Sede electrónica del Ayuntamiento de Madrid

La protección de datos personales es el derecho que tienen todas las personas a controlar quién usa su información, cómo se usa y con qué finalidad. Se trata de un derecho fundamental reconocido en el artículo 18.4 de la Constitución española, así como en el 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y el 16.1 del Tratado de Funcionamiento de la Unión Europa.

Este derecho busca garantizar la privacidad y seguridad de los datos en un mundo donde la tecnología y el intercambio de información son parte de la vida cotidiana.

Los datos personales son toda información sobre una persona física identificada o identificable, esto es, toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador.

Estos datos pueden ser numéricos, alfabéticos, gráficos, fotográficos o acústicos.

Estos datos pueden ser identificadores de muy diverso tipo:

• nombre y apellidos,
• domicilio,
• dirección de correo electrónico, del tipo nombre.apellido@empresa.com o nombre.apellido@gmail.com (o hotmail.com, telefónica.net, etc.). Siempre que el correo pueda identificar a una persona, es un dato personal.
• número de documento nacional de identidad o de pasaporte, número de identificación de extranjería (NIE), número de afiliación a la Seguridad Social,etc.),
• fotografía, voz,
• una dirección IP,
• uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de una persona (raza, sexo, huella dactilar, historial médico, información bancaria,etc.)

No se considera dato personal:

• datos de catastro, datos de superficies,
• número de registro mercantil,
• dirección de correo electrónico, del tipo info@empresa.com,
• datos anonimizados.

En cualquier caso, los datos que se recaben serán los necesarios para prestar el servicio solicitado y serán tratados con las medidas de seguridad adecuadas a su naturaleza y tratados con la debida confidencialidad.

La protección de datos no solo evita el uso indebido de nuestra información, sino que también nos protege contra fraudes, robos de identidad y abusos por parte de empresas u otras entidades. Nos permite decidir quién puede acceder a nuestros datos y con qué propósito.

En Europa, este derecho está regulado por el Reglamento General de Protección de Datos (RGPD), que obliga a las empresas y organizaciones a tratar los datos de forma responsable, respetando la privacidad de las personas y asegurando que los datos se utilicen solo para los fines autorizados.

Como ciudadanos, también debemos tomar medidas para proteger nuestros propios datos. Algunas buenas prácticas que deben tenerse en cuenta para mantener el control sobre nuestros datos pasan por:

• Leer las políticas de privacidad antes de aceptar términos en sitios web o aplicaciones.
• No compartir información personal en plataformas no seguras.
• Usar contraseñas seguras y diferentes para cada cuenta o servicio.
• Configurar adecuadamente la privacidad en las redes sociales.
• Ser cautelosos con correos electrónicos o llamadas sospechosas que soliciten información personal.

Cada vez que navegamos por internet, usamos redes sociales, compramos en línea o incluso realizamos un trámite con el Ayuntamiento, estamos proporcionando datos personales. Estos pueden incluir datos básicos como nuestro nombre, dirección, número de teléfono o datos más sensibles como historial médico o información bancaria o tributaria. La protección de datos garantiza que estemos informados y que podamos gestionar y controlar nuestros datos personales de una manera efectiva.

La privacidad es un derecho de todos, y desde el Ayuntamiento de Madrid estamos comprometidos en su defensa y protección.

El Ayuntamiento de Madrid solo puede tratar tus datos si se encuentra legitimado para ello, Eso exige la existencia de un fundamento jurídico, que dependerá de las circunstancias y condiciones de cada actividad concreta, que permiten que el tratamiento de datos personales de manera lícita.

La normativa reconoce seis posibles bases de legitimación para el tratamiento de los datos personales, aunque la última de ellas no es aplicable a las Administraciones Públicas.

• Consentimiento del titular: el interesado ha dado su autorización de manera libre, informada, específica e inequívoca para el tratamiento de sus datos.
• Ejecución de un contrato: es necesario tratar los datos para cumplir un contrato en el que el titular sea parte.
• Cumplimiento de una obligación legal: el tratamiento es necesario para cumplir con lo previsto en una norma con rango de ley.
• Intereses vitales: es necesario para proteger la vida o integridad de una persona.
• Interés público o ejercicio de poderes públicos: el tratamiento es necesario para desarrollar una tarea realizada en interés público o en el ejercicio de las competencias atribuidas a un órgano público.
• Interés legítimo del responsable del tratamiento: cuando el tratamiento es necesario para los intereses legítimos de la organización, siempre que no prevalezcan los derechos y libertades del titular. Esta base de legitimación no es aplicable a las Administraciones Públicas.

Sea cual sea la base de legitimación que respalde el tratamiento de los datos que se recogen, su aportación es necesaria e imprescindible para atender las peticiones de la ciudadanía o poder prestar los servicios y gestiones que se demanden.

1. Lealtad con el interesado se refiere a que los datos personales no sean tratados de forma fraudulenta.
2. Transparencia: toda información relativa al tratamiento de los datos personales debe ser fácilmente accesible y entendible, usando para ello un lenguaje claro y sencillo. En particular, la transparencia se refiere al derecho a la información relativa a la identidad de los responsables del tratamiento y a la finalidad de dicho tratamiento, con el objetivo de que se realice un tratamiento leal y transparente a las personas afectadas.
3. Licitud: el tratamiento de los datos personales debe estar amparado en alguna base de legitimación.
4. Limitación de la finalidad: los datos personales serán tratados con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
5. Minimización de datos: los datos de carácter personal serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
6. Exactitud: los datos de carácter personal serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
7. Limitación del plazo de conservación y accesibilidad: los datos de carácter personal personales serán mantenidos y accesibles de forma que se permita la identificación de los interesados durante el tiempo necesario para los fines que justificaron su tratamiento.
8. Integridad y confidencialidad: los datos de carácter personal serán tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas y organizativas apropiadas. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto incluso después de haber concluido aquél.
9. Responsabilidad proactiva: el responsable del tratamiento es responsable del cumplimiento de estos principios y deberá ser capaz de demostrarlo.

La ciudadanía tiene derecho a que el Ayuntamiento de Madrid, como responsable del tratamiento, proporcione a la persona interesada información clara, transparente y accesible sobre el uso de sus datos personales. Este derecho garantiza que las personas sepan cómo y por qué se están tratando sus datos, promoviendo la transparencia y el control sobre su información.

Cuando el Ayuntamiento recoja y trate datos personales deberá informar, al menos, de los siguientes aspectos:

• La actividad de tratamiento en la que están incluidos tus datos personales.
• La identidad y los datos de contacto del responsable del tratamiento y del Delegado de Protección de Datos (DPD).
• Los fines para los que se están tratando y la norma jurídica en que se basa para poder hacerlo.
• Los destinatarios a los que se van a comunicar los datos en caso necesario.
• Si se van a realizar transferencias internacionales de datos.
• Durante cuánto tiempo se van a conservar los datos.
• Qué derecho tienen los ciudadanos y cómo ejercerlos.
• Derecho a retirar el consentimiento prestado en el caso en que el tratamiento esté basado en tu consentimiento explícito.
• Información sobre el derecho a presentar una reclamación ante una autoridad de control. En nuestro caso, nos sometemos a la autoridad nacional de control, que es la Agencia Española de Protección de Datos (AEPD).
• Información sobre si se están tomando decisiones automatizadas o se están elaborando perfiles con tus datos. Con carácter general, el Ayuntamiento de Madrid no realiza estas actuaciones.

Esta información se debe suministrar:

• En el momento en que se proporcionan los datos, si se obtienen directamente de la persona interesada (por ejemplo, cuando se cumplimenta un formulario de solicitud), o
• En un plazo razonable, máximo un mes, cuando los datos se obtienen de un tercero (por cesión, por acceso público, etc.).

En el caso de que la información vaya dirigida a menores, además de utilizar un lenguaje claro, sencillo y comprensible, debe estar adaptada a su nivel de madurez con el objetivo de garantizar que comprenden como se manejarán sus datos y qué derechos tienen.

El Reglamento General de Protección de Datos (RGPD), conocido también como ‘Reglamento Europeo de Protección de Datos’, entró en vigor en mayo de 2016. No obstante, se concedió un período de dos años para la adaptación al mismo de todas las organizaciones que trataran datos personales, por lo que es de obligada aplicación desde el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento, deben adecuar el tratamiento de datos personales que realizan a lo previsto en el citado Reglamento.

Además del RGPD, en diciembre de 2018 se aprobó la Ley Orgánica de Protección de Datos y garantía de los derechos digitales que completa lo dispuesto en la norma comunitaria.

• Normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales.
• Normas relativas a la libre circulación de tales datos. 
• Protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
• La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

Toda información sobre una persona física identificada o identificable ('el interesado'); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Persona identificada: toda persona cuya identidad está determinada.

Ejemplos de datos de personas identificadas: DNI, nombre y apellidos más DNI, nombre y apellidos más dirección postal, etc. 

Persona identificable: toda persona cuya identidad pueda determinarse de forma directa o indirecta, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural, social u otra. Si para realizar la identificación se requieren plazos o actividades desproporcionadas, la persona no se considerará identificable. Para ello deberá tenerse en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.

Ejemplos de datos de personas identificables: número de registro de personal, número de historia clínica, dirección IP, etc.

Por ejemplo, a través del número de historia clínica de un hospital, el personal médico del hospital puede saber a qué paciente pertenece, aunque el resto del personal del hospital no.

Cuando a partir de los datos disponibles sea imposible determinar la persona a quien pertenecen.

Si la información que se facilita se hace de forma disociada, no permite la identificación de la persona.

Por ejemplo, facilitar información estadística de una encuesta.

Los datos de contacto son información referida a personas físicas identificadas (datos de carácter personal) por lo que su tratamiento se encuentra sometido al RGPD.

No obstante, su tratamiento podría realizarse al amparo del interés legítimo si se cumplen los siguientes requisitos:

• Que se traten los mínimos datos imprescindibles de contacto.
• Que se traten únicamente con la finalidad de mantener relaciones "business to business" (B2B) y no se establezcan relaciones personales con las personas titulares de los mismos.

Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.

Categoría de datos que debido a su incidencia especial en la intimidad, las libertades públicas y los derechos fundamentales de la persona, es necesaria una mayor protección que el resto de datos personales.

• origen étnico o racial,
• las opiniones políticas,
• las convicciones religiosas o filosóficas,
• la afiliación sindical,
• datos genéticos,
• datos biométricos
• datos relativos a la salud
• datos relativos a la vida sexual
• orientación sexual

Datos personales sobre la salud física o mental de una persona física e incluyen la prestación de servicios de atención sanitaria, que revelen información sobre el estado de salud del interesado pasado, presente o futuro.

Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona:

• Muestras biológicas (sangre, saliva, ...)
• ADN

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona:

• Imágenes faciales
• Huella dactilar
• Iris del ojo,
• Rasgos faciales
• Rasgos de la palma de la mano
• Reconocimiento de la firma,etc.

El Reglamento General de Protección de Datos (RGPD) requiere que el consentimiento sea ‘inequívoco’, lo que supone que se preste mediante una manifestación expresa del interesado o mediante una clara acción afirmativa.

Esto excluye la utilización del llamado consentimiento tácito, que permitía la anterior normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet.

El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

• Puede ser para uno o varios fines similares.
• Ante la existencia de varios fines distintos, debe prestarse el consentimiento para cada uno de ellos.
• Debe ser prestado de forma libre.
• Es revocable. En este caso sólo surtirá efecto desde la fecha de revocación.
• El responsable debe poder probar en todo momento la existencia del consentimiento.
• La información para solicitar el consentimiento debe utilizar un lenguaje claro y sencillo.
• Debe ser demostrable su existencia.

Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:

• Tratamiento de datos sensibles.
• Adopción de decisiones automatizadas.
• Transferencias internacionales.

El consentimiento de los menores sólo será válido cuando sea mayor de 14 años.

El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo es lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.

Los menores mayores de 14 años puedan ejercitar los derechos de acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles).

En el caso de menores de 14 años el ejercicio de estos derechos se realizará siempre por quien ostente la patria potestad o por sus tutores.

Cuando se trate de eventos organizados por el centro escolar hay que distinguir:

• Si se trata de un evento al margen de la función educativa que cumple el centro escolar:
  1. Si es el propio centro escolar el que procede a la grabación de las imágenes deberá informar a los interesados, los propios menores si tienen más de 14 años y, si fueran más pequeños, a sus padres o tutores, de la finalidad de la grabación de las imágenes y de la difusión que de ellas se pretende hacer, si van a ser publicadas en páginas web, en redes sociales, o en cualquier otro tipo de publicación y solicitar su consentimiento.
  2. Si la toma de imágenes se realiza por los familiares de los alumnos, estaría fuera del ámbito de aplicación del Reglamento General de Protección de datos ya que, no se aplica dicha normativa al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.

No obstante, la divulgación fuera de ese ámbito de imágenes de personas sin su consentimiento a terceros, por ejemplo, la publicación de las imágenes en redes sociales “en abierto” constituye un tratamiento de datos que sí necesitaría del consentimiento de los afectados, pues en ese caso le sería de aplicación la legislación de protección de datos.

• Si el evento responde al ejercicio de la función educativa de los centros la utilización de los datos para dicha finalidad se entendería amparada en la Ley Orgánica de Educación.

Se recomienda que el centro educativo, al solicitar permiso a los padres para la participación de los menores en eventos escolares, informe de la posibilidad de que familiares y amigos del alumnado podrían tomar imágenes del evento para un uso doméstico. Igualmente, constituiría una buena práctica si se procediera a informar antes de empezar el evento (por ejemplo, mediante carteles) de que su grabación sólo es factible para uso doméstico (actividades privadas, familiares y de amistad).