un caso especial es una dirección con un contenedor que solo puede recibir un mensaje al mismo tiempo. Si el contenedor no se vacía a tiempo, los mensajes se pierden. Esto es igualmente posible en cualquier contenedor con mayor capacidad de mensajes. De la práctica es bien conocido el problema de un buzón de correo electrónico lleno que no puede recibir más mensajes hasta que se vacíe. Recibir más mensajes no es posible porque solo poder recibirlos no era posible.

El concepto del recopilado (en contenedor) significa al principio solo una almacenamiento intermedio, no un almacenamiento o almacenamiento duradero. Que un almacenamiento duradero es posible en algunos contenedores, no contradice esto (ejemplo: buzón de correo electrónico).

La recolección de datos es el posible conocimiento por parte de un receptor de una noticia que se envió a una dirección.

Mi definición del concepto de recolección de datos. La artículo 2, apartado 1 de la RGPD debe aplicarse.

La recopilación de datos significa, por lo tanto, la posible conocimiento de un mensaje que se envía a una dirección. La conocimiento real puede ocurrir también de manera automatizada (esto también está en Artículo 4 Número 2 DSGVO), por ejemplo, mediante un servidor que proporciona una página web. El conocimiento ocurre a través de un receptor. La procesamiento de datos debe realizarse según Artículo 2 Abs 1. DSGVO.

La posible recepción de conocimiento se registra en la DSGVO con el término Receptor, que está definido en Art. 4 Núm. 9. Un receptor es, por tanto, una persona natural o jurídica a la que se le facilitan datos personales.

Diferencia con la recepción de datos

La recopilación de datos es un proceso posterior a la recepción de datos. Un sinónimo para recibir es obtener (obtener). La entrega en el sentido postal se ha producido cuando una noticia ha llegado correctamente a una dirección correcta, por lo que recibida con dedicación.

Un Caja de correos recibe así mensajes. Estos se consideran recibidos o aceptados en el momento y como elevados en el momento de la retirada del Briefkasten según lo previsto. Si el Briefkasten estuviera lleno, tanto el recibir como el elevar los mensajes no serían posibles (dejando a un lado que un cartero podría entregar el mensaje personalmente o. a.). Si un correo llegara a una dirección equivocada, por ejemplo debido a un error del cartero, el propietario del Briefkasten habría recibido la noticia pero no la habría elevado.

Un buzón cuyo contenido solo se procesa manualmente o no se almacena en un sistema de archivos, está fuera del alcance de la consideración. Vgl. Art. 2 Abs. 1 DSGVO. Algunas empresas utilizan especialmente escáneres para procesar automáticamente toda la correspondencia. En este sentido, el contenido del buzón de estas empresas estaría dentro del ámbito de aplicación de la DSGVO. También utilizar o enviar datos a través de un correo electrónico corresponde al almacenamiento automático en un sistema de archivos.

Un Carta de admisión previa acredita la recepción o el levantamiento incluso de manera legal, siempre y cuando el mensaje se haya entregado en la dirección correcta y en un estado adecuado, y el destinatario hubiera podido tener conocimiento de la noticia. La fecha de entrega es la fijada por la oficina postal para el envío por correo certificado, a la que se considera que el mensaje ha sido introducido en el buzón del destinatario (o entregado personalmente al destinatario, lo cual sería un paso más allá). Si un envío por correo certificado correctamente entregado es inmediatamente después y de manera notoria y sin culpa del destinatario robado de su buzón por un ladrón, en última instancia no se ha llevado a cabo la recolección de datos al destinatario porque este no hubiera podido tener conocimiento de la noticia.

Con la notificación de recepción se hace evidente la obligación que tiene un destinatario intencionado. Un tal destinatario está en realidad obligado a vaciar regularmente su buzón (si es razonable, diría yo). Quien recibe una amonestación puede apelar a que no ha vaciado el buzón desde hace siete días porque el tiempo estaba muy malo. Sin embargo, esta obligación no surge de la RGPD, sino más bien de otras disposiciones legales que no he podido encontrar hasta ahora y que, por lo visto, tampoco existen explícitamente. Las interpretaciones jurídicas de sentencias y declaraciones de abogados sugieren esta obligación.

Conocimiento de una noticia

Primero, cuando una noticia es sacada del buzón, llega a la conciencia. Al vaciar los buzones de correos por parte del destinatario, esto se hace evidente inmediatamente. En contenedores como el Cerebro, este proceso ocurre implícitamente.

Un contenedor sirve para recopilar objetos.

Mi definición del concepto de contenedor en el contexto de protección de datos son los datos objetos

Al igual que contenedores (técnicamente: Container) como el almacenamiento principal de un Servidor de una página web, el proceso de conocimiento de una noticia ocurre implícitamente, pero explícitamente desde la perspectiva técnica (el servidor fue programado adecuadamente). Un servidor con una sola conexión a red puede procesar solo un señal al mismo tiempo. El proceso generalmente dura más que el envío. Para evitar que algún señal (= noticia o petición) se pierda, puffert un servidor los señales entrantes hasta que pueda procesarlos. Un puffer es un contenedor.

Si un servidor está sobrecargado y debe rechazar una solicitud, en realidad no era posible tener conocimiento de ello. Sin embargo, esto incluye la posibilidad de que la solicitud no se haya podido aceptar por razones técnicas, es decir, debido a las limitaciones del hardware y no porque fue bloqueada por motivos software.

¿Quién es responsable según la RGPD?

La simple recopilación de datos no es nada. Tienes que ser responsable de la recolección de datos para que surjan obligaciones.

Responsable en el sentido de la DSGVO (Art. 4 Número 7) es quien "por sí solo o conjuntamente con otros decide sobre los objetivos y medios de la tratamiento de datos personales". Quien recopila datos personales para un fin determinado y con métodos dados, es especialmente responsable según DSGVO y debe proporcionar a la persona afectada información según Art. 13 DSGVO.

El término Zweck podría definirse también con el término Oferta. El significado del término Angebot es entenderlo en su sentido más amplio y fue elegido por mí aquí porque Zweck es un concepto bastante abstracto. Un oferta puede ser una oferta de información, un servicio y cosas similares.

Una responsabilidad surge solo a partir de una oferta.

Mi conclusión (para una verdadera responsabilidad deben cumplirse otras condiciones)

Sin oferta no hay responsabilidad alguna. Si alguien le envía su historial clínico sin ser solicitado y éste llega a sus manos, aunque (probablemente) se esté llevando a cabo un registro de datos en su poder, usted no es responsable de ello.

Si usted es médico y le pide a un paciente que le envíe los resultados de su estancia en el hospital, su práctica recopila datos tan pronto como su práctica recibe los resultados del paciente y estos pueden llegar a conocerse por una persona en su práctica.

Si una responsabilidad fuera posible sin oferta, podría cada uno hacer de un tercero al responsable a su pesar.

Responsabilidad por datos elevados pero no llegados a conocimiento

Si alguien ha recopilado datos y aún no tiene conocimiento de ellos, surge la cuestión de la responsabilidad factual. Si alguien ha recibido una notificación en su buzón debido a su oferta y esta llega a terceros sin que haya tenido conocimiento del contenido de la notificación, es responsable de ello. Esto depende de las circunstancias. Creo que aquí juegan un papel la obligación de cuidado y otras obligaciones legales. Si alguien no cierra su buzón, según mi opinión, es responsabilidad del protección de datos si terceros toman indebidamente el contenido del buzón.

Los datos que no llegaron a conocimiento del responsable y tampoco de otros, pero fueron recopilados por el responsable sin su conocimiento, no generan problemas al principio, sino obligaciones. Un titular de los datos puede al menos solicitar la eliminación, lo cual debe llevarse a cabo de tal manera que el responsable tenga conocimiento de los datos recopilados para poder eliminarlos adecuadamente sin poner en peligro otros datos.

De manera similar a lo que ocurre con datos no conocidos, en mi opinión también sucede con los datos que se almacenan de forma permanente pero no se procesan ni se transmiten a terceros. De ello no surge un problema, sino una obligación, por ejemplo, una obligación de diligencia. Una solicitud de eliminación sería entonces posible mediante un procedimiento acortado, como en el caso anterior, porque ya se había tenido conocimiento.

Quien le pide a un tercero que transmita datos elevados por sí mismo pero no llegados a su conocimiento, es también responsable de ello.

No pueden obtenerse datos no automatizados y no almacenados en un sistema de archivos, sino que surge la pregunta de si una conocimiento era posible en realidad y si después se previó una procesamiento automático o un archivo en un sistema de archivos. Si esto estaba previsto, digo que también hay una recolección de datos sin conocimiento.

Ejemplo de recolección de datos: página web

Una (página web es un ofrecimiento que determina su propósito a través de un contenido. Se proporciona mediante el medio del Internet y otras condiciones técnicas (HTML, etc.). En Artículo 8, apartado 1 DSGVO, se menciona por cierto el concepto de oferta (y es la primera vez que se hace), aunque referido a la prestación de servicios electrónicos, lo cual aplica a las páginas web.

Se entiende aquí como una presencia en Internet accesible al público una página web pública. Un caso diferente es la presencia protegida por contraseña. El control de contraseñas debe realizarse directamente a nivel del servidor, para que el caso sea diferente a una página web pública accesible. Esto se puede lograr mediante una directiva en la llamada .htaccess-archivo.

La dirección IP es un dato personal. Al acceder a una página web, debido al estándar de Internet TCP (Transmission Control Protocol), se transmite la dirección IP del usuario al servidor que proporciona la página web. En este sentido, la DSGVO (Reglamento General de Protección de Datos) aplica a cada página web pública accesible.

De ello se deriva una responsabilidad según el artículo 4, número 7 de la RGPD , porque

1. Se está llevando a cabo una recopilación de datos (ver más arriba)
2. Se recopilan datos personales (es decir, al menos direcciones IP)
3. El propósito se le da (oferta sobre el contenido de la página web)
4. Se determinan los medios (internet, etc.)

Cada sitio web accesible al público que tiene un propósito necesita una declaración de protección de datos

Razón: Para sitios web de este tipo existe una responsabilidad según el art. 4 núm. 7 del RGPD

Por eso, cada sitio web accesible al público debe mostrar una Declaración de protección de datos. La única posible excepción podría ser un sitio web que no ofrece nada, es decir, uno completamente vacío sin contenido alguno. Pero incluso una página de aterrizaje de una dirección URL disponible, que a menudo se presenta con pocas palabras ofreciendo la dirección del sitio web visitado para su venta, es obviamente una oferta. También es una oferta una tarjeta de visita en línea. Si no lo fuera, ¿por qué está allí? Por supuesto, también se aplica un sitio web vacío con información sobre el emplazamiento como oferta, a menos que la información del emplazamiento haya sido presentada por motivos de precaución excesiva. O sea, si la información del emplazamiento ha sido presentada según § 5 TMG, entonces hay una oferta comercial. O si la información del emplazamiento ha sido presentada según §18 MStV, entonces hay un anuncio de información. O ambas cosas (lo cual es el caso más común).

Ejemplo de recolección de datos: comunicación por correo electrónico

Hay varios casos que hay que distinguir, por ejemplo:

1. La indicación de correo electrónico en el pie de página de una página web: Usted ofrece la posibilidad de que se le escriba (en ese caso, porque según § 5 TMG o § 18 MStV están obligados a hacerlo). Alguien utiliza esto para una solicitud general por correo electrónico, y no con fines legales
2. Formulario de contacto general: Ofrecen uno en su sitio web. Alguien lo utiliza para una solicitud general. En el fondo se envía un correo electrónico a usted
3. Proporcionar la dirección de correo electrónico como forma de contacto en caso de necesitar asesoramiento: Ofrecen que se les escriba. Alguien utiliza esto porque quiere aceptar su oferta de asesoramiento
4. Formulario de contacto en caso de necesitar asesoramiento: Ofrecen uno en su página web. Alguien utiliza este porque quiere percibir su oferta de asesoramiento. En el fondo se envía un correo electrónico a usted
5. Alguien ha llamado a usted por teléfono. Le piden que les envíe algo a la dirección de correo electrónico que mencionan en su página web, como sus datos de contacto, para que puedan enviarle un ofrecimiento por correo electrónico

En todos los casos hay una recopilación de datos. Los casos 1 y 2 no representan, sin embargo, (un evidente) oferta porque no se persigue un propósito específico (en disputas legales que surgieron a través de un contacto de impresos, puede ser diferente). Por el contrario, los casos 3 a 5 representan una oferta con un propósito específico.

De una simple recopilación de datos no surge ninguna obligación inicialmente!

La obligación surge solo cuando se cumplen otras condiciones

De una recopilación de datos no surge en sí misma ninguna obligación. Por el contrario, usted debe ser responsable de la recopilación de datos para que surjan obligaciones para usted según la RGPD.

En relación con los casos anteriores de comunicación por correo electrónico, esto significa en concreto:

• En otoño 1, la indicación de una dirección de correo electrónico para contacto general no tiene un propósito específico. De una carta recibida sin ser solicitada no surge responsabilidad alguna. Sería lo mismo si alguien tomara su dirección de correo electrónico (o postal) de un directorio o libro telefónico y se pusiera en contacto con usted
• Otoño 2, el formulario de contacto general (sin selección ni predeterminación de un asunto), no tiene un propósito específico. De una comunicación recibida sin ser solicitada (por correo electrónico o de otra manera) sobre este tema, no surge ninguna responsabilidad
• En otoño 3, la indicación de una dirección de correo electrónico con el fin de ofrecer asesoramiento (oferta de asesoramiento) significa que surge una responsabilidad
• El otoño 4, el ofrecimiento de un formulario de contacto para brindar asesoramiento significa la aparición de una responsabilidad
• En otoño 5, el pedir que alguien te envíe una información personal significa asumir una responsabilidad. Aquí estás ofreciendo la oferta de ocuparte de algo.

En los casos 1 y 2 determinen las fuentes de financiación, pero no el propósito. En los casos 3 a 5 determinan las fuentes de financiación y el propósito, por lo que son responsables por eso. Para el formulario de contacto es necesario una consideración individual regular para aclarar si realmente hay un ofrecimiento o un equivalente a la declaración de una dirección de correo electrónico para el contacto general (lo mejor sin intereses publicitarios previstos). Esto no es una cuestión de protección de datos, sino otra.

Si se reciben datos personales sin ser solicitados, debería excluirse la posible responsabilidad eliminando estos datos. Por ejemplo, una fuga de datos podría causar problemas adicionales (debería comprobar esto en cada caso).

Un responsable es o ha sido un receptor

Solo quien sea destinatario de datos o lo haya sido, o quien haya instado a un tercero a recibir datos, puede ser responsable. En los considerandos 31, 61 y 68 DSGVO, así como en el Artículo 14, apartado 3 c DSGVO, se encuentran las consecuencias lógicas para estos casos.

Solo quien haya sido receptor de datos o lo sea o (más tarde) haya motivado a otros para recibirlos puede ser responsable.

Conclusión lógica del texto legal de la RGPD

El hecho de que exista un rol de destinatario en el responsable o a instancia del responsable también se puede justificar por el hecho de que es posible recopilar datos (to collect) sólo si hay datos para recopilar. Estos datos no caen del cielo y tampoco se obtienen al recopilar otros datos, como se establece en Artículo 4 Número 2 DSGVO sobre el tratamiento de datos. Además, las declaraciones de la DSGVO sobre la transmisión de datos personales a terceros países sin un nivel adecuado de protección de datos muestran que es necesario transmitirlos para que pueda comenzar un proceso de tratamiento de datos y surja una responsabilidad. Una transmisión, a su vez, requiere un destinatario.

El TJUE ha establecido en sentencia de 16 de julio de 2020 (núm. C-311/18, párr. 83) que "la transmisión de datos personales de un Estado miembro a un tercer país es en sí misma una tratamiento de datos personales según el artículo 4, número 2 del RGPD".

Instalación de una recepción por parte de un responsable

Su médico de cabecera le pide que envíe sus rayos X, que recibió en el hospital. Le da una dirección falsa. Usted envía sus datos a esa dirección falsa. Su médico no es destinatario de los datos, pero ha organizado su recepción por otro lado. Él es responsable de la recopilación de datos (por otro).

Sin contacto con la persona afectada también puede surgir una responsabilidad: Alguien publicita sus servicios en un cartel. El cartel solicita que se envíen datos. La dirección de destino fue indicada incorrectamente, pero se trata de la dirección de un tercero. El responsable del cartel será responsable de los datos recopilados por otro destinatario, sin haber tenido contacto previo con la persona afectada. El responsable no conoce ni conocerá nunca los datos de la persona afectada.

En este artículo se suelen excluir casos como estos por simplificar. Se habla entonces solo del receptor de datos. Sin embargo, esto hace una diferencia en los enlaces externos, por lo que se hablará más adelante con mayor detalle sobre esta cuestión.

Responsabilidad compartida

Responsabilidad compartida puede surgir cuando alguien recibe datos porque otro le ha enviado, según se desprende del fallo del TJUE de 29.07.2019 – C-40/17 ("Fashion ID"). El fallo del TJUE trata sobre el plugin de Facebook. Incluir un plugin en una página web significa técnicamente que tanto el propietario de la página web como Facebook reciben (podrían recibir) los mismos datos de los usuarios. Sólo cuando un usuario hace clic en un enlace o botón proporcionado por el plugin, que conduce a Facebook, puede Facebook recopilar más datos que están en conexión causal con la recopilación original de datos.

¿Cuáles son las consecuencias del conocimiento de un responsable sobre el tratamiento de datos en un tercero, al que se le transmite los datos, fue abordado por el TJUE en la sentencia Fashion-ID (ver más abajo, RN. 77). Se supone que allí se trataba de: Si alguien incorpora un plugin en su página web y sabe que las estadísticas de tráfico (como mínimo la dirección IP) del visitante de la página web son evaluadas por el proveedor del plugin, entonces él es responsable de ello. Esto es especialmente probable cuando el receptor de los datos es una empresa de Internet cuyo modelo de negocio se basa en la explotación de datos.

Como destinatario debe entenderse posiblemente una grupo de actores, siempre que un responsable de datos transmita a otro responsable de datos información de datos.

Antes Facebook puede comparar los datos que anteriormente obtuvo del usuario con los nuevos datos. Según la sentencia del TJUE, esta comparación solo es responsabilidad de Facebook (ya que Facebook recibió solo una parte de los datos comparados). Este tipo de procesamiento de datos, realizado únicamente por Facebook y sin instrucciones directas del propietario de la página web, también solo le corresponde a Facebook la responsabilidad, como se establece claramente en el fallo (por ejemplo, Rn. 85 del fallo). Sin embargo, esto puede ser cierto sólo si el propietario de la página web no beneficia intencionalmente de esta comparación.

Alguna vez deben haber recibido datos para que pueda surgir una responsabilidad. Si en un sitio web se nombran varios empresas como responsables conjuntos, basta con que uno de estos responsables haya recibido datos para que los demás sean considerados también responsables conjuntamente. En este caso puede no haber sido un verdadero, pero sí un lógico recepción de datos. Por lo menos una Grupo de responsables conjuntos (conjunta) ha recibido datos. Un recibo por parte de uno en el grupo significa al mismo tiempo casi un recibo por parte de todos en el grupo a la hora de resolver la cuestión de la responsabilidad en el Relaciones exteriores.

La agrupación de responsables compartidos es una unidad hacia el exterior, de la que se puede elegir a uno o todos para sacarlos. Esto aplica al menos para las amonestaciones, en cuanto sé. En el estado interno puede ser relevante para aclarar una cuestión de culpa entre los miembros del grupo saber quién (como único) recibió realmente los datos y recogió dentro del grupo de responsables para que pueda tener lugar un reajuste de culpas internas, pero no debe interesarse una persona afectada que se encuentra fuera del grupo.

Se genera una responsabilidad al incorporar imágenes externas?

Al incorporar una página web una imagen de un tercer sitio, se transmiten datos personales del visitante de la página web al tercero, a petición del propietario de la página web.

El titular de la página web (o el responsable de ella, que en general es lo mismo) es por tanto responsable de la integración de la imagen externa. Se trata aquí solo de imágenes estáticas y normales de un tercero, no de píxeles de seguimiento o similares. El tercero tampoco sabe nada de su buena suerte y tampoco ofrece ningún servicio cuando se incorpora la imagen.

El responsable de la integración de la imagen externa debe acreditar un AVV frente al tercero o responder según Artículo 5, apartado 1 c DSGVO (principio de minimización de datos). No existe justificación alguna para el enlace externo de una imagen estática que haga imposible o no soportable la integración local.

Las imágenes deben ser siempre incorporadas localmente. En cualquier caso, es necesario comprobar los derechos de autor.

Se genera una responsabilidad al establecer enlaces externos?

Es un proveedor de enlaces, es decir, alguien que coloca un enlace a una página web externa en su sitio web, ¿es responsable ante la ley de protección de datos por ese enlace?

En primer lugar, hay que establecer que la transmisión de datos del remitente al destinatario en el sentido técnico no tiene lugar. Esto ocurre en el navegador del usuario y es a instancias del usuario porque él mismo ha pulsado el enlace. Se excluye por simplicidad el caso en que un enlace debe ser pulsado, como parte de un proceso de pedido.

El remitente de enlaces recibe, por lo menos, en su contenedor (buzón) no las mismas datos que se producen al hacer clic en un enlace. Por lo tanto, no recopila datos debido a la apertura de un enlace. Excluido está el caso en que un remitente podría muy bien tener la posibilidad de seguir los clics en enlaces mediante Google Analytics o mediante lógicas de JavaScript propias. Este caso plantearía otras cuestiones, menos relacionadas con los enlaces externos y más con el seguimiento de usuarios (vgl. Artículo 5 Abs. 1 c DSGVO o Sección 15 Abs. 3 TMG).

El proveedor de enlaces determina los fines y medios para el enlace externo. El proveedor de enlaces facilita la recepción de datos personales al destino del enlace. Por lo tanto, es responsable del proveedor de enlaces.

El objetivo del enlace recibe únicamente datos técnicamente necesarios a través de un clic en el enlace, que proporciona el proveedor del enlace, por una persona. Supongamos que el proveedor del enlace no está en ninguna relación comercial o contractual con el objetivo del enlace y tampoco conoce al responsable detrás del objetivo del enlace.

El objetivo de la enlace es responsable por sí mismo para las recopilaciones de datos sobre sí mismo. No hay responsabilidad compartida según las suposiciones anteriores. Esto también se ha establecido en el juicio anterior del TJUE en Fashion ID.

La fuente de enlace es responsable, pero al final no lo es. La multiplicación cero por responsabilidad es igual a cero. En este sentido, existe una responsabilidad teórica (en la mayoría de los casos), pero no una responsabilidad factual en el proveedor del enlace.

Y a Anders le puede parecerle que los enlaces a direcciones que implican un transferencia de datos a un país no seguro, es algo malo. Aquí juega Artículo 44 DSGVO, que ha ganado relevancia después del juicio Privacy Shield ("Schrems II"). Supongo que el usuario al hacer clic en un enlace externo reconocible, ha dado su consentimiento para los riesgos potenciales si antes tuvo la oportunidad de enterarse. Sin esta información proporcionada por el responsable, se crearía una responsabilidad mayor, que no puedo discutir aquí más a fondo.

La cuestión de cómo se ve cuando el proveedor del enlace está relacionado con el objetivo del enlace, por ejemplo a través de un contrato, no será objeto de análisis aquí. Este caso es, además, muy raro comparado con la mayoría de los enlaces externos para los cuales no existe ninguna relación contractual entre el proveedor y el objetivo.

El establecimiento de enlaces a contenidos ilegales o a contenidos cuyo acceso podría provocar problemas al entrar en los Estados Unidos es más un problema de contenido (§ 7 TMG?).

Cuándo surge una responsabilidad recíproca?

El concepto de responsabilidad mutua es introducido por mí y solo auxiliarmente. La responsabilidad mutua debe significar aquí que dos personas se comunican entre sí y, cada una a petición de la última noticia del otro, envían recíprocamente un mensaje como respuesta.

La cuestión de la mutua responsabilidad está ya respondida o es respuesta a través de las explicaciones anteriores, pero se ilustrará con un ejemplo para mayor claridad.

Alguien le envía una correo electrónico en su calidad de particular sin que se lo hayan pedido. Usted responde. En su respuesta, incluye su dirección privada aunque no se la habían solicitado (por el contrario, su dirección privada forma parte de cada uno de sus correos como firma automática).

En primer lugar, no son responsables de la recepción del correo electrónico sin ser solicitado en el sentido de la RGPD. Han recopilado los datos recibidos, pero no han hecho ninguna oferta para que se les envíe la noticia. No tienen un propósito con el fin de que alguien les envíe una notificación sin ser solicitados.

El destinatario de su respuesta recopila sus datos. Él es responsable de los datos personales que se le han proporcionado en respuesta a su solicitud, por la cual ha sido solicitada. No es inicialmente responsable de los datos que usted les envía sin ser preguntados y sin conexión con su solicitud. Si partes de una respuesta podrían estar relacionadas con una solicitud aunque no se haya preguntado, debe comprobarse en cada caso individual. Por ejemplo, podría haber un código de firma obligatorio (por ejemplo, en correspondencia comercial), lo que daría lugar a la responsabilidad del destinatario.

¿Es permitida la divulgación de datos no solicitados?

Sí, si hay una base legal para ello. Por ejemplo, las autoridades de persecución penal pueden ser informadas de que han recibido contenidos que consideran ilegales o que los hacen sentir amenazados. Recientemente hubo un caso de un comprador de una unidad de disco duro en eBay. El comprador descubrió que la unidad de disco duro contenía datos del anterior propietario, que era diferente al vendedor. El comprador contactó con el anterior propietario como dueño de los datos y devolvió los datos a él. Si un dueño de datos recupera sus propios datos de alguien que los recibió sin querer, generalmente no hay problemas. Un problema podría surgir si el emisor elige un método de transmisión descuidado. Incluso la ayuda vecinal gratuita (por razones diferentes al protección de la privacidad) conlleva obligaciones importantes para quien presta ayuda!

Las bases legales de la DSGVO para el tratamiento de datos se definen en Artículo 6 DSGVO. En el ejemplo mencionado anteriormente de persecución penal, puede ser que las bases legales provengan de otros códigos legales y jueguen un papel, ya que al estar amenazados no se trata principalmente del derecho a la privacidad. También dice la DSGVO que "autoridades que en el marco de una investigación específica según el Derecho de la Unión o el Derecho de los Estados miembros puedan recibir datos personales", no son consideradas receptores. Si la transmisión de sus datos a una autoridad es legítima, no se genera responsabilidad para la autoridad en virtud de la DSGVO, porque sin un receptor no hay recopilación de datos. Espero que esto esté correcto y según Artículo 2 DSGVO, supongo que (por eso) existen leyes propias para las autoridades que regulan su responsabilidad.

Pueden los datos ser almacenados durante un tiempo indefinido?

Con datos se entienden aquí los datos personales que ha recopilado un responsable. En la medida en que una persona haya obtenido la supresión conforme al artículo 17 de la DSGVO, deben eliminarse los datos correspondientes.

Otras normas jurídicas fuera de la RGPD pueden exigir un período de conservación más largo, por ejemplo en asuntos fiscales.

Los datos sólo pueden utilizarse para fines específicos y solo en cumplimiento de las bases legales de Art. 6 DSGVO. Un procesamiento adicional para otros fines no está permitido según Art. 5 Abs. 1 b DSGVO. Sin embargo, un almacenamiento es una procesamiento adicional, por lo que esta norma legal no se aplica.

Si los datos almacenados no se vuelven a procesar, una conservación indefinida es, según mi opinión, permitida siempre que el titular de los datos no se oponga en derecho. Por supuesto también desde obligaciones de conservación. No he investigado esto más a fondo y me alegra cualquier retroalimentación.

Conclusión

La definición del concepto Recaudar es plausible y lógicamente derivable a mi parecer. Claro es que la recolección de datos representa la actividad de procesamiento de datos más temprana posible. No se requiere almacenamiento o evaluación para haber recopilado ya los datos. También está claro que se necesita una dirección a la que se envía un mensaje, desde el cual un receptor puede tener conocimiento. Una verdadera toma de conocimiento no es necesaria. La posibilidad de tomar conocimiento es suficiente.

Sin embargo, parece que una posibilidad teórica de conocimiento no es suficiente para que haya un registro de datos. Por el contrario, debe haber una verdadera posibilidad de conocimiento. Vgl. el ejemplo del buzón de correo electrónico lleno o del buzón de correos directamente incendiado después de la entrega de la carta por correo.

Quién recopile datos personales para sus propios fines con métodos que él mismo ha elegido, es responsable y por lo tanto está obligado a tratar los datos personales solo según las disposiciones de la RGPD.

La explícita indicación de que un Responsable debe ser receptor o haber instado al recibo en terceros no se encuentra en el texto legal de la RGPD, por razones desconocidas (si me equivoco, pido retroalimentación). Mi suposición es que esto se debe a la complejidad de la RGPD o que se asumió que del concepto de Transmisión se deduce una función de receptor. Sin haber recibido datos previamente, no pueden existir los de otros.

Se le hace responsable a alguien solo si ofrece un oferta, que en la RGPD se denomina propósito.

Creo que es brillante definir la recopilación de datos o el acopio (Collection) de datos en la RGPD como el primer posible proceso de tratamiento de datos y haber tenido en cuenta el concepto del acopio. Poco alguien llegaría directamente a la idea de que (siempre) se está llevando a cabo una recopilación de datos después de obtener los datos para una dirección y hacerlos accesibles al destinatario.