Reglamento General de Proteccin de Datos.

Principios y derechos

Agustn Puente Escobar

Abogado del Estado-Jefe del Gabinete Jurdico
 mbito objetivo de aplicacin

Tratamiento total o parcialmente automatizado o tratamiento no

automatizado de datos contenidos o destinados a un fichero

Excepciones
Actividades no comprendidas en el derecho de la Unin
Actividades relacionadas con la poltica exterior y de seguridad comn
Actividades sometidas a la nueva Directiva
Tratamientos sometidos al Reglamento 45/2001, sin perjuicio de su necesidad de
adaptacin
Excepcin domstica

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 2
 La excepcin domstica

Interpretacin aparentemente restrictiva

actividades exclusivamente personales o domsticas

Aclaraciones (considerando 18)

Las actividades personales y domsticas podran incluir la correspondencia y la
llevanza de un repertorio de direcciones, o la actividad en las redes
sociales y la actividad en lnea realizada en el contexto de dichas actividades
personales y domsticas.
No obstante, el presente Reglamento debe aplicarse a los responsables o
encargados del tratamiento que proporcionen los medios para tratar los datos
personales relacionados con tales actividades personales o domsticas

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 3
 mbito territorial de aplicacin

Tratamiento en el contexto de las actividades de un

establecimiento
Aplicacin a responsables y encargados
Irrelevancia del lugar donde se traten materialmente los datos
Tratamiento de datos por responsables no establecidos en la UE
Referido a datos de residentes en la UE
Supuestos
Oferta de bienes o servicios, con o sin precio
Control del comportamiento cuando ste se produzca en la UE
Aclaraciones en oferta de bienes y servicios (considerando 23)
Referencia a factores como el uso de una lengua o una moneda
utilizada generalmente en uno o varios Estados miembros con la
posibilidad de encargar bienes y servicios en esa otra
lengua, o la mencin de clientes o usuarios que residen en la
Unin
8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 4
 Nuevas definiciones

Dato personal y persona identificable

Vinculacin a identificadores de la persona fsica como un
nombre, un nmero de identificacin, datos de localizacin,
un identificador en lnea o uno o varios elementos propios de
la identidad fsica, fisiolgica, gentica, psquica, econmica,
cultural o social
Seudonimizacin
Separacin de los datos identificativos con barreras tcnicas u
organizativas que impidan la identificacin posterior
Aclaracin (considerando 28)
Se trata de una medida encaminada a la reduccin de
riesgos
No pretende excluir ninguna otra medida relativa a la
proteccin de los datos. El dato seudonimizado est
sometido al Reglamento

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 5
 Nuevas definiciones

Elaboracin de perfiles
Consentimiento del interesado
Manifestacin de voluntad libre, especfica, informada e inequvoca
Ya sea mediante una declaracin o una clara accin afirmativa
Aclaracin (considerando 32)
El silencio, las casillas ya marcadas o la inaccin no deben
constituir consentimiento
Cuando el tratamiento tenga varios fines, debe darse el
consentimiento para todos ellos
Otras aclaraciones (considerandos 42 y 43)
Datos genticos
Datos relativos a la salud
Fsica o mental. Inclusin de los referidos a la asistencia sanitaria
Aclaracin (considerando 35). Similitud con el concepto espaol

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 6
 Nuevas definiciones

Datos biomtricos
Obtenidos a partir de un tratamiento tcnico especfico
Relativos a las caractersticas fsicas, fisiolgicas o conductuales
de una persona fsica
Permiten o confirman la identificacin nica de la persona
Por ejemplo, imgenes faciales o datos dactiloscpicos
Aclaracin (considerando 51). Tratamiento de fotografas
Otros conceptos relevantes en la aplicacin
Establecimiento principal
Empresa, Grupo empresarial, representante
Tratamiento transfronterizo, BCRs
Autoridad de control interesada, objecin pertinente y motivada
Servicio de la sociedad de la informacin (remisin a Directiva
2000/31)

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 7
 Principios relativos al tratamiento. Novedades

Principio de transparencia en el tratamiento vinculado al

tratamiento leal y lcito
Aclaracin (considerando 39) informacin accesible y
comprensible
Principio de minimizacin
Vinculacin a necesidad. Proporcionalidad cuantitativa y
cualitativa
Aclaracin (considerando 39) Los datos personales solo deben
tratarse si la finalidad del tratamiento no pudiera lograrse
razonablemente por otros medios
Principios de seguridad y confidencialidad
La seguridad como principio (artculo 5) y como obligacin
(Captulo IV)
Principio de responsabilidad proactiva o accountability

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 8
 Principios relativos al tratamiento. Novedades

Finalidad compatible
Nuevas normas para el tratamiento con fines de archivo en inters pblico o fines
estadsticos o de investigacin cientfica o histrica
Test de verificacin de la compatibilidad de un fin distinto al que justific la recogida
(artculo 6.4). Elementos a considerar
Relacin entre los fines
Contexto en que se hayan recogido los datos personales, en particular relacin entre
los interesados y el responsable
Naturaleza de los datos personales, en concreto si son datos sensibles o relativos a
condenas e infracciones penales
Posibles consecuencias para los interesados del tratamiento ulterior previsto
Existencia de garantas adecuadas como el cifrado o la seudonimizacin

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 9
 Legitimacin para el tratamiento. Novedades

Consentimiento
Vinculacin a uno o varios fines especficos
Inteligible, accesible y en lenguaje claro y sencillo
En caso de declaracin escrita, debe quedar claramente
diferenciada de otras declaraciones distintas
Revocable (con la misma facilidad dada para prestarlo)
Libre. Aclaraciones
Considerando 42: no debe considerarse libremente prestado
cuando el interesado no goza de verdadera o libre eleccin
o no puede denegar o retirar su consentimiento sin sufrir
perjuicio alguno
Considerando 43: no debe constituir un fundamento jurdico
vlido para el tratamiento de datos de carcter personal en un
caso concreto en el que exista un desequilibro claro entre el
interesado y el responsable del tratamiento
Carga de la prueba del responsable

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 10
 Legitimacin para el tratamiento. Novedades

Regla del equilibrio de intereses

Diccin similar a la Directiva 95/46
Algunas modificaciones en informacin y en caso de ejercicio
del derecho de oposicin
Aclaraciones (considerandos 47 a 49)
Criterio de evaluacin: exigencia de evaluacin
meticulosa y aplicacin de la regla de la expectativa
legtima o razonable (criterio del GT 29)
Algunos ejemplos de posibles intereses legtimos a valorar
Prevencin del fraude
Marketing directo
Transmisiones de datos dentro de Grupos empresariales
Transmisiones para garantizar la seguridad de las redes,
por ejemplo a los CERT
8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 11
 Tratamiento de datos de menores

Validez del consentimiento del menor de ms de 16 aos

Posibilidad de rebaja del umbral con un mnimo de 13 aos
Reglas especiales
Especialidades en la claridad de la informacin a facilitarles
Especialidades en el derecho al borrado
Prueba (artculo 8.2)
El responsable del tratamiento har esfuerzos razonables para verificar en
tales casos que el consentimiento fue dado o autorizado por el titular de la
patria potestad o tutela sobre el nio, teniendo en cuenta la tecnologa
disponible

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 12
 Novedades en tratamiento de datos sensibles

Inclusin de nuevas categoras de datos

Datos genticos y biomtricos
Especialidades en datos de condenas e infracciones, que no son considerados
estrictamente datos sensibles pero respecto de los que se limita el tratamiento
Regla general de prohibicin y excepciones
Posibilidad de que el consentimiento no sea admisible segn la Ley Nacional
Habilitacin de derecho laboral basada tambin en Convenio Colectivo
Datos manifiestamente pblicos
Intereses pblicos esenciales segn la Ley UE o Nacional
Habilitaciones legales
Derecho laboral
Medicina preventiva o laboral
Diagnstico mdico o prestacin sanitaria
Salud pblica, asistencia sanitaria, medicamentos
Archivo y fines de investigacin histrica o cientfica o estadsticos
Otros en los mismos trminos que la Directiva 95/46
Posibilidad de inclusin de condiciones adicionales o limitaciones por el
derecho nacional
8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 13
 Derechos. Reglas generales y condiciones de ejercicio

Modificaciones en la enumeracin
La informacin como derecho de los afectados
Diferenciacin de los derechos a la rectificacin y a la supresin
(olvido)
El derecho de oposicin como parte del derecho de supresin
Nuevos derechos: limitacin y portabilidad
Condiciones generales
No atencin en caso de no contar con informacin que permita
identificar los datos del afectado
Plazo: un mes prorrogable por dos ms segn la complejidad y
nmero de solicitudes
Respuesta por medios electrnicos si el derecho se ejercit por
dichos medios salvo que el interesado manifieste lo contrario
Obligacin de informar acerca de la no atencin del derecho y la
posibilidad de acudir a la autoridad de control o los rganos judiciales
Gratuidad. Especialidades por ejercicio repetitivo
8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 14
 Derecho a la informacin/principio de transparencia

Se incrementa la informacin que habr de facilitarse

Incluye DPO, inters legtimo que justifica el tratamiento, transferencias
internacionales (incluyendo garantas), plazo de conservacin, derecho de
revocacin del consentimiento, fines distintos para los que se pretenden
tratar los datos
Si los datos no se recaban del interesado, tambin incluye la fuente de los
datos
Clarificacin del plazo en caso de no recabarse del afectado
Un mes como mximo, con carcter general
Primera comunicacin con el interesado si los datos se usan para ese fin
Primera cesin en caso de que se pretenda la misma
Excepciones al deber de informacin
Aclaracin del esfuerzo desproporcionado en caso de tratamiento con fines
de archivo, estadsticos o de investigacin cientfica o histrica
Previsin legal expresa de tratamiento o prohibicin de revelacin, con
medidas oportunas de proteccin
Obligacin de secreto legal o profesional
8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 15
 Derecho de acceso

Alcance
Confirmacin de la existencia de tratamiento
Acceso a los datos y a la informacin vinculada a los mismos
Fines
Categoras de datos
Categoras (al menos) de destinatarios
Plazo de conservacin o criterios de fijacin
Informacin de derechos de rectificacin y supresin y posibilidad de reclamacin a la
autoridad de control
Existencia de decisiones automatizadas o perfilado
Garantas adecuadas implantadas en caso de transferencia
Modo de acceso: copia de los datos (y la informacin asociada)
Gratuidad de la primera copia y canon orientado a costes en las ulteriores
Uso de medios electrnicos si el derecho se ejercit por ellos
Restriccin: perjuicio de derechos de terceros

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 16
 Derecho de supresin (olvido). Supuestos

Revocacin del consentimiento

El interesado retire el consentimiento en que se basa el tratamiento de
conformidad con el artculo 6, apartado 1, letra a), o el artculo 9, apartado 2,
letra a), y este no se base en otro fundamento jurdico
Configuracin tradicional del derecho de cancelacin
Los datos personales ya no sean necesarios en relacin con los fines para
los que fueron recogidos o tratados de otro modo
Los datos personales hayan sido tratados ilcitamente
Los datos personales deban suprimirse para el cumplimiento de una
obligacin legal establecida en el Derecho de la Unin o de los Estados
miembros que se aplique al responsable del tratamiento
Derecho de oposicin
El interesado se oponga al tratamiento con arreglo al artculo 21, apartado
1, y no prevalezcan otros motivos legtimos para el tratamiento, o el
interesado se oponga al tratamiento con arreglo al artculo 21, apartado 2
Inversin de la carga de acreditacin del inters legtimo imperioso
(art.21)
Datos de menores de edad
los datos personales se hayan obtenido en relacin con la oferta de
servicios de la sociedad de la informacin mencionados en el artculo 8,
apartado 1
8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 17
 Derecho de supresin (olvido). Excepciones

Ejercicio de las libertades de expresin e informacin

Cumplimiento de una obligacin legal que requiera el tratamiento de datos
impuesta por el Derecho de la Unin o de los Estados miembros que se aplique al
responsable del tratamiento,
Tratamiento para el cumplimiento de una misin realizada en inters pblico o
en el ejercicio de poderes pblicos conferidos al responsable
Razones de inters pblico en el mbito de la salud pblica
Fines de archivo en inters pblico, fines de investigacin cientfica o histrica o
fines estadsticos, en la medida en que el derecho pudiera hacer imposible u
obstaculizar gravemente el logro de los objetivos de dicho tratamiento
Formulacin, ejercicio o defensa de reclamaciones

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 18
 Derecho a la limitacin del tratamiento

Concepto: marcado de los datos de carcter personal conservados con

el fin de limitar su tratamiento en el futuro.
Naturaleza: diferencias con el bloqueo de los datos
Derecho del afectado vs. obligacin legal del responsable
Supuestos
Equivalentes a la cancelacin cautelar
El interesado impugne la exactitud de los datos personales,
durante un plazo que permita al responsable verificar la exactitud
de los mismos
El interesado se haya opuesto al tratamiento en virtud del
artculo 21, apartado 1, mientras se verifica si los motivos
legtimos del responsable prevalecen sobre los del interesado
Por voluntad del afectado
el tratamiento sea ilcito y el interesado se oponga a la supresin
de los datos personales y solicite en su lugar la limitacin de su
uso
el responsable ya no necesite los datos personales para los fines
del tratamiento, pero el interesado los necesite para la
formulacin, el ejercicio o la defensa de reclamaciones
8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 19
 Derecho a la portabilidad

Derecho del interesado a

Recibir los datos personales que le incumban,
Que haya facilitado a un responsable del tratamiento,
En un formato estructurado y de uso habitual y de lectura mecnica
Y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable del
tratamiento al que se hubieran facilitado los datos
Requisitos para que pueda ejercitarse (acumulativos):
El tratamiento est basado en el consentimiento o en un contrato
El tratamiento se efecte por medios automatizados
Modo de ejercicio
Podr implicar la transmisin directa de responsable a responsable a instancia del interesado
cuando sea tcnicamente posible
Limitaciones
Exceptuado cuando el tratamiento se funde en el cumplimiento de una misin de inters
pblico o inherente al ejercicio del poder pblico

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 20
 Otros derechos

Derecho de rectificacin
Vinculacin directa con el carcter inexacto o incompleto de los datos
Derecho de oposicin
General. Inversin de la invocacin de los motivos en caso de ejercicio
Opt-out en marketing directo
Decisiones automatizadas
Referencia a la elaboracin de perfiles
Excepciones por relacin contractual libremente aceptada, consentimiento o previsin del
derecho Nacional o de la UE
Derecho a expresar el punto de vista y a la impugnacin salvo cuando la decisin se base
en una previsin legal
Obligacin de comunicacin de la rectificacin, supresin o limitacin del tratamiento a los
cesionarios

8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 21
 Limitaciones

Alcance de las excepciones

Derechos del Captulo II y Principios del artculo 5 en cuanto se
vinculen al ejercicio de derechos
Catlogo de supuestos que las justifican
Reiteracin del catlogo del artculo 13.1 de la Directiva
Novedades
Referencia a objetivos importantes de inters pblico
general y no slo a los de carcter econmico o financiero
Proteccin de la independencia judicial
Ejecucin de demandas civiles. Sentencias?
Requisitos formales
Formulacin por Ley que respete los derechos y libertades
fundamentales y sea una medida necesaria y proporcionada en una
sociedad democrtica para el logro de los objetivos
Se fija expresamente el contenido mnimo de dicha disposicin para
asegurar el establecimiento de las garantas adecuadas
8. Sesin Anual Abierta de la AEPD. Gran Auditorio Ramn y Cajal. 29 de junio de 2016. 22
 www.agpd.es
8. Sesin Anual Abierta de la Agencia Espaola de Proteccin de Datos