Cómo estructurar los datos personales: ¿ficheros o tratamientos?
¿Se puede sustituir la palabra fichero por tratamiento, cuando nos referirnos a las normativas de privacidad?
No es posible sustituir la palabra “fichero” por “tratamiento”, porque el fichero es la base sobre la cual se aplica el Reglamento y el tratamiento son las operaciones que se realizan con los datos personales contenidos en dicho fichero.
El GDPR no se aplica a cualquier tratamiento de datos personales, solo se aplica al “tratamiento de datos personales contenidos o destinados a ser incluidos en un fichero” (Art. 2 GDPR. Ámbito de aplicación material).
Fichero no es una palabra menor, ya que se nombra en la primera disposición del GDPR (art. 2), cuando se define el ámbito de aplicación material. Incluso en la nueva LOPDGDD (también art. 2), reitera el fichero como único ámbito de aplicación del GDPR y LOPDGDD.
Esta confusión es debida al cambio de la antigua LOPD al GDPR, donde se tenía asimilado el fichero con su notificación a la AEPD y, al no hacerlo ahora con el GDPR, es como si ya no existiera, pero tanto la Directiva (EU) anterior como el nuevo Reglamento (EU) no han variado nada en este sentido, los articulados referentes al fichero son exactamente iguales en las dos.
El considerando 15 del GDPR lo deja más claro:
“A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento.”
En términos de privacidad, se pueden usar las dos palabras como sinónimos porque el tratamiento (las operaciones) conlleva estructurar los datos para un fin determinado (al menos guardarlos). Esto no quita que en la documentación reglamentaria debe nombrarse cada cosa por su nombre, fichero al fichero y tratamiento al tratamiento.
¿QUÉ DIFERENCIA HAY ENTRE FICHERO Y TRATAMIENTO?
Un tratamiento es cualquier operación realizada sobre datos personales (obtención, modificación, transmisión, supresión, etc.) y un fichero es un conjunto estructurado de dichos datos (cuando los datos están organizados para un fin concreto). La diferencia es notable.
Un ejemplo muy claro es la videovigilancia en tiempo real. Se realiza un tratamiento (grabación de imágenes) pero no en base a un fichero (no se guardan). El fichero no existe y por lo tanto no debe aplicarse el GDPR ni la LOPD.
Para resumir, podríamos decir que un fichero es un conjunto estructurado de datos personales susceptible de tratamiento para un fin determinado.
NORMATIVA APLICABLE
Artículo 2 GDPR. Ámbito de aplicación material
1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Artículo 4 GDPR. Definiciones
«fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
Artículo 2 LOPDGDD. Ámbito de aplicación de los Títulos I a IX y de los artículos 89 a 94
1. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.