Para conocer cómo se entienden los datos personales en el mundo, vamos a comentar brevemente legislación internacional.
A nivel internacional, el Reglamento General de Protección de Datos Personales (RGPD) de la Unión de Europea tiene una dimensión amplia en cuanto a la información que pueda constituir datos personales, extendiéndolo a todos aquellos datos que sean directos o indirectos, es decir, todo dato que corresponda no solo a la fácil identificación sino incluso a aquello que pueda estar relacionado como los gustos y preferencias.
Para ello se acude a 4 componentes que más adelante vamos a conocer en detalle, en un claro intento de abarcar todas las posibilidades de generación de información que puedan contener datos personales.
Para este reglamento, los datos personales tienen una aplicación dinámica y se hace extensiva no solo a su vida íntima y privada, sino también a otras libertades y derechos fundamentales.
En cambio, la Ley de Privacidad del Consumidor de California (CCPA por sus siglas en inglés) se basa en la protección del derecho a la privacidad, cuyo ámbito de aplicación está restringido o enfocado a la protección del consumidor y solo para las personas residentes de California.
En esta ley, las personas tienen derecho a acceder a los datos de sí mismas que tienen las empresas, así como manifestar su oposición a que esos datos sean vendidos y a exigir la eliminación de estos.
Por otra parte, el CCPA prohíbe a las empresas el trato discriminatorio a los consumidores que ejerzan su derecho a la privacidad; por lo que no les podrían cobrar un precio diferente a estos consumidores o proporcionar bienes o servicios diferenciados con base en los derechos que les da esta normativa (fuente: https://www.questionpro.com/blog/es/que-es-la-ccpa-o-ley-de-privacidad-del-consumidor-de-california/).
De tales diferencias se pude resumir que el RGPD es extensivo y dinámico en cuanto la determinación de lo que pueda ser o no dato personal, mientras el CCPA lo reduce o limita a un sector de la población (las personas consumidoras). Para este último caso, tocaría investigar por ejemplo qué tipo de protección recibirían los datos personales de las personas menores de edad y con discapacidad a las que les cubra la CCPA.
En conformidad con la comparación expuesta y tomando como referencia únicamente el RGPD de la Unión Europea y la Ley N°8968, Ley de Protección de la Persona Frente al Tratamiento de sus datos personales, vemos que ambas regulaciones señalan que será dato personal: todo aquel dato que identifique o haga identificable a una persona.
Es así como el inciso b) del artículo 2) que establece algunas de las definiciones en la Ley N°8968, Ley de Protección de la Persona frente al tratamiento de sus datos personales, (otras se encuentran en su reglamento) dispone que:
“(…) b) Datos: cualquier dato relativo a una persona física identificada o identificable.” (…)
Ahora bien, para comprender qué dato hace a una persona física identificada o identificable, es importante considerar los tipos de datos.
Al respecto, la Comisión Europea señala algunos ejemplos sobre qué son y qué no son datos personales, por ejemplo:
Datos personales
- nombre y apellidos.
- domicilio.
- dirección de correo electrónico, del tipo nombre.apellido@empresa.com.
- número de documento nacional de identidad.
- datos de localización (como la función de los datos de localización de un teléfono móvil) (*).
- dirección de protocolo de internet (IP).
- el identificador de una cookie (*).
- el identificador de la publicidad del teléfono.
- los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara de forma única a una persona.
Datos no considerados personales
- número de registro mercantil.
- dirección de correo electrónico, del tipo info@empresa.com.
- datos anonimizados.
De tales ejemplos como señala el Lic. Rafael Montenegro, podemos entender que el concepto de dato personal no es estático, sino dinámico, pues existen elementos que pueden ir permitiendo analizar esos datos personales procesados.
La tecnología ha permitido recolectar otros datos personales que antes no eran registrables, por ejemplo:
- la biometría de nuestro rostro.
- la huella electrónica.
- el iris de nuestros ojos.
- la frecuencia cerebral.
- el resultado de un examen de laboratorio.
- nuestro estado de salud, física, emocional y mental (con el uso de otras tecnologías, que reflejen o informen al respecto).
- o la dirección IP de la computadora o dispositivo móvil.
También ha permitido recopilar los datos relativos a nuestros hábitos de consumo, lo que compramos, lo que comemos, nuestro gustos y preferencias, los cuales van sumando información que va identificándonos y hasta perfilándonos.
¿Ha usted notado que cuando comienza a realizar búsquedas en su dispositivo móvil o computadora de un producto cualquiera, el algoritmo le envía publicidad relacionada con ese gusto o preferencia, como si leyera nuestra mente? No, no es adivinación, es predicción. Usted ha dado sus datos y a partir de ahí tiene la información para conocerle, de forma directa o indirecta.
Reglamento General de Protección de Datos Personales de la Unión de Europea.
Ley de Privacidad del Consumidor de California.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).