Académique Documents
Professionnel Documents
Culture Documents
D
El Reglamento (UE) 2016/679, de 27
MA
de abril, relativo a la protección de las
personas físicas en lo que respecta
al tratamiento de datos personals y
a la libre circulación de estos datos.
Principios y derechos. Obligaciones
AL
RI
ITO
Índice
ED
D
1. La protección de datos de carácter personal. El Reglamento
(UE) 2016/679, de 27 de abril, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos
MA
personales y a la libre circulación de estos datos
1.1. Introducción
En cualquier actividad de la vida moderna es normal que se nos solicite información
referente a datos personales. Dato personal es una información que nos identifica o nos
puede hacer identificables, como el nombre, el NIF, una fotografía o una grabación de
nuestra voz. Cuando hacemos una matrícula para realizar unos estudios, reservamos
una habitación de hotel, abrimos una cuenta en un banco, navegamos por internet,
AL
estamos facilitando datos que quedan a merced de la entidad o las personas que nos
los solicitan.
En las redes sociales, exponemos información sobre nosotros mismos, colgamos fo-
tos, vídeos y comentarios, nos agregamos a páginas que tratan sobre las cosas que nos
interesan y también etiquetamos a nuestros amigos y compartimos datos y opiniones
sobre ellos.
Cada vez más, se hace necesario que aprendamos a vivir respetando la intimidad de
RI
los demás y a defender y proteger nuestros derechos y los de los más cercanos a nosotros.
ITO
ED
D
La protección de datos de carácter personal es un derecho fundamental reconocido
en el artículo 18 de la Constitución Española. Dicho artículo establece lo siguiente:
“1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia
imagen.
MA
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en el sin con-
sentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, tele-
gráficas y telefónicas, salvo resolución judicial.
4. La Ley limitará el uso de la informática para garantizar el honor y la intimidad per-
sonal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”
Con objeto de garantizar y proteger, en lo que concierne al tratamiento de los datos
personales, las libertades públicas y los derechos fundamentales de las personas físicas,
AL
y especialmente de su honor e intimidad personal y familiar, se aprobó la Ley Orgáni-
ca 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esta ley
adoptó al ordenamiento español lo dispuesto por la Directiva 95/46/CE del Parlamento
Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos.
Por Real Decreto 1720/2007, de 21 de diciembre, se aprobó el Reglamento de desarro-
RI
llo de dicha Ley Orgánica 15/1999.
El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos
(RGPD) aprobado por la Unión Europea, que deroga la anteriormente citada Directiva
95/46/CE.
El nuevo Reglamento General de Protección de Datos, aplicable desde el 25 de mayo
ITO
de 2018 (dos años después de su entrada en vigor), extiende su aplicación a todos los
países miembros de la Unión Europea, otorgando además a los ciudadanos una mayor
protección ante empresas ubicadas fuera de la Unión Europea.
El RGPD es una norma directamente aplicable, que no requiere de normas internas
de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o
aplicación.
El RGPD no deroga la Ley Orgánica 15/1999, ni su Reglamento de desarrollo, despla-
zándolos únicamente en aquello en que resulten incompatibles con él, lo cual nos obli-
gará a trenzar las citadas normas a lo largo de este tema.
ED
Sabías que...
El 28 de enero se celebra el día europeo de la protección de datos.
411
cuerpo general auxiliar de la administración del estado
D
1.2. El Reglamento (UE) 2016/679, de 27 de abril, relativo a la
protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos.
MA
Disposiciones generales
1.2.1. Objeto
El Reglamento General de Protección de Datos (RGPD) señala que su objeto son:
– Las normas relativas a la libre circulación de tales datos. La libre circulación de los
datos personales en la Unión no podrá ser restringida ni prohibida por motivos
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendi-
das en el ámbito de aplicación del capítulo 2 del título V del TUE;
D
El Reglamento se aplica al tratamiento de datos personales de interesados que resi-
dan en la Unión por parte de un responsable o encargado no establecido en la Unión,
cuando las actividades de tratamiento estén relacionadas con:
MA
mente de si a estos se les requiere su pago, o
D
1.3.3. Tratamiento del número nacional de identificación
Los Estados miembros podrán determinar adicionalmente las condiciones específicas
para el tratamiento de un número nacional de identificación o cualquier otro medio de
MA
identificación de carácter general. En ese caso, el número nacional de identificación o
cualquier otro medio de identificación de carácter general se utilizará únicamente con las
garantías adecuadas para los derechos y las libertades del interesado con arreglo al RGPD.
AL
nio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el
lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o
clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y
prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.
Dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad
humana de los interesados así como sus intereses legítimos y sus derechos fundamen-
tales, prestando especial atención a la transparencia del tratamiento, a la transferencia
RI
de los datos personales dentro de un grupo empresarial o de una unión de empresas
dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar
de trabajo.
Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte
de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación,
ITO
D
– Que siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior
que no permita o ya no permita la identificación de los interesados, esos fines se
alcanzarán de ese modo.
Cuando se traten datos personales con fines de investigación científica o histórica
MA
o estadísticos el Derecho de la Unión o de los Estados miembros podrá establecer ex-
cepciones a los derechos de acceso, de rectificación, de limitación del tratamiento y de
oposición, sujetas a las condiciones y garantías indicadas anteriormente, siempre que
sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los
fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.
Cuando se traten datos personales con fines de archivo en interés público, el Dere-
cho de le Unión o de los Estados miembros podrá prever excepciones a los derechos de
acceso, de rectificación, de limitación del tratamiento, de portabilidad de los datos y de
oposición, sujetas a las condiciones y garantías del citado artículo 89.1, siempre que esos
derechos puedan imposibilitar u obstaculizar gravemente el logro de los fines científicos
AL
y cuanto esas excepciones sean necesarias para alcanzar esos fines.
En caso de que el tratamiento a que hacen referencia los dos párrafos anteriores sirva
también al mismo tiempo a otro fin, las excepciones solo serán aplicables al tratamiento
para los fines mencionados en dichos párrafos.
RI
ITO
1.4. Definiciones
A) Para entender bien lo regulado tanto por la LO 15/1999, como por su Reglamento
de desarrollo, se hace necesario definir algunos términos que mencionan estas
ED
normas:
– Afectado o interesado: persona física titular de los datos que sean objeto del
tratamiento.
– Bloqueo de datos: la identificación y reserva de los datos de carácter personal
con el fin de impedir su tratamiento.
415
cuerpo general auxiliar de la administración del estado
D
– Cancelación: procedimiento en virtud del cual el responsable cesa en el uso
de los datos. La cancelación implicará el bloqueo de los datos, consistente en
la identificación y reserva de los mismos con el fin de impedir su tratamiento
excepto para su puesta a disposición de las Administraciones públicas, Jueces
MA
y Tribunales, para la atención de las posibles responsabilidades nacidas del tra-
tamiento y sólo durante el plazo de prescripción de dichas responsabilidades.
Transcurrido ese plazo deberá procederse a la supresión de los datos.
– Cesión o comunicación de datos: tratamiento de datos que supone su reve-
lación a una persona distinta del interesado.
– Consentimiento del interesado: toda manifestación de voluntad, libre, in-
equívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
– Dato disociado: aquél que no permite la identificación de un afectado o intere-
sado.
AL
– Datos de carácter personal: cualquier información numérica, alfabética, grá-
fica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físi-
cas identificadas o identificables.
– Datos de carácter personal relacionados con la salud: las informaciones
concernientes a la salud pasada, presente y futura, física o mental, de un indivi-
duo. En particular, se consideran datos relacionados con la salud de las perso-
RI
nas los referidos a su porcentaje de discapacidad y a su información genética.
– Declarante: persona física que cumplimenta la solicitud de inscripción y actúa
como mediador entre la Agencia y el titular/responsable del fichero. No debe
necesariamente coincidir con el titular/responsable.
– Destinatario o cesionario: la persona física o jurídica, pública o privada u ór-
gano administrativo, al que se revelen los datos.
ITO
Podrán ser también destinatarios los entes sin personalidad jurídica que ac-
túen en el tráfico como sujetos diferenciados.
– Encargado del tratamiento: la persona física o jurídica, pública o privada, u
órgano administrativo que, solo o conjuntamente con otros, trate datos perso-
nales por cuenta del responsable del tratamiento o del responsable del fiche-
ro, como consecuencia de la existencia de una relación jurídica que le vincula
con el mismo y delimita el ámbito de su actuación para la prestación de un
servicio.
ED
Podrán ser también encargados del tratamiento los entes sin personalidad ju-
rídica que actúen en el tráfico como sujetos diferenciados.
– Exportador de datos personales: la persona física o jurídica, pública o priva-
da, u órgano administrativo situado en territorio español que realice, conforme
a lo dispuesto en el Reglamento, una transferencia de datos de carácter perso-
nal a un país tercero.
416
El procedimiento administrativo. régimen jurídico del sector público
D
– Fichero: todo conjunto organizado de datos de carácter personal, que permita
el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere
la forma o modalidad de su creación, almacenamiento, organización y acceso.
– Ficheros de titularidad privada: los ficheros de los que sean responsables las
MA
personas, empresas o entidades de derecho privado, con independencia de
quien ostente la titularidad de su capital o de la procedencia de sus recursos
económicos, así como los ficheros de los que sean responsables las corpora-
ciones de derecho público, en cuanto dichos ficheros no se encuentren estric-
tamente vinculados al ejercicio de potestades de derecho público que a las
mismas atribuye su normativa específica.
– Ficheros de titularidad pública: los ficheros de los que sean responsables los
órganos constitucionales o con relevancia constitucional del Estado o las ins-
tituciones autonómicas con funciones análogas a los mismos, las Administra-
ciones públicas territoriales, así como las entidades u organismos vinculados o
AL
dependientes de las mismas y las Corporaciones de derecho público siempre
que su finalidad sea el ejercicio de potestades de derecho público.
– Fichero no automatizado: todo conjunto de datos de carácter personal orga-
nizado de forma no automatizada y estructurado conforme a criterios específi-
cos relativos a personas físicas, que permitan acceder sin esfuerzos despropor-
cionados a sus datos personales, ya sea aquél centralizado, descentralizado o
repartido de forma funcional o geográfica.
RI
– Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser rea-
lizada, por cualquier persona, no impedida por una norma limitativa o sin más
exigencia que, en su caso, el abono de una contraprestación. (Tienen la consi-
deración de fuentes de acceso público, exclusivamente, el censo promocional, los
repertorios telefónicos en los términos previstos por su normativa específica y las
listas de personas pertenecientes a grupos de profesionales que contengan única-
ITO
mente los datos de nombre, título, profesión, actividad, grado académico, dirección
e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de
acceso público los diarios y boletines oficiales y los medios de comunicación.)
– Identificación del afectado: cualquier elemento que permita determinar di-
recta o indirectamente la identidad física, fisiológica, psíquica, económica, cul-
tural o social de la persona afectada.
– Importador de datos personales: la persona física o jurídica, pública o priva-
da, u órgano administrativo receptor de los datos en caso de transferencia in-
ternacional de los mismos a un tercer país, ya sea responsable del tratamiento,
ED
D
– Procedimiento de disociación: todo tratamiento de datos personales que
permita la obtención de datos disociados; es decir, que la información que se
obtenga no pueda asociarse a persona identificada o identificable.
– Responsable del fichero o del tratamiento: persona física o jurídica, de na-
MA
turaleza pública o privada, u órgano administrativo, que sólo o conjuntamente
con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque
no lo realizase materialmente.
Podrán ser también responsables del fichero o del tratamiento los entes sin
personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
– Tercero: la persona física o jurídica, pública o privada u órgano administrativo
distinta del afectado o interesado, del responsable del tratamiento, del respon-
sable del fichero, del encargado del tratamiento y de las personas autorizadas
para tratar los datos bajo la autoridad directa del responsable del tratamiento
AL
o del encargado del tratamiento.
Podrán ser también terceros los entes sin personalidad jurídica que actúen en
el tráfico como sujetos diferenciados.
– Transferencia de datos: el transporte de los datos entre sistemas informáticos
por cualquier medio de transmisión, así como el transporte de soportes de da-
tos por correo o por cualquier otro medio convencional.
RI
– Transferencia internacional de datos: tratamiento de datos que supone una
transmisión de los mismos fuera del territorio del Espacio Económico Europeo,
bien constituya una cesión o comunicación de datos, bien tenga por objeto la
realización de un tratamiento de datos por cuenta del responsable del fichero
establecido en territorio español.
– Tratamiento de datos: cualquier operación o procedimiento técnico, sea o
ITO
D
– Seudonimización: el tratamiento de datos personales de manera tal que ya
no puedan atribuirse a un interesado sin utilizar información adicional, siem-
pre que dicha información adicional figure por separado y esté sujeta a medi-
das técnicas y organizativas destinadas a garantizar que los datos personales
MA
no se atribuyan a una persona física identificada o identificable.
– Violación de la seguridad de los datos personales: toda violación de la se-
guridad que ocasione la destrucción, pérdida o alteración accidental o ilícita
de datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos.
– Datos genéticos: datos personales relativos a las características genéticas he-
redadas o adquiridas de una persona física que proporcionen una información
única sobre la fisiología o la salud de esa persona, obtenidos en particular del
análisis de una muestra biológica de tal persona.
– Datos biométricos: datos personales obtenidos a partir de un tratamiento
AL
técnico específico, relativos a las características físicas, fisiológicas o conduc-
tuales de una persona física que permitan o confirmen la identificación única
de dicha persona, como imágenes faciales o datos dactiloscópicos.
– Establecimiento principal:
a) En lo que se refiere a un responsable del tratamiento con establecimientos
en más de un Estado miembro, el lugar de su administración central en la
RI
Unión, salvo que las decisiones sobre los fines y los medios del tratamiento
se tomen en otro establecimiento del responsable en la Unión y este último
establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo
caso el establecimiento que haya adoptado tales decisiones se considerará
establecimiento principal.
b) En lo que se refiere a un encargado del tratamiento con establecimientos
ITO
D
– Normas corporativas vinculantes: las políticas de protección de datos perso-
nales asumidas por un responsable o encargado del tratamiento establecido
en el territorio de un Estado miembro para transferencias o un conjunto de
transferencias de datos personales a un responsable o encargado en uno o
MA
más países terceros, dentro de un grupo empresarial o una unión de empresas
dedicadas a una actividad económica conjunta.
AL
a) el responsable o el encargado del tratamiento está establecido en el terri-
torio del Estado miembro de esa autoridad de control;
D
2. Principios
2.1. Principios recogidos en la LO 15/1999
MA
Los principios que rigen la protección de datos de carácter personal se refieren, fun-
damentalmente, a dos momentos de la actuación del responsable del fichero o del tra-
tamiento:
– La recogida de los datos.
– El tratamiento de los datos.
El responsable del fichero tiene dos obligaciones básicas a la hora de recoger informa-
ción, que podemos considerar como dos primeros principios básicos:
– Informar previamente al interesado.
AL
– Solicitar el consentimiento del interesado.
Por otro lado, una vez obtenidos los datos, existen una serie de obligaciones para
garantizar que el responsable del fichero hará un tratamiento adecuado de los mismos.
Las garantías que se han de obtener, y que nos indican tres principios básicos más, son:
– La calidad de los datos.
– La seguridad de los datos.
RI
– El secreto de los datos.
Por último, la L.O. 15/1999, en su título II dedicado a los principios de la protección de
datos, incluye tres principios más:
– Los datos especialmente protegidos.
ITO
– La comunicación de datos.
– El acceso a los datos por cuenta de terceros.
Vamos a ver a continuación con más detalle cada uno de estos principios:
D
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
MA
oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
Las advertencias citadas en este artículo deben figurar en los cuestionarios u otros
impresos que se utilicen para la recogida de datos.
La información de los puntos b), c) y d) no será necesaria si el contenido de ella se
deduce claramente de la naturaleza de los datos personales que se solicitan o de las cir-
cunstancias en que se recaban.
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste
AL
deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fi-
chero o su representante, dentro de los tres meses siguientes al momento del registro
de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del
tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e).
No será de aplicación lo dispuesto en el párrafo anterior en los siguientes casos:
– Cuando expresamente una ley lo prevea.
– Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
RI
– Cuando la información al interesado resulte imposible o exija esfuerzos despro-
porcionados, a criterio de la Agencia Española de Protección de Datos o del orga-
nismo autonómico equivalente, en consideración al número de interesados, a la
antigüedad de los datos y a las posibles medidas compensatorias.
– Cuando los datos procedan de fuentes accesibles al público y se destinen a la acti-
ITO
D
– Es previo e informado. La información sobre el tratamiento ha de ser previa al con-
sentimiento.
– Es específico. La solicitud del consentimiento deberá ir referida a un tratamiento
o serie de tratamientos concretos, con delimitación de la finalidad para los que se
MA
recaba, así como de las restantes condiciones que concurran en el tratamiento o
serie de tratamientos.
– Es revocable. Excepto cuando sea obligatorio facilitar los datos, si se puede con-
sentir libremente, del mismo modo, se puede retirar el consentimiento.
Si no se informara claramente de la finalidad a la que se destinarán los datos respecto
de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada
por el cesionario, el consentimiento será nulo.
No obstante, si los datos recabados no son especialmente sensibles, se admitía (hasta
la entrada en aplicación del RGPD) que dicho consentimiento pudiera ser tácito, tal y
AL
como se establece en el Informe Jurídico 0645/2009 emitido por la Agencia Española de
Protección de Datos.
Actividad 1
RI
Rellena el hueco con la palabra que falta:
• Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e
ITO
D
– Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital
del interesado. Por ejemplo cuando en una urgencia médica se realizan pruebas de
las que se obtendrá información para un diagnóstico médico, siempre que se realice
por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asi-
MA
mismo a una obligación equivalente de secreto.
– Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo perseguido por el responsable
del fichero o por el del tercero a quien se comuniquen los datos, siempre que no
se vulneren los derechos y libertades fundamentales del interesado. Por ejemplo,
cuando se utilizan datos que existen en la guía telefónica para remitir publicidad.
En los casos en los que no sea necesario el consentimiento del afectado para el trata-
miento de los datos de carácter personal, y siempre que una ley no disponga lo contra-
rio, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos
relativos a una concreta situación personal. En tal supuesto, el responsable del fichero
AL
excluirá del tratamiento los datos relativos al afectado.
RI
ITO
personal.
* Cuando se trate de responsables que presten al afectado un servicio que gene-
re información periódica o reiterada, o facturación periódica, la comunicación
podrá llevarse a cabo de forma conjunta a esta información o a la facturación
del servicio prestado, siempre que se realice de forma claramente visible.
424
El procedimiento administrativo. régimen jurídico del sector público
D
* En todo caso, será necesario que el responsable del tratamiento pueda co-
nocer si la comunicación ha sido objeto de devolución por cualquier causa,
en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese
interesado.
MA
* Deberá facilitarse al interesado un medio sencillo y gratuito para manifestar su
negativa al tratamiento de los datos. En particular, se considerará ajustado al
reglamento los procedimientos en el que tal negativa pueda efectuarse, entre
otros, mediante un envío prefranqueado al responsable del tratamiento, la lla-
mada a un número telefónico gratuito o a los servicios de atención al público
que el mismo hubiera establecido.
– Cuando se solicite el consentimiento del interesado a través de este procedimien-
to, no será posible solicitarlo nuevamente respecto de los mismos tratamientos y
para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior
solicitud.
AL
2.1.2.3. Solicitud del consentimiento en el marco de una relación contractual para
fines no relacionados directamente con la misma
Si el responsable del tratamiento solicitase el consentimiento del afectado durante el
proceso de formación de un contrato para finalidades que no guarden relación directa
con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al
RI
afectado que manifieste expresamente su negativa al tratamiento o comunicación de
datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la mar-
cación de una casilla claramente visible y que no se encuentre ya marcada en el docu-
mento que se le entregue para la celebración del contrato o se establezca un procedi-
miento equivalente que le permita manifestar su negativa al tratamiento.
ITO
D
El responsable cesará en el tratamiento de los datos en el plazo máximo de diez días
a contar desde el de la recepción de la revocación del consentimiento, sin perjuicio de
su obligación de bloquear los datos conforme a lo dispuesto en el artículo 16.3 de la Ley
Orgánica 15/1999, de 13 de diciembre.
MA
Cuando el interesado hubiera solicitado del responsable del tratamiento la confirma-
ción del cese en el tratamiento de sus datos, éste deberá responder expresamente a la
solicitud.
Si los datos hubieran sido cedidos previamente, el responsable del tratamiento, una
vez revocado el consentimiento, deberá comunicarlo a los cesionarios, en el mismo plazo
citado anteriormente, para que éstos cesen en el tratamiento de los datos en caso de que
aún lo mantuvieran.
De acuerdo con el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obli-
gado a declarar sobre su ideología, religión o creencias. Cuando se solicite consentimien-
RI
to respecto al tratamiento de algún dato referido a alguna de esas cuestiones, se ha de
advertir al interesado de su derecho a no prestarlo.
Sólo con el consentimiento expreso y por escrito del
afectado podrán ser objeto de tratamiento los datos
de carácter personal que revelen la ideología, afiliación
ITO
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la
vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés
general, así lo disponga una ley o el afectado consienta expresamente.
426
El procedimiento administrativo. régimen jurídico del sector público
D
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos
de carácter personal que revelen el origen racial o étnico, o vida sexual.
MA
Los datos de carácter personal relativos a la comisión de infracciones penales o admi-
nistrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas compe-
tentes en los supuestos previstos en las respectivas normas reguladoras.
Podrá procederse al tratamiento de los datos de los mayores de catorce años con su
consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asis-
tencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce
años se requerirá el consentimiento de los padres o tutores.
AL
En ningún caso podrán recabarse del menor datos que permitan obtener información
sobre los demás miembros del grupo familiar, o sobre las características del mismo, como
los datos relativos a la actividad profesional de los progenitores, información económica,
datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales
datos.
No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o
RI
tutor con la única finalidad de recabar la autorización citada en el párrafo anterior.
que garanticen que se ha comprobado de modo efectivo la edad del menor y la auten-
ticidad del consentimiento prestado en su caso, por los padres, tutores o representantes
legales.
– Proporcionalidad.
– Exactitud.
– Cancelación.
D
A) Proporcionalidad
Los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de
finalidades determinadas, explícitas y legítimas del responsable del tratamiento.
MA
Los datos de carácter personal objeto de tratamiento no podrán usarse para finalida-
des incompatibles con aquellas para las que los datos hubieran sido recogidos.
Sólo podrán ser objeto de tratamiento los datos que sean adecuados, pertinentes y
no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las
que se hayan obtenido.
En virtud de lo anterior, la proporcionalidad supone que cuando nos soliciten datos
personales deberán limitarse a los estrictamente necesarios.
B) Exactitud
AL
Los datos de carácter personal serán exactos y puestos al día de forma que respondan
con veracidad a la situación actual del afectado. Si los datos fueran recogidos directa-
mente del afectado, se considerarán exactos los facilitados por éste.
Si los datos de carácter personal sometidos a tratamiento resultaran ser inexactos, en
todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los corres-
pondientes datos rectificados o completados en el plazo de diez días desde que se tuvie-
RI
se conocimiento de la inexactitud, salvo que la legislación aplicable al fichero establezca
un procedimiento o un plazo específico para ello.
Cuando los datos hubieran sido comunicados previamente, el responsable del fichero
o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o
cancelación efectuada, siempre que el cesionario sea conocido.
En el plazo de diez días desde la recepción de la notificación, el cesionario que mantu-
ITO
C) Cancelación
ED
Los datos de carácter personal serán cancelados cuando hayan dejado de ser nece-
sarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante
un período superior al necesario para los fines en base a los cuales hubieran sido recaba-
dos o registrados.
428
El procedimiento administrativo. régimen jurídico del sector público
D
Reglamentariamente se determinará el procedimiento por el que, por excepción,
atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación
específica, se decida el mantenimiento íntegro de determinados datos.
Los datos de carácter personal serán almacenados de forma que permitan el ejercicio
MA
del derecho de acceso, salvo que sean legalmente cancelados.
Nota: en caso de que con motivo de un tratamiento de datos personales considere-
mos que se ha producido cualquier infracción o hayamos sufrido un perjuicio debemos
saber que los datos, aún cancelados, deben estar disponibles para la autoridad compe-
tente por periodos que dependen de cada sector. Así, el responsable debe mantenerlos
bloqueados y no podrá utilizarlos, pero si los requiere una autoridad, o un tribunal, debe-
rá ponerlos a su disposición.
La aplicación del principio de seguridad supone garantizar los tres elementos básicos
siguientes:
– Integridad; los datos no podrán sufrir modificaciones no autorizadas.
– Disponibilidad; los datos estarán siempre a disposición de las personas autoriza-
das, pudiendo ser recuperados cuando algún suceso (por ejemplo un incendio)
afecte a su funcionamiento normal.
– Confidencialidad; los datos sólo serán conocidos y accesibles a los usuarios auto-
rizados.
ED
D
– Recoge las medidas de índole técnica y organizativa de obligado cumplimiento
para el personal con acceso a los sistemas de información
– Puede ser único y comprensivo de todos los ficheros o tratamientos, o bien indivi-
dualizado para cada fichero o tratamiento
MA
– Debe mantenerse en todo momento actualizado, siendo revisado cada vez que se
produzcan cambios relevantes en:
* El sistema de información.
* El sistema de tratamiento empleado.
* Su organización.
* El contenido de la información incluida en los ficheros o tratamientos
– Debe adecuarse en todo momento a las disposiciones vigentes en materia de se-
AL
guridad de los datos de carácter personal.
– Debe contener como mínimo los siguientes aspectos:
* Ámbito de aplicación del documento con especificación detallada de los recur-
sos protegidos.
* Medidas, normas, procedimientos de actuación, reglas y estándares encamina-
RI
dos a garantizar el nivel de seguridad exigido en este reglamento.
* Funciones y obligaciones del personal en relación con el tratamiento de los
datos de carácter personal incluidos en los ficheros.
* Estructura de los ficheros con datos de carácter personal y descripción de los
sistemas de información que los tratan.
ITO
D
– Cuando exista un tratamiento de datos por cuenta de terceros, el documento de
seguridad deberá contener la identificación de los ficheros o tratamientos que se
traten en concepto de encargado con referencia expresa:
* al contrato o documento que regule las condiciones del encargo,
MA
* de la identificación del responsable
* del período de vigencia del encargo.
AL
2.1.4.2. Niveles de seguridad
RI
Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales
se clasifican en tres niveles acumulativos:
– Básico.
– Medio.
– Alto.
ITO
D
Nivel medio. Ficheros o tratamientos con datos:
MA
patrimonial y crédito).
– Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a
entidades de las que los afectados sean asociados o miembros.
ITO
– En los ficheros o tratamientos que contengan datos de salud, que se refieran ex-
clusivamente al grado o condición de discapacidad o la simple declaración de in-
validez, con motivo del cumplimiento de deberes públicos.
Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las me-
ED
A continuación vamos a ver una tabla resumen de las medidas a adoptar por niveles,
divulgada por la propia Agencia Española de Protección de Datos:
432
El procedimiento administrativo. régimen jurídico del sector público
D
NIVEL BÁSICO NIVEL MEDIO NIVEL ALTO
MA
es una delegación de responsa-
Responsable bilidad).
de seguridad
El responsable de seguridad
es el encargado de coordinar y
controlar las medidas del docu-
mento.
Funciones y obligaciones de
los diferentes usuarios o de los
perfiles de usuarios claramente
definidas y documentadas.
Definición de las funciones de
Personal
AL
control y las autorizaciones de-
legadas por el responsable.
Difusión entre el personal, de las
normas que les afecten y de las
consecuencias por su incumpli-
miento.
usuario.
zado.
SOLO FICHEROS NO AUTOMATIZADOS
Mismas condiciones para per-
sonal ajeno con acceso a los Control de accesos autorizados.
recursos de datos. Identificación accesos para do-
cumentos accesibles por múlti-
ples usuarios.
433
cuerpo general auxiliar de la administración del estado
D
SOLO FICHEROS AUTOMATIZADOS SOLO FICHEROS AUTOMATIZADOS
Identificación y autenticación Límite de intentos reiterados de
personalizada. acceso no autorizado.
Procedimiento de asignación y
Identificación
distribución de contraseñas.
MA
y autenticación
Almacenamiento ininteligible
de las contraseñas.
Periodicidad del cambio de con-
traseñas (<1 año).
Inventario de soportes. SOLO FICHEROS AUTOMATIZADOS SOLO FICHEROS AUTOMATIZADOS
Identificación del tipo de infor- Registro de entrada y salida de Sistema de etiquetado confi-
mación que contienen, o sis- soportes: documento o soporte, dencial.
tema de etiquetado. fecha, emisor/destinatario, nú- Cifrado de datos en la distribu-
Acceso restringido al lugar de mero, tipo de información, forma ción de soportes.
Gestión de soportes
almacenamiento. de envío, responsable autorizado Cifrado de información en dispo-
Autorización de las salidas de so- para recepción/entrega. sitivos portátiles fuera de las ins-
portes (incluidas a través de email) talaciones (evitar el uso de dispo-
AL
Medidas para el transporte y el
desecho de soportes.
SOLO FICHEROS AUTOMATIZADOS
Copia de respaldo semanal.
Procedimientos de generación
de copias de respaldo y recupe-
sitivos que no permitan cifrado, o
adoptar medidas alternativas).
SOLO FICHEROS AUTOMATIZADOS
Copia de respaldo y procedi-
mientos de recuperación en
lugar diferente del que se en-
ración de datos. cuentren los equipos.
Verificación semestral de los
procedimientos.
Copias de respaldo
RI
Reconstrucción de los datos a
partir de la última copia. Graba-
ción manual en su caso, si existe
documentación que lo permita.
Pruebas con datos reales. Copia de
seguridad y aplicación del nivel de
seguridad correspondiente.
ITO
D
SOLO FICHEROS NO AUTOMATIZADOS
Sólo puede realizarse por los
Copia o reproducción usuarios autorizados.
Destrucción de copias des-
echadas.
MA
Al menos cada dos años, interna
o externa.
Debe realizarse ante modifi-
caciones sustanciales en los
sistemas de información con
repercusiones en seguridad.
Verificación y control de la ade-
Auditoría
cuación de las medidas.
Informe de detección de defi-
ciencias y propuestas correc-
toras.
Análisis del responsable de se-
Telecomunicaciones
AL guridad y conclusiones elevadas
al responsable del fichero.
SOLO FICHEROS AUTOMATIZADOS
Transmisión de datos a través de
redes electrónicas cifradas.
SOLO FICHEROS NO AUTOMATIZADOS
Traslado de
Medidas que impidan el acceso
documentación
o manipulación.
RI
2.1.5. Secreto de los datos
Otro de los principios de la protección de datos es el deber de secreto. A este respecto,
el artículo 10 de la L.O. 15/1999, señala que:
ITO
sólo sea para su consulta a alguien distinto del responsable, de las personas que prestan
sus servicios en la entidad, o del afectado cuyos datos se traten.
Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados
a un tercero para el cumplimiento de fines directamente relacionados con las funciones
legítimas del cedente y del cesionario con el previo consentimiento del interesado.
435
cuerpo general auxiliar de la administración del estado
D
Dicho consentimiento no será preciso:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
MA
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación
jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la co-
nexión de dicho tratamiento con ficheros de terceros. En este caso la comunica-
ción sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor
del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en
el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consen-
timiento cuando la comunicación tenga como destinatario a instituciones autonó-
micas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto
AL
el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f ) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria
para solucionar una urgencia que requiera acceder a un fichero o para realizar los
estudios epidemiológicos en los términos establecidos en la legislación sobre sa-
nidad estatal o autonómica.
Será nulo el consentimiento para la comunicación de los datos de carácter personal
RI
a un tercero, cuando la información que se facilite al interesado no le permita conocer la
finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad
de aquel a quien se pretenden comunicar.
El consentimiento para la comunicación de los datos de carácter personal tiene tam-
bién un carácter de revocable.
Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo
ITO
ga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el
afectado.
La realización de tratamientos por cuenta de terceros deberá estar regulada en un
contrato que deberá constar por escrito o en alguna otra forma que permita acreditar
su celebración y contenido, estableciéndose expresamente que el encargado del trata-
436
El procedimiento administrativo. régimen jurídico del sector público
D
miento únicamente tratará los datos conforme a las instrucciones del responsable del
tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato,
ni los comunicará, ni siquiera para su conservación, a otras personas.
MA
del tratamiento está obligado a implementar.
La L.O. 15/1999 define al encargado del tratamiento como “la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros,
trate datos personales por cuenta del responsable del tratamiento”.
Se trata de una definición muy amplia que incluye, por ejemplo, a las asesorías labora-
les, las empresas de marketing o las gestorías contables, y en general, a cualquier persona
o entidad que preste servicios que impliquen el tratamiento de datos de carácter perso-
nal por cuenta del responsable del fichero.
AL
El servicio prestado por el encargado del tratamiento podrá tener o no carácter remu-
nerado y ser temporal o indefinido.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán
ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte
o documentos en que conste algún dato de carácter personal objeto del tratamiento.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado
RI
también responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
ITO
Actividad 2
Señala si es Verdadera o Falsa cada una de las siguientes afirmacio-
nes en relación a la Ley Orgánica de Protección de Datos:
• El tratamiento de los datos de carácter personal requerirá el consen-
timiento inequívoco del afectado, incluso cuando se recojan para el
ejercicio de las funciones propias de las Administraciones públicas en
el ámbito de sus competencias.
Verdadera Falsa
ED
437
cuerpo general auxiliar de la administración del estado
D
2.2. Principios recogidos en el RGPD
2.2.1. Principios relativos al tratamiento
MA
En relación al tratamiento, el artículo 5 del RGPD establece los siguientes principios:
a) Principio de licitud, lealtad y transparencia: Los datos personales serán trata-
dos de manera lícita, leal y transparente en relación con el interesado.
b) Principio de limitación de la finalidad: Los datos personales serán recogidos con
fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de
manera incompatible con dichos fines; el tratamiento ulterior de los datos per-
sonales con fines de archivo en interés público, fines de investigación científica e
histórica o fines estadísticos no se considerará incompatible con los fines iniciales.
c) Principio de minimización de datos: Los datos personales serán adecuados, perti-
nentes y limitados a lo necesario en relación con los fines para los que son tratados.
AL
d) Principio de exactitud: Los datos personales serán exactos y, si fuera necesario,
actualizados; se adoptarán todas las medidas razonables para que se supriman o
rectifiquen sin dilación los datos personales que sean inexactos con respecto a los
fines para los que se tratan.
e) Principio de limitación del plazo de conservación: Los datos personales serán
mantenidos de forma que se permita la identificación de los interesados durante
RI
no más tiempo del necesario para los fines del tratamiento de los datos persona-
les; los datos personales podrán conservarse durante períodos más largos siempre
que se traten exclusivamente con fines de archivo en interés público, fines de in-
vestigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación
de las medidas técnicas y organizativas apropiadas que impone el Reglamento a
fin de proteger los derechos y libertades del interesado.
ITO
Según dispone el artículo 6 del RGPD, el tratamiento solo será lícito si se cumple al
menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
438
El procedimiento administrativo. régimen jurídico del sector público
D
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesa-
do es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable
al responsable del tratamiento;
MA
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en in-
terés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento;
f ) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos in-
tereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando
AL
el interesado sea un niño.
Lo dispuesto en la letra f ) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.
RI
ITO
D
Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplica-
ción de normas del Reglamento, entre otras:
– Las condiciones generales que rigen la licitud del tratamiento por parte del res-
ponsable.
MA
– Los tipos de datos objeto de tratamiento.
– Los interesados afectados.
– Las entidades a las que se pueden comunicar datos personales y los fines de tal
comunicación.
– La limitación de la finalidad.
– Los plazos de conservación de los datos.
– Las operaciones y los procedimientos del tratamiento, incluidas las medidas para
garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones
AL
específicas de tratamiento a tenor del capítulo IX del Reglamento.
El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés
público y será proporcional al fin legítimo perseguido.
Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron
los datos personales no esté basado en el consentimiento del interesado o en el De-
recho de la Unión o de los Estados miembros que constituya una medida necesaria y
proporcional en una sociedad democrática para salvaguardar los objetivos indicados
RI
en el artículo 23, apartado 1 del RGPD (ver apdo. 3.2.9), el responsable del tratamien-
to, con objeto de determinar si el tratamiento con otro fin es compatible con el fin
para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre
otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos per-
ITO
D
Sin embargo, como novedad respecto de la LOPD, indica que para poder considerar
que el consentimiento es inequívoco, deberá existir una declaración del interesado o
una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o
la inacción no constituirán prueba de consentimiento.
MA
Cuando el tratamiento se base en el consentimiento del interesado, el responsable de-
berá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
Si el consentimiento del interesado se da en el contexto de una declaración escrita
que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de
tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil
acceso y utilizando un lenguaje claro y sencillo.
No será vinculante ninguna parte de la declaración que constituya infracción del RGPD.
El interesado tendrá derecho a retirar su consentimiento en cualquier momento.
La retirada del consentimiento no afectará a la licitud del tratamiento basada en el
AL
consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será
informado de ello. Será tan fácil retirar el consentimiento como darlo.
Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la ma-
yor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida
la prestación de un servicio, se supedita al consentimiento al tratamiento de datos perso-
nales que no son necesarios para la ejecución de dicho contrato.
RI
Cuando se aplique el consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos en relación con la oferta directa a niños de servicios
de la sociedad de la información, el tratamiento de los datos personales de un niño se
considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años,
tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó
el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o
autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines,
ITO
Recuerda que...
En España, en virtud de la LO 15/1999, los menores podrán prestar por sí
mismos su consentimiento para el tratamiento de sus datos personales
a partir de los 14 años.
441
cuerpo general auxiliar de la administración del estado
D
2.2.4. Tratamientos especiales
2.2.4.1. Tratamiento de categorías especiales de datos personales
MA
El artículo 9.1 del RGPD prohíbe:
– El tratamiento de datos personales que revelen el origen étnico o racial, las opinio-
nes políticas, las convicciones religiosas o filosóficas, o la afiliación sindical.
– El tratamiento de datos genéticos, datos biométricos dirigidos a identificar de ma-
nera unívoca a una persona física, datos relativos a la salud o datos relativos a la
vida sexual u orientación sexual de una persona física.
Lo anterior no será de aplicación cuando concurra una de las circunstancias siguientes:
a) El interesado dio su consentimiento explícito para el tratamiento de dichos datos
personales con uno o más de los fines especificados, excepto cuando el Derecho
AL
de la Unión o de los Estados miembros establezca que la prohibición del citado
artículo 9.1 no puede ser levantada por el interesado.
b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de
derechos específicos del responsable del tratamiento o del interesado en el ámbito
del Derecho laboral y de la seguridad y protección social, en la medida en que así lo
autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo
con arreglo al Derecho de los Estados miembros que establezca garantías adecua-
RI
das del respeto de los derechos fundamentales y de los intereses del interesado.
c) El tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física, en el supuesto de que el interesado no esté capacitado, física o
jurídicamente, para dar su consentimiento.
d) El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las de-
ITO
bidas garantías, por una fundación, una asociación o cualquier otro organismo sin
ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre
que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos
de tales organismos o a personas que mantengan contactos regulares con ellos en
relación con sus fines y siempre que los datos personales no se comuniquen fuera
de ellos sin el consentimiento de los interesados.
e) El tratamiento se refiere a datos personales que el interesado ha hecho manifiesta-
mente públicos.
f ) El tratamiento es necesario para la formulación, el ejercicio o la defensa de recla-
ED
D
h) El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación
de la capacidad laboral del trabajador, diagnóstico médico, prestación de asisten-
cia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de
asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados
MA
miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio
de las condiciones y garantías contempladas en el artículo 9.3 del RGPD.
i) El tratamiento es necesario por razones de interés público en el ámbito de la salud
pública, como la protección frente a amenazas transfronterizas graves para la sa-
lud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia
sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho
de la Unión o de los Estados miembros que establezca medidas adecuadas y es-
pecíficas para proteger los derechos y libertades del interesado, en particular el
secreto profesional.
j) El tratamiento es necesario con fines de archivo en interés público, fines de inves-
AL
tigación científica o histórica o fines estadísticos, sobre la base del Derecho de la
Unión o de los Estados miembros, que debe ser proporcional al objetivo persegui-
do, respetar en lo esencial el derecho a la protección de datos y establecer medi-
das adecuadas y específicas para proteger los intereses y derechos fundamentales
del interesado.
Según el artículo 9.2, los datos personales a que se refiere el artículo 9.1 podrán tratar-
se a los fines citados en la letra h), cuando su tratamiento sea realizado por un profesional
RI
sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con
el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los
organismos nacionales competentes, o por cualquier otra persona sujeta también a la
obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros
o de las normas establecidas por los organismos nacionales competentes.
Los Estados miembros podrán mantener o introducir condiciones adicionales, inclu-
ITO
443
cuerpo general auxiliar de la administración del estado
D
2.2.4.2. Tratamiento de datos personales relativos a condenas e infracciones penales
El tratamiento de datos personales relativos a condenas e infracciones penales o me-
didas de seguridad conexas sobre la base del artículo referido a la licitud del tratamiento,
MA
sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo
autorice el Derecho de la Unión o de los Estados miembros que establezca garantías ade-
cuadas para los derechos y libertades de los interesados.
Solo podrá llevarse un registro completo de condenas penales bajo el control de las
autoridades públicas.
AL
mantener, obtener o tratar información adicional con vistas a identificar al interesado con
la única finalidad de cumplir el RGPD.
Cuando, en los casos a que se refiere el párrafo anterior, el responsable sea capaz de
demostrar que no está en condiciones de identificar al interesado, le informará en con-
secuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20 del RGPD,
excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos
artículos, facilite información adicional que permita su identificación.
RI
3. Los derechos del interesado
3.1. Los derechos en la LO 15/1999
ITO
La L.O. 15/1999, dedica su título III a los derechos de las personas en relación a la pro-
tección de los datos de carácter personal.
Dicho título, a lo largo de su articulado, recoge los siguientes derechos:
– Derecho a la impugnación de valoraciones.
– Derecho de consulta al Registro General de Protección de Datos.
– Derecho de acceso.
ED
– Derecho de rectificación.
– Derecho de cancelación.
– Derecho de oposición.
– Derecho a indemnización.
444
El procedimiento administrativo. régimen jurídico del sector público
D
De estos derechos, el Reglamento se centra, dedicando un título completo, en cuatro
de ellos: Acceso, Rectificación, Cancelación y Oposición. Este conjunto de derechos se
conoce, atendiendo a sus iniciales, como los derechos ARCO.
A continuación vamos a tratar con más detalle cada uno de los derechos citados.
MA
3.1.1. Derecho a la impugnación de valoraciones
La L.O. 15/1999, se refiere a este derecho en su artículo 13 donde se establece lo si-
guiente:
1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos
jurídicos, sobre ellos o que les afecte de manera significativa, que se base única-
mente en un tratamiento de datos destinados a evaluar determinados aspectos
de su personalidad.
AL
2. El afectado podrá impugnar los actos administrativos o decisiones privadas que
impliquen una valoración de su comportamiento, cuyo único fundamento sea un
tratamiento de datos de carácter personal que ofrezca una definición de sus carac-
terísticas o personalidad.
3. En este caso, el afectado tendrá derecho a obtener información del responsable
del fichero sobre los criterios de valoración y el programa utilizados en el trata-
miento que sirvió para adoptar la decisión en que consistió el acto.
RI
4. La valoración sobre el comportamiento de los ciudadanos, basada en un trata-
miento de datos, únicamente podrá tener valor probatorio a petición del afectado.
tal fin la información oportuna del Registro General de Protección de Datos, de:
– La existencia de tratamientos de datos de carácter personal.
– Las finalidades de dichos tratamientos.
– La identidad del responsable del tratamiento.
Hay que tener en cuenta a este respecto, que todos los responsables de ficheros y tra-
tamientos están obligados a inscribir sus ficheros ante el Registro General de Protección
de Datos.
La ley orgánica señala además que la consulta al Registro General será pública y gratuita.
ED
D
Tales derechos se ejercitarán:
a) Por el afectado, acreditando su identidad.
b) Cuando el afectado se encuentre en situación de incapacidad o minoría de edad
que le imposibilite el ejercicio personal de estos derechos, podrán ejercitarse por
MA
su representante legal, en cuyo caso será necesario que acredite tal condición.
c) Los derechos también podrán ejercitarse a través de representante voluntario, ex-
presamente designado para el ejercicio del derecho. En ese caso, deberá constar
claramente acreditada la identidad del representado, mediante la aportación de
copia de su Documento Nacional de Identidad o documento equivalente, y la re-
presentación conferida por aquél.
Cuando el responsable del fichero sea un órgano de las Administraciones públicas o
de la Administración de Justicia, podrá acreditarse la representación por cualquier medio
válido en derecho que deje constancia fidedigna, o mediante declaración en compare-
cencia personal del interesado.
AL
Los derechos serán denegados cuando la solicitud sea formulada por persona distinta
del afectado y no se acreditase que la misma actúa en representación de aquél.
Los derechos de acceso, rectificación, cancelación y oposición son derechos indepen-
dientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea
requisito previo para el ejercicio de otro.
Deberá concederse al interesado un medio sencillo y gratuito para el ejercicio de los
derechos de acceso, rectificación, cancelación y oposición.
RI
El ejercicio por el afectado de sus derechos de acceso, rectificación, cancelación y
oposición será gratuito y en ningún caso podrá suponer un ingreso adicional para el res-
ponsable del tratamiento ante el que se ejercitan.
No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999, de 13 de
diciembre, y en el Reglamento los supuestos en que el responsable del tratamiento esta-
ITO
blezca como medio para que el interesado pueda ejercitar sus derechos el envío de cartas
certificadas o semejantes, la utilización de servicios de telecomunicaciones que implique
una tarificación adicional al afectado o cualesquiera otros medios que impliquen un cos-
te excesivo para el interesado.
Cuando el responsable del fichero o tratamiento disponga de servicios de cualquier
índole para la atención a su público o el ejercicio de reclamaciones relacionadas con el
servicio prestado o los productos ofertados al mismo, podrá concederse la posibilidad al
afectado de ejercer sus derechos de acceso, rectificación, cancelación y oposición a tra-
vés de dichos servicios. En tal caso, la identidad del interesado se considerará acreditada
por los medios establecidos para la identificación de los clientes del responsable en la
ED
D
3.1.3.1. Derecho de acceso
El interesado tiene derecho a solicitar y obtener gratuitamente información de sus
datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como
MA
las comunicaciones realizadas o que se prevén hacer de los mismos.
El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de
un mes a contar desde la recepción de la solicitud.
Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la información a
través de uno o varios de los siguientes sistemas de consulta del fichero:
a) Visualización en pantalla.
b) Escrito, copia o fotocopia remitida por correo, certificado o no.
c) Telecopia.
AL
d) Correo electrónico u otros sistemas de comunicaciones electrónicas.
e) Cualquier otro sistema que sea adecuado a la configuración o implantación mate-
rial del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.
El derecho de acceso al que nos estamos refiriendo sólo podrá ser ejercitado a inter-
valos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al
efecto, en cuyo caso podrán ejercitarlo antes.
RI
El responsable del fichero o tratamiento podrá denegar el acceso a los datos de ca-
rácter personal cuando el derecho ya se haya ejercitado en los doce meses anteriores a la
solicitud, salvo que se acredite un interés legítimo al efecto.
Podrá también denegarse el acceso en los supuestos en que así lo prevea una Ley
o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al
responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que
ITO
se refiera el acceso.
En todo caso, el responsable del fichero informará al afectado de su derecho a recabar
la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de
control de las comunidades autónomas, conforme a lo dispuesto en el artículo 18 de la Ley
Orgánica 15/1999, de 13 de diciembre. Más adelante trataremos en qué consiste dicha tutela.
– Permite corregir errores, modificar los datos que resulten ser inexactos o incom-
pletos y garantizar la certeza de la información objeto de tratamiento.
– La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección
que haya de realizarse y deberá ir acompañada de la documentación justificativa
de lo solicitado.
447
cuerpo general auxiliar de la administración del estado
D
– El responsable del fichero resolverá sobre la solicitud de rectificación o cancela-
ción en el plazo máximo de diez días hábiles a contar desde la recepción de la
solicitud.
– Si los datos rectificados hubieran sido cedidos previamente, el responsable del fi-
MA
chero deberá comunicar la rectificación efectuada al cesionario, en idéntico plazo,
para que éste, también en el plazo de diez días contados desde la recepción de
dicha comunicación, proceda, asimismo, a rectificar los datos.
AL
a disposición de las Administraciones Públicas, Jueces y Tribunales. Transcurrido
el plazo legal de prescripción de las responsabilidades legales derivadas del trata-
miento, deberá procederse a la supresión de los datos.
– En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere,
aportando al efecto la documentación que lo justifique, en su caso.
– El responsable del fichero resolverá sobre la solicitud de cancelación en el plazo
máximo de diez días hábiles a contar desde la recepción de la solicitud.
RI
– Si los datos cancelados hubieran sido cedidos previamente, el responsable del fi-
chero deberá comunicar la cancelación efectuada al cesionario, en idéntico plazo,
para que éste, también en el plazo de diez días contados desde la recepción de
dicha comunicación, proceda, asimismo, a cancelar los datos.
Este derecho ha sido sustituido y ampliado por el derecho de supresión, que veremos más
ITO
contrario.
b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades
de publicidad y prospección comercial. En este caso, los interesados tendrán de-
recho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les
conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las
informaciones que sobre ellos figuren en aquél, a su simple solicitud.
448
El procedimiento administrativo. régimen jurídico del sector público
D
Esta oposición deberá entenderse sin perjuicio del derecho del interesado a revo-
car cuando lo estimase oportuno el consentimiento que hubiera otorgado, en su
caso, para el tratamiento de los datos. A tal efecto, deberá concederse al intere-
sado un medio sencillo y gratuito para oponerse al tratamiento. En particular, se
MA
considerará cumplido lo dispuesto en este precepto cuando los derechos puedan
ejercitarse mediante la llamada a un número telefónico gratuito o la remisión de
un correo electrónico.
c) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al
afectado y basada únicamente en un tratamiento automatizado de sus datos de
carácter personal.
AL
del incumplimiento de lo dispuesto en dicha Ley por el responsable o el encargado del
tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indem-
nizados.
de la denegación.
D
3.2. Los derechos en el RGPD
El RGPD actualiza y refuerza los derechos de los ciudadanos sobre su información
personal, cambia la forma en que las organizaciones gestionan la protección de datos,
MA
debiendo adoptar medidas conscientes, diligentes y proactivas.
El capítulo 3 del RGPD trata de los derechos del interesado. Concretamente se men-
cionan los siguientes:
– Derecho de información.
– Derecho de acceso del interesado.
– Derecho de rectificación.
– Derecho de supresión (derecho al olvido).
– Derecho a la limitación del tratamiento.
– Derecho de oposición.
AL
– Derecho a la portabilidad de los datos.
quier comunicación con arreglo a los derechos citados relativa al tratamiento, en forma
concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en
particular cualquier información dirigida específicamente a un niño.
La información será facilitada por escrito o por otros medios, inclusive, si procede,
por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse
verbalmente siempre que se demuestre la identidad del interesado por otros medios.
450
El procedimiento administrativo. régimen jurídico del sector público
D
El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos, tal
como veremos en los subapartados siguientes que los desarrollan.
En los casos a que se refiere el segundo párrafo del apartado 2.2.4.3., el responsable no
se negará a actuar a petición del interesado con el fin de ejercer sus derechos, salvo que
MA
pueda demostrar que no está en condiciones de identificar al interesado.
El responsable del tratamiento facilitará al interesado información relativa a sus ac-
tuaciones sobre la base de una solicitud con arreglo a los derechos que desarrollaremos
seguidamente, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la
solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en
cuenta la complejidad y el número de solicitudes. El responsable informará al interesado
de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la
solicitud, indicando los motivos de la dilación.
Cuando el interesado presente la solicitud por medios electrónicos, la información se
facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite
que se facilite de otro modo.
AL
Si el responsable del tratamiento no da curso a la solicitud del interesado, le informa-
rá sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las
razones de su no actuación y de la posibilidad de presentar una reclamación ante una
autoridad de control y de ejercitar acciones judiciales.
La información facilitada en virtud de los derechos que tratamos en este apartado
serán a título gratuito.
RI
Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente
debido a su carácter repetitivo, el responsable del tratamiento podrá:
a) Cobrar un canon razonable en función de los costes administrativos afrontados
para facilitar la información o la comunicación o realizar la actuación solicitada.
b) Negarse a actuar respecto de la solicitud.
ITO
D
A) Información que deberá facilitarse cuando los datos personales se obtengan del
interesado
Cuando se obtengan de un interesado datos personales relativos a él, el responsable
MA
del tratamiento, en el momento en que estos se obtengan, le facilitará toda la informa-
ción indicada a continuación:
a) La identidad y los datos de contacto del responsable y, en su caso, de su represen-
tante.
b) Los datos de contacto del delegado de protección de datos, en su caso.
c) Los fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento.
d) Cuando el tratamiento se base en el artículo 6, apartado 1, letra f ), los intereses
legítimos del responsable o de un tercero; [el tratamiento es necesario para la satis-
AL
facción de intereses legítimos perseguidos por el responsable del tratamiento o por un
tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos
y libertades fundamentales del interesado que requieran la protección de datos perso-
nales, en particular cuando el interesado sea un niño].
e) Los destinatarios o las categorías de destinatarios de los datos personales, en su
caso.
f ) En su caso, la intención del responsable de transferir datos personales a un tercer
RI
país u organización internacional y la existencia o ausencia de una decisión de
adecuación de la Comisión, o, en el caso de las transferencias indicadas en los ar-
tículos del RGPD 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia
a las garantías adecuadas o apropiadas y a los medios para obtener una copia de
estas o al hecho de que se hayan prestado.
ITO
D
e) Si la comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a
facilitar los datos personales y está informado de las posibles consecuencias de
que no facilitar tales datos.
MA
f) La existencia de decisiones automatizas, incluida la elaboración de perfiles, y, al
menos en tales casos, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos per-
sonales para un fin que no sea aquel para el que se recogieron, proporcionará al inte-
resado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y
cualquier información adicional pertinente.
Las disposiciones de este epígrafe A) no serán aplicables cuando y en la medida en
que el interesado ya disponga de la información.
AL
RI
ITO
c) Los fines del tratamiento a que se destinan los datos personales, así como la base
jurídica del tratamiento.
d) Las categorías de datos personales de que se trate.
e) Los destinatarios o las categorías de destinatarios de los datos personales, en su
caso.
453
cuerpo general auxiliar de la administración del estado
D
f ) En su caso, la intención del responsable de transferir datos personales a un des-
tinatario en un tercer país u organización internacional y la existencia o ausencia
de una decisión de adecuación de la Comisión, o, en el caso de las transferencias
indicadas en los artículos del RGPD 46 o 47 o el artículo 49, apartado 1, párrafo
MA
segundo, referencia a las garantías adecuadas o apropiadas y a los medios para
obtener una copia de ellas o al hecho de que se hayan prestado.
Además de la información anterior, el responsable del tratamiento facilitará al inte-
resado la siguiente información necesaria para garantizar un tratamiento de datos leal y
transparente respecto del interesado:
a) El plazo durante el cual se conservarán los datos personales o, cuando eso no sea
posible, los criterios utilizados para determinar este plazo.
b) Cuando el tratamiento se base en el artículo 6, apartado 1, letra f ), los intereses
legítimos del responsable del tratamiento o de un tercero.
c) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los
AL
datos personales relativos al interesado, y su rectificación o supresión, o la limi-
tación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la
portabilidad de los datos.
d) Cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artí-
culo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en
cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el
consentimiento antes de su retirada.
RI
e) El derecho a presentar una reclamación ante una autoridad de control.
f ) La fuente de la que proceden los datos personales y, en su caso, si proceden de
fuentes de acceso público.
g) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al
menos en tales casos, información significativa sobre la lógica aplicada, así como la
ITO
D
Las disposiciones de este epígrafe B) no serán aplicables cuando y en la medida en
que:
a) El interesado ya disponga de la información.
MA
b) La comunicación de dicha información resulte imposible o suponga un esfuer-
zo desproporcionado, en particular para el tratamiento con fines de archivo en
interés público, fines de investigación científica o histórica o fines estadísticos, a
reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1 del
RGPD, o en la medida en que la obligación mencionada en el primer grupo de este
epígrafe pueda imposibilitar u obstaculizar gravemente el logro de los objetivos
de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas
para proteger los derechos, libertades e intereses legítimos del interesado, inclusi-
ve haciendo pública la información.
c) La obtención o la comunicación esté expresamente establecida por el Derecho de la
Unión o de los Estados miembros que se aplique al responsable del tratamiento y que
AL
establezca medidas adecuadas para proteger los intereses legítimos del interesado.
d) Cuando los datos personales deban seguir teniendo carácter confidencial sobre la
base de una obligación de secreto profesional regulada por el Derecho de la Unión
o de los Estados miembros, incluida una obligación de secreto de naturaleza esta-
tutaria.
RI
Recuerda que...
El 25 de mayo de 2018 comienza a aplicarse el Reglamento General de
Protección de Datos.
ITO
D
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de
datos personales o la limitación del tratamiento de datos personales relativos al
interesado, o a oponerse a dicho tratamiento;
f ) el derecho a presentar una reclamación ante una autoridad de control;
MA
g) cuando los datos personales no se hayan obtenido del interesado, cualquier infor-
mación disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al
menos en tales casos, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Cuando se transfieran datos personales a un tercer país o a una organización interna-
cional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud
del artículo 46 del RGPD relativas a la transferencia.
El responsable del tratamiento facilitará una copia de los datos personales objeto de
AL
tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el inte-
resado un canon razonable basado en los costes administrativos. Cuando el interesado
presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite
de otro modo, la información se facilitará en un formato electrónico de uso común.
El derecho a obtener copia no afectará negativamente a los derechos y libertades de otros.
D
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación
legal establecida en el Derecho de la Unión o de los Estados miembros que se
aplique al responsable del tratamiento;
MA
f ) los datos personales se hayan obtenido en relación con la oferta de servicios de la
sociedad de la información.
Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo
anterior, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la
tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas
medidas técnicas, con miras a informar a los responsables que estén tratando los datos
personales de la solicitud del interesado de supresión de cualquier enlace a esos datos
personales, o cualquier copia o réplica de los mismos.
Los párrafos anteriores no se aplicarán cuando el tratamiento sea necesario:
AL
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos
impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento, o para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública;
RI
d) con fines de archivo en interés público, fines de investigación científica o histórica
o fines estadísticos, en la medida en que el derecho de supresión pudiera hacer im-
posible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones.
ITO
D
Cuando el tratamiento de datos personales se haya limitado en virtud del derecho a
la limitación del tratamiento, dichos datos solo podrán ser objeto de tratamiento, con ex-
cepción de su conservación, con el consentimiento del interesado o para la formulación,
el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de
MA
otra persona física o jurídica o por razones de interés público importante de la Unión o de
un determinado Estado miembro.
Todo interesado que haya obtenido la limitación del tratamiento con arreglo a lo ex-
puesto sobre este derecho será informado por el responsable antes del levantamiento de
dicha limitación.
AL
lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el
responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, aparta-
do 1, letra a) del RGPD [el interesado dio su consentimiento para el tratamiento de sus
datos personales para uno o varios fines específicos], o el artículo 9, apartado 2, letra
a), [el interesado dio su consentimiento explícito para el tratamiento de dichos datos
personales con uno o más de los fines especificados] o en un contrato con arreglo
RI
al artículo 6, apartado 1, letra b) [el tratamiento es necesario para la ejecución de
un contrato en el que el interesado es parte o para la aplicación a petición de este de
medidas precontractuales], y
b) el tratamiento se efectúe por medios automatizados.
Al ejercer su derecho a la portabilidad de los datos de acuerdo con lo anterior, el inte-
resado tendrá derecho a que los datos personales se transmitan directamente de respon-
ITO
D
en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamien-
to es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses
o los derechos y libertades fundamentales del interesado que requieran la protección de da-
MA
tos personales, en particular cuando el interesado sea un niño] incluida la elaboración de
perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de
tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el trata-
miento que prevalezcan sobre los intereses, los derechos y las libertades del interesado,
o para la formulación, el ejercicio o la defensa de reclamaciones.
Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia direc-
ta, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos
personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté
relacionada con la citada mercadotecnia.
Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa,
AL
los datos personales dejarán de ser tratados para dichos fines.
A más tardar en el momento de la primera comunicación con el interesado, el derecho
de oposición será mencionado explícitamente al interesado y será presentado claramen-
te y al margen de cualquier otra información.
En el contexto de la utilización de servicios de la sociedad de la información, y no
obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho
RI
a oponerse por medios automatizados que apliquen especificaciones técnicas.
Cuando los datos personales se traten con fines de investigación científica o histórica o
fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación
particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea
necesario para el cumplimiento de una misión realizada por razones de interés público.
ITO
D
En los casos a que se refieren las letras a) y c), el responsable del tratamiento adoptará
las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legíti-
mos del interesado, como mínimo el derecho a obtener intervención humana por parte
del responsable, a expresar su punto de vista y a impugnar la decisión.
MA
Las decisiones a que se refieren las letras a), b) y c) no se basarán en las categorías
especiales de datos personales contempladas en el artículo 9, apartado 1 (origen étnico o
racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical,
y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera uní-
voca a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orien-
tación sexual de una persona física), salvo que se aplique el artículo 9, apartado 2, letra a)
o g), [a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos
personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o
de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no pue-
de ser levantada por el interesado; g) el tratamiento es necesario por razones de un interés
público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe
AL
ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de
datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos
fundamentales del interesado] y se hayan tomado medidas adecuadas para salvaguardar
los derechos y libertades y los intereses legítimos del interesado.
D
h) una función de supervisión, inspección o reglamentación vinculada, incluso oca-
sionalmente, con el ejercicio de la autoridad pública en los casos contemplados en
las letras a) a e) y g);
i) la protección del interesado o de los derechos y libertades de otros;
MA
j) la ejecución de demandas civiles.
En particular, cualquier medida legislativa de las indicadas contendrá como mínimo,
en su caso, disposiciones específicas relativas a:
a) la finalidad del tratamiento o de las categorías de tratamiento;
b) las categorías de datos personales de que se trate;
c) el alcance de las limitaciones establecidas;
d) las garantías para evitar accesos o transferencias ilícitos o abusivos;
AL
e) la determinación del responsable o de categorías de responsables;
f ) los plazos de conservación y las garantías aplicables habida cuenta de la naturale-
za alcance y objetivos del tratamiento o las categorías de tratamiento;
g) los riesgos para los derechos y libertades de los interesados, y
h) el derecho de los interesados a ser informados sobre la limitación, salvo si puede
ser perjudicial a los fines de esta.
RI
3.3. La Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos es un ente de derecho público, con per-
sonalidad jurídica propia y plena capacidad pública y privada, que actúa con plena inde-
pendencia de las Administraciones públicas en el ejercicio de sus funciones.
ITO
3.3.1. Funciones
Las funciones de la Agencia Española de Protección de Datos son las siguientes:
a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar
su aplicación, en especial en lo relativo a los derechos de información, acceso, rec-
tificación, oposición y cancelación de datos.
b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
ED
c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instruc-
ciones precisas para adecuar los tratamientos a los principios de la L.O. 15/1999.
d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.
e) Proporcionar información a las personas acerca de sus derechos en materia de
tratamiento de los datos de carácter personal.
461
cuerpo general auxiliar de la administración del estado
D
f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de
éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de
datos a las disposiciones de la L.O. 15/1999 y, en su caso, ordenar la cesación de los
tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.
MA
g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la
L.O. 15/1999.
h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que
desarrollen la L.O. 15/1999.
i) Recabar de los responsables de los ficheros cuanta ayuda e información estime
necesaria para el desempeño de sus funciones.
j) Velar por la publicidad de la existencia de los ficheros de datos con carácter perso-
nal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la
información adicional que el Director de la Agencia determine.
AL
k) Redactar una memoria anual y remitirla al Ministerio de Justicia.
l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los
movimientos internacionales de datos, así como desempeñar las funciones de co-
operación internacional en materia de protección de datos personales.
m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística
Pública establece respecto a la recogida de datos estadísticos y al secreto estadís-
tico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones
RI
de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y
ejercer la potestad a la que se refiere el artículo 46 de la L.O. 15/1999, en relación a
las infracciones de las Administraciones públicas.
n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Las resoluciones de la Agencia Española de Protección de Datos se harán públicas,
ITO
una vez hayan sido notificadas a los interesados. La publicación se realizará preferente-
mente a través de medios informáticos o telemáticos.
Reglamentariamente podrán establecerse los términos en que se lleve a cabo la pu-
blicidad de las citadas resoluciones.
Lo establecido en los párrafos anteriores no será aplicable a las resoluciones referen-
tes a la inscripción de un fichero o tratamiento en el Registro General de Protección de
Datos ni a aquéllas por las que se resuelva la inscripción en el mismo de los Códigos tipo.
Las funciones de la Agencia Española de Protección de Datos, a excepción de las men-
cionadas en los apartados j), k) y l), y en los apartados f ) y g) en lo que se refiere a las trans-
ED
D
3.3.2. Órganos
3.3.2.1. El Director
MA
El Director de la Agencia Española de Protección de Datos dirige la Agencia y ostenta
su representación. Será nombrado, de entre quienes componen el Consejo Consultivo,
mediante Real Decreto, por un período de cuatro años.
Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a ins-
trucción alguna en el desempeño de aquéllas. En todo caso, el Director deberá oír al Con-
sejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus funciones.
El Director de la Agencia Española de Protección de Datos sólo cesará antes de la
expiración del período referido anteriormente:
– A petición propia.
AL
– Por separación acordada por el Gobierno, previa instrucción de expediente, en el
que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por:
* Incumplimiento grave de sus obligaciones.
* Incapacidad sobrevenida para el ejercicio de su función.
* Incompatibilidad.
* Condena por delito doloso.
RI
El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo
y quedará en la situación de servicios especiales si con anterioridad estuviera desempe-
ñando una función pública. En el supuesto de que sea nombrado para el cargo algún
miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de
servicios especiales.
ITO
D
– Un representante de los usuarios y consumidores, seleccionado del modo que se
prevea reglamentariamente.
– Un representante de cada Comunidad Autónoma que haya creado una agencia de
protección de datos en su ámbito territorial, propuesto de acuerdo con el procedi-
MA
miento que establezca la respectiva Comunidad Autónoma.
– Un representante del sector de ficheros privados, para cuya propuesta se seguirá
el procedimiento que se regule reglamentariamente.
El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias
que al efecto se establezcan.
AL
ficheros automatizados de datos de carácter personal, con miras a hacer posible el ejerci-
cio de los derechos de información, acceso, rectificación y cancelación de datos.
El Registro General de Protección de Datos es un órgano integrado en la Agencia Es-
pañola de Protección de Datos.
Serán objeto de inscripción en el Registro General de Protección de Datos:
a) Los ficheros de que sean titulares las Administraciones públicas.
b) Los ficheros de titularidad privada.
RI
c) Las autorizaciones a que se refiere la L.O. 15/1999.
d) Los códigos tipo a que se refiere el artículo 32 de la L.O. 15/1999.
e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los dere-
chos de información, acceso, rectificación, cancelación y oposición.
ITO
cheros a que hace referencia la L.O. 15/1999, recabando cuantas informaciones precisen
para el cumplimiento de sus cometidos.
A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y exami-
narlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos
físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales don-
de se hallen instalados.
464
El procedimiento administrativo. régimen jurídico del sector público
D
Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior ten-
drán la consideración de autoridad pública en el desempeño de sus cometidos.
Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejer-
cicio de las mencionadas funciones, incluso después de haber cesado en las mismas.
MA
Sabías que...
En 2016 se produjeron casi 8.100 escritos de denuncia y unos 2.500
escritos de reclamación de tutela a la Agencia de Protección de Datos.
D
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación
de los principios y garantías establecidos en la L.O 15/1999 y las disposiciones
que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
d) La vulneración del deber de guardar secreto acerca del tratamiento de los da-
MA
tos de carácter personal.
e) El impedimento o la obstaculización del ejercicio de los derechos de acceso,
rectificación, cancelación y oposición.
f ) El incumplimiento del deber de información al afectado acerca del tratamiento
de sus datos de carácter personal cuando los datos no hayan sido recabados
del propio interesado.
g) El incumplimiento de los restantes deberes de notificación o requerimiento al
afectado impuestos por la L.O. 15/1999 y sus disposiciones de desarrollo.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de
AL
carácter personal sin las debidas condiciones de seguridad que por vía regla-
mentaria se determinen.
i) No atender los requerimientos o apercibimientos de la Agencia Española de
Protección de Datos o no proporcionar a aquélla cuantos documentos e infor-
maciones sean solicitados por la misma.
j) La obstrucción al ejercicio de la función inspectora.
RI
k) La comunicación o cesión de los datos de carácter personal sin contar con le-
gitimación para ello en los términos previstos en la L.O.15/1999 y sus dispo-
siciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de
infracción muy grave.
C) Son infracciones muy graves:
ITO
– Vida sexual.
– Comisión de infracciones penales o administrativas.
Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y
otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, reli-
466
El procedimiento administrativo. régimen jurídico del sector público
D
giosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin
perjuicio de que la cesión de dichos datos precisará siempre el previo consen-
timiento del afectado.
O, violentar la prohibición de creación de ficheros con la finalidad exclusiva de
MA
almacenar datos de carácter personal que revelen la ideología, afiliación sindi-
cal, religión, creencias, origen racial o étnico, o vida sexual.
c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existie-
se un previo requerimiento del Director de la Agencia Española de Protección
de Datos para ello.
d) La transferencia internacional de datos de carácter personal con destino a paí-
ses que no proporcionen un nivel de protección equiparable sin autorización
del Director de la Agencia Española de Protección de Datos salvo en los su-
puestos en los que conforme a la L.O. 15/1999 y sus disposiciones de desarrollo
dicha autorización no resulta necesaria.
AL
RI
ITO
3.4.2. Sanciones
Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
ED
D
f ) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras
MA
personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción
la entidad imputada tenía implantados procedimientos adecuados de actuación
en la recogida y tratamiento de los datos de carácter personal, siendo la infracción
consecuencia de una anomalía en el funcionamiento de dichos procedimientos
no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antiju-
ridicidad y de culpabilidad presentes en la concreta actuación infractora.
El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa
a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se
AL
integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o
de la antijuridicidad del hecho como consecuencia de la concurrencia significativa
de varios de los criterios enunciados.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma dili-
gente.
RI
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la co-
misión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fue-
se anterior a dicho proceso, no siendo imputable a la entidad absorbente.
ITO
D
El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las
variaciones que experimenten los índices de precios.
MA
Cuando las infracciones fuesen cometidas en ficheros de titularidad pública o en relación
con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano
sancionador dictará una resolución estableciendo las medidas que procede adoptar para
que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsa-
ble del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.
El órgano sancionador podrá proponer también la iniciación de actuaciones discipli-
narias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en
la legislación sobre régimen disciplinario de las Administraciones Públicas.
Se deberán comunicar al órgano sancionador las resoluciones que recaigan en rela-
AL
ción con las medidas y actuaciones a que se refieren los párrafos anteriores.
El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efec-
túe y las resoluciones que dicte al amparo de los párrafos anteriores.
Actividad 4
RI
Indica si son Verdaderas o Falsas cada una de las siguientes afirma-
ciones sobre la Agencia Española de Protección de Datos:
• Es un ente de derecho público.
Verdadera Falsa
ITO
3.4.4. Prescripción
ED
D
El plazo de prescripción comenzará a contarse desde el día en que la infracción se
hubiera cometido.
Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedi-
miento sancionador, reanudándose el plazo de prescripción si el expediente sancionador es-
MA
tuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.
Las sanciones prescribirán en los siguientes plazos:
– Las impuestas por faltas muy graves prescribirán a los tres años,
– Las impuestas por faltas graves a los dos años, y
– Las impuestas por faltas leves al año.
El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente
a aquel en que adquiera firmeza la resolución por la que se impone la sanción.
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del
AL
procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado
durante más de seis meses por causa no imputable al infractor.
Actividad 5
Señala Verdadero o Falso, si las infracciones, en materia de protección
de datos de carácter personal, serán sancionadas con la multa indicada:
• Leves: de 900 a 40.000 euros.
Verdadera Falsa
• Graves: de 30.001 a 300.000 euros.
ED
Verdadera Falsa
• Muy graves: de 300.001 a 600.000 euros.
Verdadera Falsa
470
El procedimiento administrativo. régimen jurídico del sector público
D
3.4.6. Inmovilización de ficheros
En los supuestos constitutivos de infracción grave o muy grave en que la persistencia
en el tratamiento de los datos de carácter personal o su comunicación o transferencia in-
MA
ternacional posterior pudiera suponer un grave menoscabo de los derechos fundamen-
tales de los afectados y en particular de su derecho a la protección de datos de carácter
personal, el órgano sancionador podrá, además de ejercer la potestad sancionadora, re-
querir a los responsables de ficheros de datos de carácter personal, tanto de titularidad
pública como privada, la cesación en la utilización o cesión ilícita de los datos.
Si el requerimiento fuera desatendido, el órgano sancionador podrá, mediante reso-
lución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de
las personas afectadas.
AL
RI
medidas mencionadas se incluirá la aplicación, por parte del responsable del tratamien-
to, de las oportunas políticas de protección de datos.
La adhesión a códigos de conducta o a un mecanismo de certificación podrá ser uti-
lizada como elemento para demostrar el cumplimiento de las obligaciones por parte del
responsable del tratamiento.
471
cuerpo general auxiliar de la administración del estado
D
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza,
ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad
y gravedad que entraña el tratamiento para los derechos y libertades de las personas
físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los
MA
medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y
organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma
efectiva los principios de protección de datos, como la minimización de datos, e inte-
grar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del RGPD y
proteger los derechos de los interesados.
El responsable del tratamiento aplicará las medidas técnicas y organizativas apropia-
das con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos
personales que sean necesarios para cada uno de los fines específicos del tratamiento.
Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de
su tratamiento, a su plazo de conservación y a su accesibilidad.
AL
Tales medidas garantizarán en particular que, por defecto, los datos personales no sean
accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
D
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con
arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encarga-
do respecto del responsable y establezca el objeto, la duración, la naturaleza y la
finalidad del tratamiento, el tipo de datos personales y categorías de interesados,
MA
y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico esti-
pulará, en particular, que el encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documenta-
das del responsable, inclusive con respecto a las transferencias de datos perso-
nales a un tercer país o una organización internacional, salvo que esté obligado
a ello en virtud del Derecho de la Unión o de los Estados miembros que se
aplique al encargado; en tal caso, el encargado informará al responsable de
esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por
razones importantes de interés público.
b) Garantizará que las personas autorizadas para tratar datos personales se hayan
AL
comprometido a respetar la confidencialidad o estén sujetas a una obligación
de confidencialidad de naturaleza estatutaria.
c) Tomará todas las medidas necesarias de conformidad con el artículo 32.
d) Respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro
encargado del tratamiento.
e) Asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través
RI
de medidas técnicas y organizativas apropiadas, siempre que sea posible, para
que este pueda cumplir con su obligación de responder a las solicitudes que
tengan por objeto el ejercicio de los derechos de los interesados establecidos
en el capítulo III.
f ) Ayudará al responsable a garantizar el cumplimiento de las obligaciones es-
tablecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del trata-
ITO
responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado infor-
mará inmediatamente al responsable si, en su opinión, una instrucción infringe el
presente Reglamento u otras disposiciones en materia de protección de datos de
la Unión o de los Estados miembros.
473
cuerpo general auxiliar de la administración del estado
D
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo
determinadas actividades de tratamiento por cuenta del responsable, se impondrán
a este otro encargado, mediante contrato u otro acto jurídico establecido con arre-
glo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de
MA
protección de datos que las estipuladas en el contrato u otro acto jurídico entre el
responsable y el encargado a que se refiere el apartado 3, en particular la prestación
de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas
de manera que el tratamiento sea conforme con las disposiciones del presente Regla-
mento. Si ese otro encargado incumple sus obligaciones de protección de datos, el
encargado inicial seguirá siendo plenamente responsable ante el responsable del tra-
tamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
5. La adhesión del encargado del tratamiento a un código de conducta aprobado
a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del
artículo 42 podrá utilizarse como elemento para demostrar la existencia de las ga-
rantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
AL
6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un
contrato individual, el contrato u otro acto jurídico a que se refieren los apartados
3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas
contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclu-
sive cuando formen parte de una certificación concedida al responsable o encar-
gado de conformidad con los artículos 42 y 43.
RI
7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refie-
ren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de
examen a que se refiere el artículo 93, apartado 2.
8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los
asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con
el mecanismo de coherencia a que se refiere el artículo 63.
ITO
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por
escrito, inclusive en formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamien-
to infringe el presente Reglamento al determinar los fines y medios del tratamiento,
será considerado responsable del tratamiento con respecto a dicho tratamiento.
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del res-
ponsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos
datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en
virtud del Derecho de la Unión o de los Estados miembros.
474
El procedimiento administrativo. régimen jurídico del sector público
D
4.5. Registro de las actividades de tratamiento
El artículo 30 del RGPD obliga a cada responsable y, en su caso, su representante a
llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
MA
Dicho registro deberá contener toda la información indicada a continuación:
a) El nombre y los datos de contacto del responsable y, en su caso, del corresponsa-
ble, del representante del responsable, y del delegado de protección de datos.
b) Los fines del tratamiento.
c) Una descripción de las categorías de interesados y de las categorías de datos per-
sonales.
d) Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
personales, incluidos los destinatarios en terceros países u organizaciones interna-
cionales.
AL
e) En su caso, las transferencias de datos personales a un tercer país o una organiza-
ción internacional, incluida la identificación de dicho tercer país u organización in-
ternacional y, en el caso de las transferencias indicadas en el artículo 49, apartado
1, párrafo segundo, la documentación de garantías adecuadas.
f ) Cuando sea posible, los plazos previstos para la supresión de las diferentes catego-
rías de datos.
RI
g) Cuando sea posible, una descripción general de las medidas técnicas y organizati-
vas de seguridad a que se refiere el artículo 32, apartado 1 del RGPD.
Cada encargado y, en su caso, el representante del encargado, llevará un registro de
todas las categorías de actividades de tratamiento efectuadas por cuenta de un respon-
sable que contenga:
ITO
D
Las obligaciones indicadas en los párrafos anteriores no se aplicarán a ninguna em-
presa ni organización que emplee a menos de 250 personas, a menos que el tratamiento
que realice pueda entrañar un riesgo para los derechos y libertades de los interesados,
no sea ocasional, o incluya categorías especiales de datos personales o datos personales
MA
relativos a condenas e infracciones penales.
AL
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resi-
liencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las
RI
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta
los riesgos que presente el tratamiento de datos, en particular como consecuencia de la
destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no autorizados a di-
ITO
chos datos.
La adhesión a un código de conducta o a un mecanismo de certificación podrá servir
de elemento para demostrar el cumplimiento de los requisitos antes señalados.
El responsable y el encargado del tratamiento tomarán medidas para garantizar que
cualquier persona que actúe bajo la autoridad del responsable o del encargado y ten-
ga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del
responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los
Estados miembros.
de control
En caso de violación de la seguridad de los datos personales, el responsable del trata-
miento la notificará a la autoridad de control competente sin dilación indebida y, de ser po-
sible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea
476
El procedimiento administrativo. régimen jurídico del sector público
D
improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las
libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar
en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
El encargado del tratamiento notificará sin dilación indebida al responsable del tratamien-
MA
to las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
La notificación deberá, como mínimo:
a) describir la naturaleza de la violación de la seguridad de los datos personales, in-
clusive, cuando sea posible, las categorías y el número aproximado de interesados
afectados, y las categorías y el número aproximado de registros de datos persona-
les afectados;
b) comunicar el nombre y los datos de contacto del delegado de protección de datos
o de otro punto de contacto en el que pueda obtenerse más información;
c) describir las posibles consecuencias de la violación de la seguridad de los datos
personales;
AL
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento
para poner remedio a la violación de la seguridad de los datos personales, incluyen-
do, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no fuera posible facilitar la información simultáneamente, y en la medida en que no
lo sea, la información se facilitará de manera gradual sin dilación indebida.
RI
El responsable del tratamiento documentará cualquier violación de la seguridad de
los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas
correctivas adoptadas.
interesado
Cuando sea probable que la violación de la seguridad de los datos personales entrañe
un alto riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento la comunicará al interesado sin dilación indebida.
La comunicación al interesado describirá en un lenguaje claro y sencillo la naturaleza
de la violación de la seguridad de los datos personales y contendrá como mínimo la infor-
mación y las medidas a que se refieren las letras b), c) y d) del epígrafe A).
La comunicación al interesado no será necesaria si se cumple alguna de las condicio-
nes siguientes:
ED
D
b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que
ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y
libertades del interesado;
c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por
MA
una comunicación pública o una medida semejante por la que se informe de ma-
nera igualmente efectiva a los interesados.
Cuando el responsable todavía no haya comunicado al interesado la violación de la
seguridad de los datos personales, la autoridad de control, una vez considerada la pro-
babilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá
decidir que se cumple alguna de las condiciones mencionadas.
AL
El artículo 35 del RGPD dispone que cuando sea probable que un tipo de tratamiento,
en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, en-
trañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operacio-
nes de tratamiento en la protección de datos personales. Una única evaluación podrá abor-
dar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
El responsable del tratamiento recabará el asesoramiento del delegado de protección de
datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
RI
La evaluación de impacto relativa a la protección de los datos se requerirá en particu-
lar en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas
que se base en un tratamiento automatizado, como la elaboración de perfiles, y
sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las per-
ITO
D
Antes de adoptar las listas citadas en los párrafos anteriores, la autoridad de control
competente aplicará el mecanismo de coherencia contemplado en el artículo 63 del
RGPD si esas listas incluyen actividades de tratamiento que guarden relación con la ofer-
ta de bienes o servicios a interesados o con la observación del comportamiento de estos
MA
en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancial-
mente a la libre circulación de datos personales en la Unión.
La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los
fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido
por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de trata-
miento con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los interesados;
AL
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de
seguridad y mecanismos que garanticen la protección de datos personales, y a
demostrar la conformidad con el presente Reglamento, teniendo en cuenta los
derechos e intereses legítimos de los interesados y de otras personas afectadas.
El cumplimiento de los códigos de conducta aprobados a que nos referiremos más
adelante por los responsables o encargados correspondientes se tendrá debidamente
RI
en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por
dichos responsables o encargados, en particular a efectos de la evaluación de impacto
relativa a la protección de datos.
Cuando proceda, el responsable recabará la opinión de los interesados o de sus re-
presentantes en relación con el tratamiento previsto, sin perjuicio de la protección de
intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
ITO
D
Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tra-
tamiento previsto. La autoridad de control informará al responsable y, en su caso, al en-
cargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de
consulta, indicando los motivos de la dilación.
MA
Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la
información solicitada a los fines de la consulta.
Cuando consulte a la autoridad de control, el responsable del tratamiento le facilitará
la información siguiente:
a) en su caso, las responsabilidades respectivas del responsable, los corresponsables
y los encargados implicados en el tratamiento, en particular en caso de tratamien-
to dentro de un grupo empresarial;
b) los fines y medios del tratamiento previsto;
c) las medidas y garantías establecidas para proteger los derechos y libertades de los
AL
interesados de conformidad con el presente Reglamento;
d) en su caso, los datos de contacto del delegado de protección de datos;
e) la evaluación de impacto relativa a la protección de datos;
f ) cualquier otra información que solicite la autoridad de control.
Los Estados miembros garantizarán que se consulte a la autoridad de control durante
la elaboración de toda propuesta de medida legislativa que haya de adoptar un Parla-
RI
mento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que
se refiera al tratamiento.
El Derecho de los Estados miembros podrá obligar a los responsables del tratamiento
a consultar a la autoridad de control y a recabar su autorización previa en relación con el
tratamiento por un responsable en el ejercicio de una misión realizada en interés público,
ITO
D
Un grupo empresarial podrá nombrar un único delegado de protección de datos
siempre que sea fácilmente accesible desde cada establecimiento.
Cuando el responsable o el encargado del tratamiento sea una autoridad u organis-
mo público, se podrá designar un único delegado de protección de datos para varias de
MA
estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
En casos distintos de los contemplados en las letras a), b) o c) anteriores, el responsa-
ble o el encargado del tratamiento o las asociaciones y otros organismos que representen
a categorías de responsables o encargados podrán designar un delegado de protección
de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados
miembros. El delegado de protección de datos podrá actuar por cuenta de estas asocia-
ciones y otros organismos que representen a responsables o encargados.
El delegado de protección de datos será designado atendiendo a sus cualidades pro-
fesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica
en materia de protección de datos y a su capacidad para desempeñar las funciones que
le corresponden.
AL
El delegado de protección de datos podrá formar parte de la plantilla del responsable
o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato
de servicios.
El responsable o el encargado del tratamiento publicarán los datos de contacto del
delegado de protección de datos y los comunicarán a la autoridad de control.
RI
El responsable y el encargado del tratamiento garantizarán que el delegado de pro-
tección de datos no reciba ninguna instrucción en lo que respecta al desempeño de di-
chas funciones. No será destituido ni sancionado por el responsable o el encargado por
desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directa-
mente al más alto nivel jerárquico del responsable o encargado.
Los interesados podrán ponerse en contacto con el delegado de protección de datos
ITO
por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales
y al ejercicio de sus derechos al amparo del RGPD.
El delegado de protección de datos estará obligado a mantener el secreto o la confi-
dencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el
Derecho de la Unión o de los Estados miembros.
El delegado de protección de datos podrá desempeñar otras funciones y cometidos.
El responsable o encargado del tratamiento garantizará que dichas funciones y cometi-
dos no den lugar a conflicto de intereses.
ED
Según el artículo 39 del RGPD, el delegado de protección de datos tendrá como míni-
mo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los emplea-
dos que se ocupen del tratamiento de las obligaciones que les incumben en virtud
del RGPD y de otras disposiciones de protección de datos de la Unión o de los
Estados miembros;
481
cuerpo general auxiliar de la administración del estado
D
b) supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de pro-
tección de datos de la Unión o de los Estados miembros y de las políticas del respon-
sable o del encargado del tratamiento en materia de protección de datos personales,
incluida la asignación de responsabilidades, la concienciación y formación del perso-
MA
nal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto rela-
tiva a la protección de datos y supervisar su aplicación;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones rela-
tivas al tratamiento, incluida la consulta previa, y realizar consultas, en su caso,
sobre cualquier otro asunto.
El delegado de protección de datos desempeñará sus funciones prestando la debida
atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la
AL
naturaleza, el alcance, el contexto y fines del tratamiento.
b) los intereses legítimos perseguidos por los responsables del tratamiento en con-
textos específicos;
c) la recogida de datos personales;
d) la seudonimización de datos personales;
e) la información proporcionada al público y a los interesados;
f ) el ejercicio de los derechos de los interesados;
g) la información proporcionada a los niños y la protección de estos, así como la ma-
ED
D
i) la notificación de violaciones de la seguridad de los datos personales a las autori-
dades de control y la comunicación de dichas violaciones a los interesados;
j) la transferencia de datos personales a terceros países u organizaciones internacio-
nales, o
MA
k) los procedimientos extrajudiciales y otros procedimientos de resolución de con-
flictos que permitan resolver las controversias entre los responsables del trata-
miento y los interesados relativas al tratamiento, sin perjuicio de los derechos de
los interesados.
4.11. Certificación
El Reglamento concede una atención especial a la implantación de esquemas de cer-
tificación y abre diversas posibilidades para su gestión.
AL
Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos,
tanto individual como colectivamente desde el Comité Europeo, o por entidades debida-
mente acreditadas. Al mismo tiempo, en el caso de optarse por esta última alternativa, la
acreditación pueden llevarla a cabo las propias Autoridades o encargarlo a las entidades
de acreditación previstas en la normativa europea sobre normalización y certificación.
En todo caso, en la elaboración de los criterios tanto para acreditar entidades como
para certificar a las organizaciones tienen diferentes grados de participación las autorida-
RI
des de supervisión y el Comité Europeo.
ITO
ED
483
D
Solución a las actividades
MA
Actividad 1.
• Los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco.
Actividad 2.
• Falsa.
• Verdadera.
Actividad 3.
AL
Acceso, rectificación, cancelación y oposición.
Actividad 4.
• Verdadera.
• Falsa.
RI
• Verdadera.
Actividad 5.
• Verdadera.
ITO
• Falsa.
• Verdadera.
ED
484