Vous êtes sur la page 1sur 76

Tema 11

D
El Reglamento (UE) 2016/679, de 27

MA
de abril, relativo a la protección de las
personas físicas en lo que respecta
al tratamiento de datos personals y
a la libre circulación de estos datos.
Principios y derechos. Obligaciones
AL
RI
ITO

Índice
ED

1. La protección de datos de carácter personal. El Reglamento (UE)


2016/679, de 27 de abril, relativo a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos
2. Principios
3. Los derechos del interesado
4. El Responsable y el Encargado. Obligaciones
 cuerpo general auxiliar de la administración del estado

D
1. La protección de datos de carácter personal. El Reglamento
(UE) 2016/679, de 27 de abril, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos

MA
personales y a la libre circulación de estos datos
1.1. Introducción
En cualquier actividad de la vida moderna es normal que se nos solicite información
referente a datos personales. Dato personal es una información que nos identifica o nos
puede hacer identificables, como el nombre, el NIF, una fotografía o una grabación de
nuestra voz. Cuando hacemos una matrícula para realizar unos estudios, reservamos
una habitación de hotel, abrimos una cuenta en un banco, navegamos por internet,

AL
estamos facilitando datos que quedan a merced de la entidad o las personas que nos
los solicitan.
En las redes sociales, exponemos información sobre nosotros mismos, colgamos fo-
tos, vídeos y comentarios, nos agregamos a páginas que tratan sobre las cosas que nos
interesan y también etiquetamos a nuestros amigos y compartimos datos y opiniones
sobre ellos.
Cada vez más, se hace necesario que aprendamos a vivir respetando la intimidad de
RI
los demás y a defender y proteger nuestros derechos y los de los más cercanos a nosotros.
ITO
ED

El derecho a la protección de datos supone que los ciudadanos tenemos la capacidad


para disponer y decidir sobre todas las informaciones que se refieran a nosotros. En este
tema vamos a tratar cuestiones muy importantes sobre el uso y la protección de los datos
propios y de datos de terceros que puedan pasar por nuestras manos o el ordenador de
nuestro puesto de trabajo.
410
El procedimiento administrativo. régimen jurídico del sector público 

D
La protección de datos de carácter personal es un derecho fundamental reconocido
en el artículo 18 de la Constitución Española. Dicho artículo establece lo siguiente:
“1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia
imagen.

MA
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en el sin con-
sentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, tele-
gráficas y telefónicas, salvo resolución judicial.
4. La Ley limitará el uso de la informática para garantizar el honor y la intimidad per-
sonal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”
Con objeto de garantizar y proteger, en lo que concierne al tratamiento de los datos
personales, las libertades públicas y los derechos fundamentales de las personas físicas,

AL
y especialmente de su honor e intimidad personal y familiar, se aprobó la Ley Orgáni-
ca 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esta ley
adoptó al ordenamiento español lo dispuesto por la Directiva 95/46/CE del Parlamento
Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos.
Por Real Decreto 1720/2007, de 21 de diciembre, se aprobó el Reglamento de desarro-
RI
llo de dicha Ley Orgánica 15/1999.
El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos
(RGPD) aprobado por la Unión Europea, que deroga la anteriormente citada Directiva
95/46/CE.
El nuevo Reglamento General de Protección de Datos, aplicable desde el 25 de mayo
ITO

de 2018 (dos años después de su entrada en vigor), extiende su aplicación a todos los
países miembros de la Unión Europea, otorgando además a los ciudadanos una mayor
protección ante empresas ubicadas fuera de la Unión Europea.
El RGPD es una norma directamente aplicable, que no requiere de normas internas
de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o
aplicación.
El RGPD no deroga la Ley Orgánica 15/1999, ni su Reglamento de desarrollo, despla-
zándolos únicamente en aquello en que resulten incompatibles con él, lo cual nos obli-
gará a trenzar las citadas normas a lo largo de este tema.
ED

Sabías que...
El 28 de enero se celebra el día europeo de la protección de datos.
411
 cuerpo general auxiliar de la administración del estado

D
1.2. El Reglamento (UE) 2016/679, de 27 de abril, relativo a la
protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos.

MA
Disposiciones generales
1.2.1. Objeto
El Reglamento General de Protección de Datos (RGPD) señala que su objeto son:

– Las normas relativas a la protección de las personas físicas en lo que respecta al


tratamiento de los datos personales.

– Las normas relativas a la libre circulación de tales datos. La libre circulación de los
datos personales en la Unión no podrá ser restringida ni prohibida por motivos

miento de datos personales. AL


relacionados con la protección de las personas físicas en lo que respecta al trata-

El RGPD protege los derechos y libertades fundamentales de las personas físicas y, en


particular, su derecho a la protección de los datos personales.

1.2.2. Ámbito de aplicación


RI
El Reglamento se aplica al tratamiento total o parcialmente automatizado de datos
personales, así como al tratamiento no automatizado de datos personales contenidos o
destinados a ser incluidos en un fichero.

El Reglamento no se aplica al tratamiento de datos personales:


ITO

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del


Derecho de la Unión;

b) por parte de los Estados miembros cuando lleven a cabo actividades comprendi-
das en el ámbito de aplicación del capítulo 2 del título V del TUE;

c) efectuado por una persona física en el ejercicio de actividades exclusivamente


personales o domésticas;

d) por parte de las autoridades competentes con fines de prevención, investigación,


detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones
ED

penales, incluida la de protección frente a amenazas a la seguridad pública y su


prevención.

El Reglamento se aplica al tratamiento de datos personales en el contexto de las ac-


tividades de un establecimiento del responsable o del encargado en la Unión, indepen-
dientemente de que el tratamiento tenga lugar en la Unión o no.
412
El procedimiento administrativo. régimen jurídico del sector público 

D
El Reglamento se aplica al tratamiento de datos personales de interesados que resi-
dan en la Unión por parte de un responsable o encargado no establecido en la Unión,
cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independiente-

MA
mente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la


Unión.

El Reglamento se aplica al tratamiento de datos personales por parte de un responsa-


ble que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados
miembros sea de aplicación en virtud del Derecho internacional público.

1.3. Situaciones específicas de tratamiento


AL
1.3.1. Tratamiento y libertad de expresión y de información
El artículo 85 del RGPD encarga a los Estados miembros de la UE conciliar por ley el
derecho a la protección de los datos personales con el derecho a la libertad de expresión
y de información, incluido el tratamiento con fines periodísticos y fines de expresión aca-
démica, artística o literaria.
RI
Para el tratamiento realizado con fines periodísticos o con fines de expresión acadé-
mica, artística o literaria, los Estados miembros establecerán exenciones o excepciones
de lo dispuesto en el RGPD en los capítulos II (principios), III (derechos del interesado), IV
(responsable y encargado del tratamiento), V (transferencia de datos personales a terce-
ros países u organizaciones internacionales), VI (autoridades de control independientes),
ITO

VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones específicas de


tratamiento de datos), si son necesarias para conciliar el derecho a la protección de los
datos personales con la libertad de expresión e información.

Cada Estado miembro deberá notificar a la Comisión las disposiciones legislativas


que adopte y, sin dilación, cualquier modificación posterior, legislativa u otra, de las
mismas.

1.3.2. Tratamiento y acceso del público a documentos oficiales


ED

Los datos personales de documentos oficiales en posesión de alguna autoridad pú-


blica o u organismo público o una entidad privada para la realización de una misión en
interés público podrán ser comunicados por dicha autoridad, organismo o entidad de
conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a
fin de conciliar el acceso del público a documentos oficiales con el derecho a la protec-
ción de los datos personales en virtud del RGPD.
413
 cuerpo general auxiliar de la administración del estado

D
1.3.3. Tratamiento del número nacional de identificación
Los Estados miembros podrán determinar adicionalmente las condiciones específicas
para el tratamiento de un número nacional de identificación o cualquier otro medio de

MA
identificación de carácter general. En ese caso, el número nacional de identificación o
cualquier otro medio de identificación de carácter general se utilizará únicamente con las
garantías adecuadas para los derechos y las libertades del interesado con arreglo al RGPD.

1.3.4. Tratamiento en el ámbito laboral


Los Estados miembros podrán, a través de disposiciones legislativas o de convenios co-
lectivos, establecer normas más específicas para garantizar la protección de los derechos
y libertades en relación con el tratamiento de datos personales de los trabajadores en el
ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato
laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el conve-

AL
nio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el
lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o
clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y
prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.
Dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad
humana de los interesados así como sus intereses legítimos y sus derechos fundamen-
tales, prestando especial atención a la transparencia del tratamiento, a la transferencia
RI
de los datos personales dentro de un grupo empresarial o de una unión de empresas
dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar
de trabajo.
Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte
de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación,
ITO

cualquier modificación posterior de las mismas.

1.3.5. Garantías y excepciones aplicables al tratamiento con fines de archivo en


interés público, fines de investigación científica o histórica o fines estadísticos
El artículo 89.1 del RGPD dispone lo siguiente:
– Que el tratamiento con fines de archivo en interés público, fines de investigación
científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas,
con arreglo al RGPD, para los derechos y las libertades de los interesados.
ED

– Que dichas garantías harán que se disponga de medidas técnicas y organizativas,


en particular para garantizar el respeto del principio de minimización de los datos
personales.
– Que tales medidas podrán incluir la seudonimización, siempre que de esa forma
puedan alcanzarse dichos fines.
414
El procedimiento administrativo. régimen jurídico del sector público 

D
– Que siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior
que no permita o ya no permita la identificación de los interesados, esos fines se
alcanzarán de ese modo.
Cuando se traten datos personales con fines de investigación científica o histórica

MA
o estadísticos el Derecho de la Unión o de los Estados miembros podrá establecer ex-
cepciones a los derechos de acceso, de rectificación, de limitación del tratamiento y de
oposición, sujetas a las condiciones y garantías indicadas anteriormente, siempre que
sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los
fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.
Cuando se traten datos personales con fines de archivo en interés público, el Dere-
cho de le Unión o de los Estados miembros podrá prever excepciones a los derechos de
acceso, de rectificación, de limitación del tratamiento, de portabilidad de los datos y de
oposición, sujetas a las condiciones y garantías del citado artículo 89.1, siempre que esos
derechos puedan imposibilitar u obstaculizar gravemente el logro de los fines científicos

AL
y cuanto esas excepciones sean necesarias para alcanzar esos fines.
En caso de que el tratamiento a que hacen referencia los dos párrafos anteriores sirva
también al mismo tiempo a otro fin, las excepciones solo serán aplicables al tratamiento
para los fines mencionados en dichos párrafos.
RI
ITO

1.4. Definiciones
A) Para entender bien lo regulado tanto por la LO 15/1999, como por su Reglamento
de desarrollo, se hace necesario definir algunos términos que mencionan estas
ED

normas:
– Afectado o interesado: persona física titular de los datos que sean objeto del
tratamiento.
– Bloqueo de datos: la identificación y reserva de los datos de carácter personal
con el fin de impedir su tratamiento.
415
 cuerpo general auxiliar de la administración del estado

D
– Cancelación: procedimiento en virtud del cual el responsable cesa en el uso
de los datos. La cancelación implicará el bloqueo de los datos, consistente en
la identificación y reserva de los mismos con el fin de impedir su tratamiento
excepto para su puesta a disposición de las Administraciones públicas, Jueces

MA
y Tribunales, para la atención de las posibles responsabilidades nacidas del tra-
tamiento y sólo durante el plazo de prescripción de dichas responsabilidades.
Transcurrido ese plazo deberá procederse a la supresión de los datos.
– Cesión o comunicación de datos: tratamiento de datos que supone su reve-
lación a una persona distinta del interesado.
– Consentimiento del interesado: toda manifestación de voluntad, libre, in-
equívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
– Dato disociado: aquél que no permite la identificación de un afectado o intere-
sado.

AL
– Datos de carácter personal: cualquier información numérica, alfabética, grá-
fica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físi-
cas identificadas o identificables.
– Datos de carácter personal relacionados con la salud: las informaciones
concernientes a la salud pasada, presente y futura, física o mental, de un indivi-
duo. En particular, se consideran datos relacionados con la salud de las perso-
RI
nas los referidos a su porcentaje de discapacidad y a su información genética.
– Declarante: persona física que cumplimenta la solicitud de inscripción y actúa
como mediador entre la Agencia y el titular/responsable del fichero. No debe
necesariamente coincidir con el titular/responsable.
– Destinatario o cesionario: la persona física o jurídica, pública o privada u ór-
gano administrativo, al que se revelen los datos.
ITO

Podrán ser también destinatarios los entes sin personalidad jurídica que ac-
túen en el tráfico como sujetos diferenciados.
– Encargado del tratamiento: la persona física o jurídica, pública o privada, u
órgano administrativo que, solo o conjuntamente con otros, trate datos perso-
nales por cuenta del responsable del tratamiento o del responsable del fiche-
ro, como consecuencia de la existencia de una relación jurídica que le vincula
con el mismo y delimita el ámbito de su actuación para la prestación de un
servicio.
ED

Podrán ser también encargados del tratamiento los entes sin personalidad ju-
rídica que actúen en el tráfico como sujetos diferenciados.
– Exportador de datos personales: la persona física o jurídica, pública o priva-
da, u órgano administrativo situado en territorio español que realice, conforme
a lo dispuesto en el Reglamento, una transferencia de datos de carácter perso-
nal a un país tercero.
416
El procedimiento administrativo. régimen jurídico del sector público 

D
– Fichero: todo conjunto organizado de datos de carácter personal, que permita
el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere
la forma o modalidad de su creación, almacenamiento, organización y acceso.
– Ficheros de titularidad privada: los ficheros de los que sean responsables las

MA
personas, empresas o entidades de derecho privado, con independencia de
quien ostente la titularidad de su capital o de la procedencia de sus recursos
económicos, así como los ficheros de los que sean responsables las corpora-
ciones de derecho público, en cuanto dichos ficheros no se encuentren estric-
tamente vinculados al ejercicio de potestades de derecho público que a las
mismas atribuye su normativa específica.
– Ficheros de titularidad pública: los ficheros de los que sean responsables los
órganos constitucionales o con relevancia constitucional del Estado o las ins-
tituciones autonómicas con funciones análogas a los mismos, las Administra-
ciones públicas territoriales, así como las entidades u organismos vinculados o

AL
dependientes de las mismas y las Corporaciones de derecho público siempre
que su finalidad sea el ejercicio de potestades de derecho público.
– Fichero no automatizado: todo conjunto de datos de carácter personal orga-
nizado de forma no automatizada y estructurado conforme a criterios específi-
cos relativos a personas físicas, que permitan acceder sin esfuerzos despropor-
cionados a sus datos personales, ya sea aquél centralizado, descentralizado o
repartido de forma funcional o geográfica.
RI
– Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser rea-
lizada, por cualquier persona, no impedida por una norma limitativa o sin más
exigencia que, en su caso, el abono de una contraprestación. (Tienen la consi-
deración de fuentes de acceso público, exclusivamente, el censo promocional, los
repertorios telefónicos en los términos previstos por su normativa específica y las
listas de personas pertenecientes a grupos de profesionales que contengan única-
ITO

mente los datos de nombre, título, profesión, actividad, grado académico, dirección
e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de
acceso público los diarios y boletines oficiales y los medios de comunicación.)
– Identificación del afectado: cualquier elemento que permita determinar di-
recta o indirectamente la identidad física, fisiológica, psíquica, económica, cul-
tural o social de la persona afectada.
– Importador de datos personales: la persona física o jurídica, pública o priva-
da, u órgano administrativo receptor de los datos en caso de transferencia in-
ternacional de los mismos a un tercer país, ya sea responsable del tratamiento,
ED

encargada del tratamiento o tercero.


– Persona identificable: toda persona cuya identidad pueda determinarse, di-
recta o indirectamente, mediante cualquier información referida a su identi-
dad física, fisiológica, psíquica, económica, cultural o social. Una persona física
no se considerará identificable si dicha identificación requiere plazos o activi-
dades desproporcionados.
417
 cuerpo general auxiliar de la administración del estado

D
– Procedimiento de disociación: todo tratamiento de datos personales que
permita la obtención de datos disociados; es decir, que la información que se
obtenga no pueda asociarse a persona identificada o identificable.
– Responsable del fichero o del tratamiento: persona física o jurídica, de na-

MA
turaleza pública o privada, u órgano administrativo, que sólo o conjuntamente
con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque
no lo realizase materialmente.
Podrán ser también responsables del fichero o del tratamiento los entes sin
personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
– Tercero: la persona física o jurídica, pública o privada u órgano administrativo
distinta del afectado o interesado, del responsable del tratamiento, del respon-
sable del fichero, del encargado del tratamiento y de las personas autorizadas
para tratar los datos bajo la autoridad directa del responsable del tratamiento

AL
o del encargado del tratamiento.
Podrán ser también terceros los entes sin personalidad jurídica que actúen en
el tráfico como sujetos diferenciados.
– Transferencia de datos: el transporte de los datos entre sistemas informáticos
por cualquier medio de transmisión, así como el transporte de soportes de da-
tos por correo o por cualquier otro medio convencional.
RI
– Transferencia internacional de datos: tratamiento de datos que supone una
transmisión de los mismos fuera del territorio del Espacio Económico Europeo,
bien constituya una cesión o comunicación de datos, bien tenga por objeto la
realización de un tratamiento de datos por cuenta del responsable del fichero
establecido en territorio español.
– Tratamiento de datos: cualquier operación o procedimiento técnico, sea o
ITO

no automatizado, que permita la recogida, grabación, conservación, elabora-


ción, modificación, consulta, utilización, modificación, cancelación, bloqueo
o supresión, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
B) Por su parte, del Reglamento General de Protección de Datos incorporamos las
siguientes definiciones:
– Limitación del tratamiento: el marcado de los datos de carácter personal
conservados con el fin de limitar su tratamiento en el futuro.
ED

– Elaboración de perfiles: toda forma de tratamiento automatizado de datos


personales consistente en utilizar datos personales para evaluar determinados
aspectos personales de una persona física, en particular para analizar o prede-
cir aspectos relativos al rendimiento profesional, situación económica, salud,
preferencias personales, intereses, fiabilidad, comportamiento, ubicación o
movimientos de dicha persona física.
418
El procedimiento administrativo. régimen jurídico del sector público 

D
– Seudonimización: el tratamiento de datos personales de manera tal que ya
no puedan atribuirse a un interesado sin utilizar información adicional, siem-
pre que dicha información adicional figure por separado y esté sujeta a medi-
das técnicas y organizativas destinadas a garantizar que los datos personales

MA
no se atribuyan a una persona física identificada o identificable.
– Violación de la seguridad de los datos personales: toda violación de la se-
guridad que ocasione la destrucción, pérdida o alteración accidental o ilícita
de datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos.
– Datos genéticos: datos personales relativos a las características genéticas he-
redadas o adquiridas de una persona física que proporcionen una información
única sobre la fisiología o la salud de esa persona, obtenidos en particular del
análisis de una muestra biológica de tal persona.
– Datos biométricos: datos personales obtenidos a partir de un tratamiento

AL
técnico específico, relativos a las características físicas, fisiológicas o conduc-
tuales de una persona física que permitan o confirmen la identificación única
de dicha persona, como imágenes faciales o datos dactiloscópicos.
– Establecimiento principal:
a) En lo que se refiere a un responsable del tratamiento con establecimientos
en más de un Estado miembro, el lugar de su administración central en la
RI
Unión, salvo que las decisiones sobre los fines y los medios del tratamiento
se tomen en otro establecimiento del responsable en la Unión y este último
establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo
caso el establecimiento que haya adoptado tales decisiones se considerará
establecimiento principal.
b) En lo que se refiere a un encargado del tratamiento con establecimientos
ITO

en más de un Estado miembro, el lugar de su administración central en la


Unión o, si careciera de esta, el establecimiento del encargado en la Unión
en el que se realicen las principales actividades de tratamiento en el con-
texto de las actividades de un establecimiento del encargado en la medida
en que el encargado esté sujeto a obligaciones específicas con arreglo al
Reglamento.
– Representante: persona física o jurídica establecida en la Unión que, habien-
do sido designada por escrito por el responsable o el encargado del tratamien-
to, represente al responsable o al encargado en lo que respecta a sus respecti-
vas obligaciones en virtud del Reglamento.
ED

– Empresa: persona física o jurídica dedicada a una actividad económica, inde-


pendientemente de su forma jurídica, incluidas las sociedades o asociaciones
que desempeñen regularmente una actividad económica.
– Grupo empresarial: grupo constituido por una empresa que ejerce el control
y sus empresas controladas.
419
 cuerpo general auxiliar de la administración del estado

D
– Normas corporativas vinculantes: las políticas de protección de datos perso-
nales asumidas por un responsable o encargado del tratamiento establecido
en el territorio de un Estado miembro para transferencias o un conjunto de
transferencias de datos personales a un responsable o encargado en uno o

MA
más países terceros, dentro de un grupo empresarial o una unión de empresas
dedicadas a una actividad económica conjunta.

– Autoridad de control: la autoridad pública independiente establecida por un


Estado miembro para supervisar la aplicación del Reglamento, con el fin de
proteger los derechos y las libertades fundamentales de las personas físicas en
lo que respecta al tratamiento y de facilitar la libre circulación de datos perso-
nales en la Unión.

– Autoridad de control interesada: la autoridad de control a la que afecta el


tratamiento de datos personales debido a que:

AL
a) el responsable o el encargado del tratamiento está establecido en el terri-
torio del Estado miembro de esa autoridad de control;

b) los interesados que residen en el Estado miembro de esa autoridad de con-


trol se ven sustancialmente afectados o es probable que se vean sustancial-
mente afectados por el tratamiento, o

c) se ha presentado una reclamación ante esa autoridad de control.


RI
– Tratamiento transfronterizo:

a) el tratamiento de datos personales realizado en el contexto de las activida-


des de establecimientos en más de un Estado miembro de un responsable
o un encargado del tratamiento en la Unión, si el responsable o el encarga-
do está establecido en más de un Estado miembro, o
ITO

b) el tratamiento de datos personales realizado en el contexto de las activi-


dades de un único establecimiento de un responsable o un encargado del
tratamiento en la Unión, pero que afecta sustancialmente o es probable
que afecte sustancialmente a interesados en más de un Estado miembro.

– Objeción pertinente y motivada: la objeción a una propuesta de decisión


sobre la existencia o no de infracción del Reglamento, o sobre la conformidad
con el Reglamento de acciones previstas en relación con el responsable o el
encargado del tratamiento, que demuestre claramente la importancia de los
riesgos que entraña el proyecto de decisión para los derechos y libertades fun-
ED

damentales de los interesados y, en su caso, para la libre circulación de datos


personales dentro de la Unión.

– Organización internacional: una organización internacional y sus entes su-


bordinados de Derecho internacional público o cualquier otro organismo crea-
do mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.
420
El procedimiento administrativo. régimen jurídico del sector público 

D
2. Principios
2.1. Principios recogidos en la LO 15/1999

MA
Los principios que rigen la protección de datos de carácter personal se refieren, fun-
damentalmente, a dos momentos de la actuación del responsable del fichero o del tra-
tamiento:
– La recogida de los datos.
– El tratamiento de los datos.
El responsable del fichero tiene dos obligaciones básicas a la hora de recoger informa-
ción, que podemos considerar como dos primeros principios básicos:
– Informar previamente al interesado.

AL
– Solicitar el consentimiento del interesado.
Por otro lado, una vez obtenidos los datos, existen una serie de obligaciones para
garantizar que el responsable del fichero hará un tratamiento adecuado de los mismos.
Las garantías que se han de obtener, y que nos indican tres principios básicos más, son:
– La calidad de los datos.
– La seguridad de los datos.
RI
– El secreto de los datos.
Por último, la L.O. 15/1999, en su título II dedicado a los principios de la protección de
datos, incluye tres principios más:
– Los datos especialmente protegidos.
ITO

– La comunicación de datos.
– El acceso a los datos por cuenta de terceros.
Vamos a ver a continuación con más detalle cada uno de estos principios:

2.1.1. Información al interesado


La L.O. 15/1999, reconoce a toda persona el derecho a saber por qué, para qué y cómo
van a ser tratados sus datos personales y a decidir acerca de su uso.
ED

En concreto, el artículo 5.1 de dicha ley establece lo siguiente:


Los interesados a los que se soliciten datos personales deberán ser previamente infor-
mados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la
finalidad de la recogida de éstos y de los destinatarios de la información.
421
 cuerpo general auxiliar de la administración del estado

D
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y

MA
oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
Las advertencias citadas en este artículo deben figurar en los cuestionarios u otros
impresos que se utilicen para la recogida de datos.
La información de los puntos b), c) y d) no será necesaria si el contenido de ella se
deduce claramente de la naturaleza de los datos personales que se solicitan o de las cir-
cunstancias en que se recaban.
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste

AL
deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fi-
chero o su representante, dentro de los tres meses siguientes al momento del registro
de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del
tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e).
No será de aplicación lo dispuesto en el párrafo anterior en los siguientes casos:
– Cuando expresamente una ley lo prevea.
– Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
RI
– Cuando la información al interesado resulte imposible o exija esfuerzos despro-
porcionados, a criterio de la Agencia Española de Protección de Datos o del orga-
nismo autonómico equivalente, en consideración al número de interesados, a la
antigüedad de los datos y a las posibles medidas compensatorias.
– Cuando los datos procedan de fuentes accesibles al público y se destinen a la acti-
ITO

vidad de publicidad o prospección comercial, en cuyo caso, en cada comunicación


que se dirija al interesado se le informará del origen de los datos y de la identidad
del responsable del tratamiento así como de los derechos que le asisten.

2.1.2. Consentimiento del afectado


Como definimos anteriormente, se entiende por consentimiento toda manifestación
de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado con-
sienta el tratamiento de datos personales que le conciernen.
Los datos personales solamente pueden recogerse y emplearse si el afectado ha dado
su consentimiento.
ED

El acto del consentimiento ha de respetar las siguientes características:


– Es libre. A menos que una ley lo disponga, no se puede obligar a nadie a facilitar
sus datos. En caso de que así fuera, se ha de informar del carácter obligatorio de
las preguntas que se realicen y de las consecuencias que se deriven de la negación
a facilitar datos.
422
El procedimiento administrativo. régimen jurídico del sector público 

D
– Es previo e informado. La información sobre el tratamiento ha de ser previa al con-
sentimiento.
– Es específico. La solicitud del consentimiento deberá ir referida a un tratamiento
o serie de tratamientos concretos, con delimitación de la finalidad para los que se

MA
recaba, así como de las restantes condiciones que concurran en el tratamiento o
serie de tratamientos.
– Es revocable. Excepto cuando sea obligatorio facilitar los datos, si se puede con-
sentir libremente, del mismo modo, se puede retirar el consentimiento.
Si no se informara claramente de la finalidad a la que se destinarán los datos respecto
de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada
por el cesionario, el consentimiento será nulo.
No obstante, si los datos recabados no son especialmente sensibles, se admitía (hasta
la entrada en aplicación del RGPD) que dicho consentimiento pudiera ser tácito, tal y

AL
como se establece en el Informe Jurídico 0645/2009 emitido por la Agencia Española de
Protección de Datos.

Actividad 1
RI
Rellena el hueco con la palabra que falta:
• Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e
ITO

2.1.2.1. Casos en que no es preciso el consentimiento


En algunos casos, los datos de carácter personal pueden tratarse sin necesidad de
consentimiento, porque el tratamiento de los mismos es necesario al establecerlo así
una ley.
La propia L.O. 15/1999 indica una serie de supuestos en que no es necesario el con-
sentimiento del interesado:
– Cuando los datos de carácter personal se recojan para el ejercicio de las funciones
propias de las Administraciones públicas en el ámbito de sus competencias. Por
ED

ejemplo, el tratamiento de los datos personales para la gestión de los impuestos.


– Cuando los datos se refieran a las partes de un contrato o precontrato de una rela-
ción negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento. Por ejemplo, datos identificativos o los relativos a la cuenta bancaria
para el pago del salario, que obligatoriamente deben facilitarse.
423
 cuerpo general auxiliar de la administración del estado

D
– Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital
del interesado. Por ejemplo cuando en una urgencia médica se realizan pruebas de
las que se obtendrá información para un diagnóstico médico, siempre que se realice
por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asi-

MA
mismo a una obligación equivalente de secreto.
– Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo perseguido por el responsable
del fichero o por el del tercero a quien se comuniquen los datos, siempre que no
se vulneren los derechos y libertades fundamentales del interesado. Por ejemplo,
cuando se utilizan datos que existen en la guía telefónica para remitir publicidad.
En los casos en los que no sea necesario el consentimiento del afectado para el trata-
miento de los datos de carácter personal, y siempre que una ley no disponga lo contra-
rio, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos
relativos a una concreta situación personal. En tal supuesto, el responsable del fichero

AL
excluirá del tratamiento los datos relativos al afectado.
RI
ITO

2.1.2.2. Forma de recabar el consentimiento


El artículo 14 del Reglamento establece el procedimiento en que el responsable del
tratamiento podrá solicitar el consentimiento del interesado:
– El responsable se dirigirá al afectado, informándole en los términos que estudia-
mos en el apartado 2.1.1.de este tema.
– El responsable concederá al afectado un plazo de treinta días para manifestar
su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a
tal efecto se entenderá que consiente el tratamiento de sus datos de carácter
ED

personal.
* Cuando se trate de responsables que presten al afectado un servicio que gene-
re información periódica o reiterada, o facturación periódica, la comunicación
podrá llevarse a cabo de forma conjunta a esta información o a la facturación
del servicio prestado, siempre que se realice de forma claramente visible.
424
El procedimiento administrativo. régimen jurídico del sector público 

D
* En todo caso, será necesario que el responsable del tratamiento pueda co-
nocer si la comunicación ha sido objeto de devolución por cualquier causa,
en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese
interesado.

MA
* Deberá facilitarse al interesado un medio sencillo y gratuito para manifestar su
negativa al tratamiento de los datos. En particular, se considerará ajustado al
reglamento los procedimientos en el que tal negativa pueda efectuarse, entre
otros, mediante un envío prefranqueado al responsable del tratamiento, la lla-
mada a un número telefónico gratuito o a los servicios de atención al público
que el mismo hubiera establecido.
– Cuando se solicite el consentimiento del interesado a través de este procedimien-
to, no será posible solicitarlo nuevamente respecto de los mismos tratamientos y
para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior
solicitud.

AL
2.1.2.3. Solicitud del consentimiento en el marco de una relación contractual para
fines no relacionados directamente con la misma
Si el responsable del tratamiento solicitase el consentimiento del afectado durante el
proceso de formación de un contrato para finalidades que no guarden relación directa
con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al
RI
afectado que manifieste expresamente su negativa al tratamiento o comunicación de
datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la mar-
cación de una casilla claramente visible y que no se encuentre ya marcada en el docu-
mento que se le entregue para la celebración del contrato o se establezca un procedi-
miento equivalente que le permita manifestar su negativa al tratamiento.
ITO

2.1.2.4. Revocación del consentimiento


El afectado podrá revocar su consentimiento a través de un medio sencillo, gratuito y
que no implique ingreso alguno para el responsable del fichero o tratamiento. En particu-
lar, se considerará ajustado al reglamento el procedimiento en el que tal negativa pueda
efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento
o la llamada a un número telefónico gratuito o a los servicios de atención al público que
el mismo hubiera establecido.
ED

No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999, de 13 de


diciembre, los supuestos en que el responsable establezca como medio para que el in-
teresado pueda manifestar su negativa al tratamiento el envío de cartas certificadas o
envíos semejantes, la utilización de servicios de telecomunicaciones que implique una
tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste
adicional al interesado.
425
 cuerpo general auxiliar de la administración del estado

D
El responsable cesará en el tratamiento de los datos en el plazo máximo de diez días
a contar desde el de la recepción de la revocación del consentimiento, sin perjuicio de
su obligación de bloquear los datos conforme a lo dispuesto en el artículo 16.3 de la Ley
Orgánica 15/1999, de 13 de diciembre.

MA
Cuando el interesado hubiera solicitado del responsable del tratamiento la confirma-
ción del cese en el tratamiento de sus datos, éste deberá responder expresamente a la
solicitud.
Si los datos hubieran sido cedidos previamente, el responsable del tratamiento, una
vez revocado el consentimiento, deberá comunicarlo a los cesionarios, en el mismo plazo
citado anteriormente, para que éstos cesen en el tratamiento de los datos en caso de que
aún lo mantuvieran.

2.1.2.5. Consentimiento para datos especialmente protegidos


AL
Incluimos aquí el estudio del principio de datos especialmente protegidos, ya que se
vincula ampliamente al principio de consentimiento del afectado.

A) Datos personales referidos a ideología, afiliación sindical, religión y creencias

De acuerdo con el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obli-
gado a declarar sobre su ideología, religión o creencias. Cuando se solicite consentimien-
RI
to respecto al tratamiento de algún dato referido a alguna de esas cuestiones, se ha de
advertir al interesado de su derecho a no prestarlo.
Sólo con el consentimiento expreso y por escrito del
afectado podrán ser objeto de tratamiento los datos
de carácter personal que revelen la ideología, afiliación
ITO

sindical, religión y creencias. Se exceptúan los ficheros


mantenidos por los partidos políticos, sindicatos, igle-
sias, confesiones o comunidades religiosas y asociacio-
nes, fundaciones y otras entidades sin ánimo de lucro,
cuya finalidad sea política, filosófica, religiosa o sindical,
en cuanto a los datos relativos a sus asociados o miem-
bros, sin perjuicio de que la cesión de dichos datos pre-
cisará siempre el previo consentimiento del afectado.
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos
de carácter personal que revelen la ideología, afiliación sindical, religión o creencias.
ED

B) Datos personales referidos al origen racial, a la salud o a la vida sexual

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la
vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés
general, así lo disponga una ley o el afectado consienta expresamente.
426
El procedimiento administrativo. régimen jurídico del sector público 

D
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos
de carácter personal que revelen el origen racial o étnico, o vida sexual.

C) Datos personales relativos a la comisión de infracciones penales o administrativas

MA
Los datos de carácter personal relativos a la comisión de infracciones penales o admi-
nistrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas compe-
tentes en los supuestos previstos en las respectivas normas reguladoras.

D) Datos de menores de edad

Podrá procederse al tratamiento de los datos de los mayores de catorce años con su
consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asis-
tencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce
años se requerirá el consentimiento de los padres o tutores.

AL
En ningún caso podrán recabarse del menor datos que permitan obtener información
sobre los demás miembros del grupo familiar, o sobre las características del mismo, como
los datos relativos a la actividad profesional de los progenitores, información económica,
datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales
datos.

No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o
RI
tutor con la única finalidad de recabar la autorización citada en el párrafo anterior.

Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida


a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por
aquéllos, con expresa indicación de lo recogido en este apartado.

Corresponderá al responsable del fichero o tratamiento articular los procedimientos


ITO

que garanticen que se ha comprobado de modo efectivo la edad del menor y la auten-
ticidad del consentimiento prestado en su caso, por los padres, tutores o representantes
legales.

2.1.3. Calidad de los datos


El principio de calidad tiene que ver con los siguientes elementos que trataremos a
continuación:
ED

– Proporcionalidad.

– Exactitud.

– Cancelación.

– Actuación leal y lícita del responsable.


427
 cuerpo general auxiliar de la administración del estado

D
A) Proporcionalidad
Los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de
finalidades determinadas, explícitas y legítimas del responsable del tratamiento.

MA
Los datos de carácter personal objeto de tratamiento no podrán usarse para finalida-
des incompatibles con aquellas para las que los datos hubieran sido recogidos.
Sólo podrán ser objeto de tratamiento los datos que sean adecuados, pertinentes y
no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las
que se hayan obtenido.
En virtud de lo anterior, la proporcionalidad supone que cuando nos soliciten datos
personales deberán limitarse a los estrictamente necesarios.

B) Exactitud
AL
Los datos de carácter personal serán exactos y puestos al día de forma que respondan
con veracidad a la situación actual del afectado. Si los datos fueran recogidos directa-
mente del afectado, se considerarán exactos los facilitados por éste.
Si los datos de carácter personal sometidos a tratamiento resultaran ser inexactos, en
todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los corres-
pondientes datos rectificados o completados en el plazo de diez días desde que se tuvie-
RI
se conocimiento de la inexactitud, salvo que la legislación aplicable al fichero establezca
un procedimiento o un plazo específico para ello.
Cuando los datos hubieran sido comunicados previamente, el responsable del fichero
o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o
cancelación efectuada, siempre que el cesionario sea conocido.
En el plazo de diez días desde la recepción de la notificación, el cesionario que mantu-
ITO

viera el tratamiento de los datos, deberá proceder a la rectificación y cancelación notificada.


Esta actualización de los datos de carácter personal no requerirá comunicación algu-
na al interesado, sin perjuicio del ejercicio de los derechos por parte de los interesados
reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre.
Nota: en el apartado dedicado a los Derechos del interesado trataremos, entre otros,
el derecho de éste a rectificar los datos.

C) Cancelación
ED

Los datos de carácter personal serán cancelados cuando hayan dejado de ser nece-
sarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante
un período superior al necesario para los fines en base a los cuales hubieran sido recaba-
dos o registrados.
428
El procedimiento administrativo. régimen jurídico del sector público 

D
Reglamentariamente se determinará el procedimiento por el que, por excepción,
atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación
específica, se decida el mantenimiento íntegro de determinados datos.
Los datos de carácter personal serán almacenados de forma que permitan el ejercicio

MA
del derecho de acceso, salvo que sean legalmente cancelados.
Nota: en caso de que con motivo de un tratamiento de datos personales considere-
mos que se ha producido cualquier infracción o hayamos sufrido un perjuicio debemos
saber que los datos, aún cancelados, deben estar disponibles para la autoridad compe-
tente por periodos que dependen de cada sector. Así, el responsable debe mantenerlos
bloqueados y no podrá utilizarlos, pero si los requiere una autoridad, o un tribunal, debe-
rá ponerlos a su disposición.

D) Actuación leal y lícita del responsable


Como parte del principio de calidad de los datos, la Ley Orgánica 15/1999, señala la

2.1.4. Seguridad de los datos


AL
prohibición de la recogida de datos por medios fraudulentos, desleales o ilícitos.

La L.O. 15/1999, en su artículo 9, obliga al responsable del fichero, y, en su caso, al en-


cargado del tratamiento a adoptar las medidas de índole técnica y organizativas necesa-
rias que garanticen la seguridad de los datos de carácter personal y eviten su alteración,
RI
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología,
la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan
de la acción humana o del medio físico o natural.
No se permite registrar datos de carácter personal en ficheros que no reúnan las con-
diciones que se determinen por vía reglamentaria con respecto a su integridad y seguri-
dad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
ITO

La aplicación del principio de seguridad supone garantizar los tres elementos básicos
siguientes:
– Integridad; los datos no podrán sufrir modificaciones no autorizadas.
– Disponibilidad; los datos estarán siempre a disposición de las personas autoriza-
das, pudiendo ser recuperados cuando algún suceso (por ejemplo un incendio)
afecte a su funcionamiento normal.
– Confidencialidad; los datos sólo serán conocidos y accesibles a los usuarios auto-
rizados.
ED

2.1.4.1. El documento de seguridad


El documento de seguridad tiene las siguientes características:
– Es un documento de carácter interno de la organización.
– Debe ser elaborado por el responsable del fichero o tratamiento.
429
 cuerpo general auxiliar de la administración del estado

D
– Recoge las medidas de índole técnica y organizativa de obligado cumplimiento
para el personal con acceso a los sistemas de información
– Puede ser único y comprensivo de todos los ficheros o tratamientos, o bien indivi-
dualizado para cada fichero o tratamiento

MA
– Debe mantenerse en todo momento actualizado, siendo revisado cada vez que se
produzcan cambios relevantes en:
* El sistema de información.
* El sistema de tratamiento empleado.
* Su organización.
* El contenido de la información incluida en los ficheros o tratamientos
– Debe adecuarse en todo momento a las disposiciones vigentes en materia de se-
AL
guridad de los datos de carácter personal.
– Debe contener como mínimo los siguientes aspectos:
* Ámbito de aplicación del documento con especificación detallada de los recur-
sos protegidos.
* Medidas, normas, procedimientos de actuación, reglas y estándares encamina-
RI
dos a garantizar el nivel de seguridad exigido en este reglamento.
* Funciones y obligaciones del personal en relación con el tratamiento de los
datos de carácter personal incluidos en los ficheros.
* Estructura de los ficheros con datos de carácter personal y descripción de los
sistemas de información que los tratan.
ITO

* Procedimiento de notificación, gestión y respuesta ante las incidencias.


* Los procedimientos de realización de copias de respaldo y de recuperación de
los datos en los ficheros o tratamientos automatizados.
* Las medidas que sea necesario adoptar para el transporte de soportes y docu-
mentos, así como para la destrucción de los documentos y soportes, o en su
caso, la reutilización de estos últimos.
En caso de que fueran de aplicación a los ficheros las medidas de seguridad de
nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el
ED

documento de seguridad deberá contener además:


* La identificación del responsable o responsables de seguridad.
* Los controles periódicos que se deban realizar para verificar el cumplimiento
de lo dispuesto en el propio documento.
430
El procedimiento administrativo. régimen jurídico del sector público 

D
– Cuando exista un tratamiento de datos por cuenta de terceros, el documento de
seguridad deberá contener la identificación de los ficheros o tratamientos que se
traten en concepto de encargado con referencia expresa:
* al contrato o documento que regule las condiciones del encargo,

MA
* de la identificación del responsable
* del período de vigencia del encargo.

AL
2.1.4.2. Niveles de seguridad
RI
Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales
se clasifican en tres niveles acumulativos:
– Básico.
– Medio.
– Alto.
ITO

Esta clasificación se realiza atendiendo a la naturaleza de la información tratada, en


relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad
de la información.
A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las
medidas de seguridad relativas a cada uno de los niveles que determina el Reglamento,
tal como ilustra la Agencia Española de Protección de Datos en su página web:

A) Clasificación por niveles de los ficheros o tratamientos con datos


ED

Nivel alto. Ficheros o tratamientos con datos:


– De ideología, afiliación sindical, religión, creencias, origen racial, salud o vida
sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico.
– Recabados con fines policiales sin consentimiento de las personas afectadas.
– Derivados de actos de violencia de género.
431
 cuerpo general auxiliar de la administración del estado

D
Nivel medio. Ficheros o tratamientos con datos:

– Relativos a la comisión de infracciones administrativas o penales.

– Que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia

MA
patrimonial y crédito).

– De Administraciones tributarias, y que se relacionen con el ejercicio de sus potes-


tades tributarias.

– De entidades financieras para las finalidades relacionadas con la prestación de ser-


vicios financieros.

– De Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacio-


nen con el ejercicio de sus competencias.

– De mutuas de accidentes de trabajo y enfermedades profesionales de la Seguri-


dad Social.
AL
– Que ofrezcan una definición de la personalidad y permitan evaluar determinados
aspectos de la misma o del comportamiento de las personas.

– De los operadores de comunicaciones electrónicas, respecto de los datos de tráfi-


co y localización.
RI
Nivel básico. Cualquier otro fichero que contenga datos de carácter personal. Tam-
bién aquellos ficheros que contengan datos de ideología, afiliación sindical, religión,
creencias, salud, origen racial o vida sexual, cuando:

– Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a
entidades de las que los afectados sean asociados o miembros.
ITO

– Se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o


accesoria, que no guarden relación con la finalidad del fichero.

– En los ficheros o tratamientos que contengan datos de salud, que se refieran ex-
clusivamente al grado o condición de discapacidad o la simple declaración de in-
validez, con motivo del cumplimiento de deberes públicos.

B) Medidas a adoptar en cada nivel

Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las me-
ED

didas de nivel medio complementan a las anteriores en el caso de ficheros clasificados


en este nivel, y las de nivel alto, cuando deban adoptarse, incluyen también las de nivel
básico y medio.

A continuación vamos a ver una tabla resumen de las medidas a adoptar por niveles,
divulgada por la propia Agencia Española de Protección de Datos:
432
El procedimiento administrativo. régimen jurídico del sector público 

D
NIVEL BÁSICO NIVEL MEDIO NIVEL ALTO

El responsable del fichero tiene


que designar a uno o varios
responsables de seguridad (no

MA
es una delegación de responsa-
Responsable bilidad).
de seguridad
El responsable de seguridad
es el encargado de coordinar y
controlar las medidas del docu-
mento.

Funciones y obligaciones de
los diferentes usuarios o de los
perfiles de usuarios claramente
definidas y documentadas.
Definición de las funciones de
Personal
AL
control y las autorizaciones de-
legadas por el responsable.
Difusión entre el personal, de las
normas que les afecten y de las
consecuencias por su incumpli-
miento.

Registro de incidencias: tipo, SOLO FICHEROS AUTOMATIZADOS


momento de su detección, per- Anotar los procedimientos de
RI
sona que la notifica, efectos y recuperación, persona que lo
medidas correctoras. ejecuta, datos restaurados, y
Incidencias Procedimiento de notificación y en su caso, datos grabados ma-
gestión de las incidencias. nualmente.
Autorización del responsable
del fichero para la recuperación
de datos.
ITO

Relación actualizada de usuarios SOLO FICHEROS AUTOMATIZADOS SOLO FICHEROS AUTOMATIZADOS


y accesos autorizados. Control de acceso físico a los Registro de accesos: usuario,
Control de accesos permitidos locales donde se encuentren hora, fichero, tipo de acceso,
a cada usuario según las fun- ubicados los sistemas de infor- autorizado o denegado.
ciones asignadas. mación. Revisión mensual del registro
Mecanismos que eviten el por el responsable de seguridad.
acceso a datos o recursos con Conservación 2 años.
derechos distintos de los auto-
Control de acceso rizados. No es necesario este registro
si el responsable del fichero es
Concesión de permisos de ac- una persona física y es el único
ceso sólo por personal autori-
ED

usuario.
zado.
SOLO FICHEROS NO AUTOMATIZADOS
Mismas condiciones para per-
sonal ajeno con acceso a los Control de accesos autorizados.
recursos de datos. Identificación accesos para do-
cumentos accesibles por múlti-
ples usuarios.
433
 cuerpo general auxiliar de la administración del estado

D
SOLO FICHEROS AUTOMATIZADOS SOLO FICHEROS AUTOMATIZADOS
Identificación y autenticación Límite de intentos reiterados de
personalizada. acceso no autorizado.
Procedimiento de asignación y
Identificación
distribución de contraseñas.

MA
y autenticación
Almacenamiento ininteligible
de las contraseñas.
Periodicidad del cambio de con-
traseñas (<1 año).
Inventario de soportes. SOLO FICHEROS AUTOMATIZADOS SOLO FICHEROS AUTOMATIZADOS
Identificación del tipo de infor- Registro de entrada y salida de Sistema de etiquetado confi-
mación que contienen, o sis- soportes: documento o soporte, dencial.
tema de etiquetado. fecha, emisor/destinatario, nú- Cifrado de datos en la distribu-
Acceso restringido al lugar de mero, tipo de información, forma ción de soportes.
Gestión de soportes
almacenamiento. de envío, responsable autorizado Cifrado de información en dispo-
Autorización de las salidas de so- para recepción/entrega. sitivos portátiles fuera de las ins-
portes (incluidas a través de email) talaciones (evitar el uso de dispo-

AL
Medidas para el transporte y el
desecho de soportes.
SOLO FICHEROS AUTOMATIZADOS
Copia de respaldo semanal.
Procedimientos de generación
de copias de respaldo y recupe-
sitivos que no permitan cifrado, o
adoptar medidas alternativas).
SOLO FICHEROS AUTOMATIZADOS
Copia de respaldo y procedi-
mientos de recuperación en
lugar diferente del que se en-
ración de datos. cuentren los equipos.
Verificación semestral de los
procedimientos.
Copias de respaldo
RI
Reconstrucción de los datos a
partir de la última copia. Graba-
ción manual en su caso, si existe
documentación que lo permita.
Pruebas con datos reales. Copia de
seguridad y aplicación del nivel de
seguridad correspondiente.
ITO

SOLO FICHEROS NO AUTOMATIZADOS


El archivo de los documentos
debe realizarse según criterios
que faciliten su consulta y loca-
Criterios de archivo
lización para garantizar el ejer-
cicio de los derechos de Acceso,
Rectificación, Cancelación y
Oposición (ARCO)
SOLO FICHEROS NO AUTOMATIZADOS SOLO FICHEROS NO AUTOMATIZADOS
Dispositivos de almacenamiento Armarios, archivadores de docu-
Almacenamiento
dotados de mecanismos que mentos en áreas con acceso prote-
obstaculicen su apertura. gido mediante puertas con llave.
ED

SOLO FICHEROS NO AUTOMATIZADOS


Durante la revisión o tramita-
ción de los documentos, la per-
Custodia de soportes
sona a cargo de los mismos debe
ser diligente y custodiarla para
evitar accesos no autorizados.
434
El procedimiento administrativo. régimen jurídico del sector público 

D
SOLO FICHEROS NO AUTOMATIZADOS
Sólo puede realizarse por los
Copia o reproducción usuarios autorizados.
Destrucción de copias des-
echadas.

MA
Al menos cada dos años, interna
o externa.
Debe realizarse ante modifi-
caciones sustanciales en los
sistemas de información con
repercusiones en seguridad.
Verificación y control de la ade-
Auditoría
cuación de las medidas.
Informe de detección de defi-
ciencias y propuestas correc-
toras.
Análisis del responsable de se-

Telecomunicaciones
AL guridad y conclusiones elevadas
al responsable del fichero.
SOLO FICHEROS AUTOMATIZADOS
Transmisión de datos a través de
redes electrónicas cifradas.
SOLO FICHEROS NO AUTOMATIZADOS
Traslado de
Medidas que impidan el acceso
documentación
o manipulación.
RI
2.1.5. Secreto de los datos
Otro de los principios de la protección de datos es el deber de secreto. A este respecto,
el artículo 10 de la L.O. 15/1999, señala que:
ITO

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento


de los datos de carácter personal están obligados al secreto profesional respecto de los
mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar
sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Este deber de secreto afecta a todas las personas que accedan a información personal
contenida en un sistema sujeto al cumplimiento de lo previsto por la citada ley orgánica.

2.1.6. Comunicación de datos


Una cesión o comunicación de datos se produce cuando el dato se facilita, aunque
ED

sólo sea para su consulta a alguien distinto del responsable, de las personas que prestan
sus servicios en la entidad, o del afectado cuyos datos se traten.
Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados
a un tercero para el cumplimiento de fines directamente relacionados con las funciones
legítimas del cedente y del cesionario con el previo consentimiento del interesado.
435
 cuerpo general auxiliar de la administración del estado

D
Dicho consentimiento no será preciso:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.

MA
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación
jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la co-
nexión de dicho tratamiento con ficheros de terceros. En este caso la comunica-
ción sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor
del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en
el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consen-
timiento cuando la comunicación tenga como destinatario a instituciones autonó-
micas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto

AL
el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f ) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria
para solucionar una urgencia que requiera acceder a un fichero o para realizar los
estudios epidemiológicos en los términos establecidos en la legislación sobre sa-
nidad estatal o autonómica.
Será nulo el consentimiento para la comunicación de los datos de carácter personal
RI
a un tercero, cuando la información que se facilite al interesado no le permita conocer la
finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad
de aquel a quien se pretenden comunicar.
El consentimiento para la comunicación de los datos de carácter personal tiene tam-
bién un carácter de revocable.
Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo
ITO

hecho de la comunicación, a la observancia de las disposiciones de la L.O. 15/1999.


Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable
lo establecido en los párrafos anteriores.

2.1.7. Acceso a los datos por cuenta de terceros


No se considerará comunicación de datos el acceso de un tercero a los datos cuando
dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
No obstante, se considerará que existe comunicación de datos cuando el acceso ten-
ED

ga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el
afectado.
La realización de tratamientos por cuenta de terceros deberá estar regulada en un
contrato que deberá constar por escrito o en alguna otra forma que permita acreditar
su celebración y contenido, estableciéndose expresamente que el encargado del trata-
436
El procedimiento administrativo. régimen jurídico del sector público 

D
miento únicamente tratará los datos conforme a las instrucciones del responsable del
tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato,
ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado

MA
del tratamiento está obligado a implementar.

La L.O. 15/1999 define al encargado del tratamiento como “la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros,
trate datos personales por cuenta del responsable del tratamiento”.

Se trata de una definición muy amplia que incluye, por ejemplo, a las asesorías labora-
les, las empresas de marketing o las gestorías contables, y en general, a cualquier persona
o entidad que preste servicios que impliquen el tratamiento de datos de carácter perso-
nal por cuenta del responsable del fichero.

AL
El servicio prestado por el encargado del tratamiento podrá tener o no carácter remu-
nerado y ser temporal o indefinido.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán
ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte
o documentos en que conste algún dato de carácter personal objeto del tratamiento.

En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado
RI
también responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
ITO

Actividad 2
Señala si es Verdadera o Falsa cada una de las siguientes afirmacio-
nes en relación a la Ley Orgánica de Protección de Datos:
• El tratamiento de los datos de carácter personal requerirá el consen-
timiento inequívoco del afectado, incluso cuando se recojan para el
ejercicio de las funciones propias de las Administraciones públicas en
el ámbito de sus competencias.
Verdadera Falsa
ED

• El responsable del fichero y quienes intervengan en cualquier fase del


tratamiento de los datos de carácter personal están obligados al se-
creto profesional respecto de los mismos y al deber de guardarlos.
Verdadera Falsa

437
 cuerpo general auxiliar de la administración del estado

D
2.2. Principios recogidos en el RGPD
2.2.1. Principios relativos al tratamiento

MA
En relación al tratamiento, el artículo 5 del RGPD establece los siguientes principios:
a) Principio de licitud, lealtad y transparencia: Los datos personales serán trata-
dos de manera lícita, leal y transparente en relación con el interesado.
b) Principio de limitación de la finalidad: Los datos personales serán recogidos con
fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de
manera incompatible con dichos fines; el tratamiento ulterior de los datos per-
sonales con fines de archivo en interés público, fines de investigación científica e
histórica o fines estadísticos no se considerará incompatible con los fines iniciales.
c) Principio de minimización de datos: Los datos personales serán adecuados, perti-
nentes y limitados a lo necesario en relación con los fines para los que son tratados.
AL
d) Principio de exactitud: Los datos personales serán exactos y, si fuera necesario,
actualizados; se adoptarán todas las medidas razonables para que se supriman o
rectifiquen sin dilación los datos personales que sean inexactos con respecto a los
fines para los que se tratan.
e) Principio de limitación del plazo de conservación: Los datos personales serán
mantenidos de forma que se permita la identificación de los interesados durante
RI
no más tiempo del necesario para los fines del tratamiento de los datos persona-
les; los datos personales podrán conservarse durante períodos más largos siempre
que se traten exclusivamente con fines de archivo en interés público, fines de in-
vestigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación
de las medidas técnicas y organizativas apropiadas que impone el Reglamento a
fin de proteger los derechos y libertades del interesado.
ITO

f ) Principio de integridad y confidencialidad: Los datos personales serán tratados


de tal manera que se garantice una seguridad adecuada de los mismos, incluida la
protección contra el tratamiento no autorizado o ilícito y contra su pérdida, des-
trucción o daño accidental, mediante la aplicación de medidas técnicas u organi-
zativas apropiadas.
g) Principio de responsabilidad proactiva: El responsable del tratamiento será
responsable del cumplimiento de lo dispuesto en las letras anteriores y capaz de
demostrarlo.

2.2.2. Licitud del tratamiento


ED

Según dispone el artículo 6 del RGPD, el tratamiento solo será lícito si se cumple al
menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
438
El procedimiento administrativo. régimen jurídico del sector público 

D
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesa-
do es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable
al responsable del tratamiento;

MA
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en in-
terés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento;
f ) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos in-
tereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando

AL
el interesado sea un niño.
Lo dispuesto en la letra f ) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.
RI
ITO

Los Estados miembros podrán mantener o introducir disposiciones más específicas


a fin de adaptar la aplicación de las normas del RGPD con respecto al tratamiento en
cumplimiento de las letras c) y e), fijando de manera más precisa requisitos específicos
de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con
inclusión de otras situaciones específicas de tratamiento.
La base del tratamiento indicado en las citadas letras c) y e), deberá ser establecida por:
a) el Derecho de la Unión, o
ED

b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.


La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en
lo relativo al tratamiento a que se refiere la letra e), será necesaria para el cumplimiento
de una misión realizada en interés público o en el ejercicio de poderes públicos conferi-
dos al responsable del tratamiento.
439
 cuerpo general auxiliar de la administración del estado

D
Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplica-
ción de normas del Reglamento, entre otras:
– Las condiciones generales que rigen la licitud del tratamiento por parte del res-
ponsable.

MA
– Los tipos de datos objeto de tratamiento.
– Los interesados afectados.
– Las entidades a las que se pueden comunicar datos personales y los fines de tal
comunicación.
– La limitación de la finalidad.
– Los plazos de conservación de los datos.
– Las operaciones y los procedimientos del tratamiento, incluidas las medidas para
garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones

AL
específicas de tratamiento a tenor del capítulo IX del Reglamento.
El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés
público y será proporcional al fin legítimo perseguido.
Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron
los datos personales no esté basado en el consentimiento del interesado o en el De-
recho de la Unión o de los Estados miembros que constituya una medida necesaria y
proporcional en una sociedad democrática para salvaguardar los objetivos indicados
RI
en el artículo 23, apartado 1 del RGPD (ver apdo. 3.2.9), el responsable del tratamien-
to, con objeto de determinar si el tratamiento con otro fin es compatible con el fin
para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre
otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos per-
ITO

sonales y los fines del tratamiento ulterior previsto;


b) el contexto en que se hayan recogido los datos personales, en particular por lo
que respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías es-
peciales de datos personales, o datos personales relativos a condenas e infraccio-
nes penales;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimi-
zación.
ED

2.2.3. Condiciones para el consentimiento


El RGPD mantiene los mismos principios del consentimiento que establece la LO
15/1999, exigiendo un consentimiento libre, informado, específico e inequívoco.
440
El procedimiento administrativo. régimen jurídico del sector público 

D
Sin embargo, como novedad respecto de la LOPD, indica que para poder considerar
que el consentimiento es inequívoco, deberá existir   una declaración del interesado o
una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o
la inacción no constituirán prueba de consentimiento.

MA
Cuando el tratamiento se base en el consentimiento del interesado, el responsable de-
berá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
Si el consentimiento del interesado se da en el contexto de una declaración escrita
que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de
tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil
acceso y utilizando un lenguaje claro y sencillo.
No será vinculante ninguna parte de la declaración que constituya infracción del RGPD.
El interesado tendrá derecho a retirar su consentimiento en cualquier momento.
La retirada del consentimiento no afectará a la licitud del tratamiento basada en el

AL
consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será
informado de ello. Será tan fácil retirar el consentimiento como darlo.
Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la ma-
yor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida
la prestación de un servicio, se supedita al consentimiento al tratamiento de datos perso-
nales que no son necesarios para la ejecución de dicho contrato.
RI
Cuando se aplique el consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos en relación con la oferta directa a niños de servicios
de la sociedad de la información, el tratamiento de los datos personales de un niño se
considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años,
tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó
el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o
autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines,
ITO

siempre que esta no sea inferior a 13 años.


Lo señalado en el párrafo anterior no afectará a las disposiciones generales del Dere-
cho contractual de los Estados miembros, como las normas relativas a la validez, forma-
ción o efectos de los contratos en relación con un niño.
El responsable del tratamiento hará esfuerzos razonables para verificar que el consen-
timiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño,
teniendo en cuenta la tecnología disponible.
ED

Recuerda que...
En España, en virtud de la LO 15/1999, los menores podrán prestar por sí
mismos su consentimiento para el tratamiento de sus datos personales
a partir de los 14 años.
441
 cuerpo general auxiliar de la administración del estado

D
2.2.4. Tratamientos especiales
2.2.4.1. Tratamiento de categorías especiales de datos personales

MA
El artículo 9.1 del RGPD prohíbe:
– El tratamiento de datos personales que revelen el origen étnico o racial, las opinio-
nes políticas, las convicciones religiosas o filosóficas, o la afiliación sindical.
– El tratamiento de datos genéticos, datos biométricos dirigidos a identificar de ma-
nera unívoca a una persona física, datos relativos a la salud o datos relativos a la
vida sexual u orientación sexual de una persona física.
Lo anterior no será de aplicación cuando concurra una de las circunstancias siguientes:
a) El interesado dio su consentimiento explícito para el tratamiento de dichos datos
personales con uno o más de los fines especificados, excepto cuando el Derecho

AL
de la Unión o de los Estados miembros establezca que la prohibición del citado
artículo 9.1 no puede ser levantada por el interesado.
b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de
derechos específicos del responsable del tratamiento o del interesado en el ámbito
del Derecho laboral y de la seguridad y protección social, en la medida en que así lo
autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo
con arreglo al Derecho de los Estados miembros que establezca garantías adecua-
RI
das del respeto de los derechos fundamentales y de los intereses del interesado.
c) El tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física, en el supuesto de que el interesado no esté capacitado, física o
jurídicamente, para dar su consentimiento.
d) El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las de-
ITO

bidas garantías, por una fundación, una asociación o cualquier otro organismo sin
ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre
que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos
de tales organismos o a personas que mantengan contactos regulares con ellos en
relación con sus fines y siempre que los datos personales no se comuniquen fuera
de ellos sin el consentimiento de los interesados.
e) El tratamiento se refiere a datos personales que el interesado ha hecho manifiesta-
mente públicos.
f ) El tratamiento es necesario para la formulación, el ejercicio o la defensa de recla-
ED

maciones o cuando los tribunales actúen en ejercicio de su función judicial;


g) El tratamiento es necesario por razones de un interés público esencial, sobre la
base del Derecho de la Unión o de los Estados miembros, que debe ser propor-
cional al objetivo perseguido, respetar en lo esencial el derecho a la protección de
datos y establecer medidas adecuadas y específicas para proteger los intereses y
derechos fundamentales del interesado.
442
El procedimiento administrativo. régimen jurídico del sector público 

D
h) El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación
de la capacidad laboral del trabajador, diagnóstico médico, prestación de asisten-
cia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de
asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados

MA
miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio
de las condiciones y garantías contempladas en el artículo 9.3 del RGPD.
i) El tratamiento es necesario por razones de interés público en el ámbito de la salud
pública, como la protección frente a amenazas transfronterizas graves para la sa-
lud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia
sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho
de la Unión o de los Estados miembros que establezca medidas adecuadas y es-
pecíficas para proteger los derechos y libertades del interesado, en particular el
secreto profesional.
j) El tratamiento es necesario con fines de archivo en interés público, fines de inves-

AL
tigación científica o histórica o fines estadísticos, sobre la base del Derecho de la
Unión o de los Estados miembros, que debe ser proporcional al objetivo persegui-
do, respetar en lo esencial el derecho a la protección de datos y establecer medi-
das adecuadas y específicas para proteger los intereses y derechos fundamentales
del interesado.
Según el artículo 9.2, los datos personales a que se refiere el artículo 9.1 podrán tratar-
se a los fines citados en la letra h), cuando su tratamiento sea realizado por un profesional
RI
sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con
el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los
organismos nacionales competentes, o por cualquier otra persona sujeta también a la
obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros
o de las normas establecidas por los organismos nacionales competentes.
Los Estados miembros podrán mantener o introducir condiciones adicionales, inclu-
ITO

sive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o


datos relativos a la salud.
ED

443
 cuerpo general auxiliar de la administración del estado

D
2.2.4.2. Tratamiento de datos personales relativos a condenas e infracciones penales
El tratamiento de datos personales relativos a condenas e infracciones penales o me-
didas de seguridad conexas sobre la base del artículo referido a la licitud del tratamiento,

MA
sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo
autorice el Derecho de la Unión o de los Estados miembros que establezca garantías ade-
cuadas para los derechos y libertades de los interesados.

Solo podrá llevarse un registro completo de condenas penales bajo el control de las
autoridades públicas.

2.2.4.3. Tratamiento que no requiere identificación


Si los fines para los cuales un responsable trata datos personales no requieren o ya no
requieren la identificación de un interesado por el responsable, este no estará obligado a

AL
mantener, obtener o tratar información adicional con vistas a identificar al interesado con
la única finalidad de cumplir el RGPD.

Cuando, en los casos a que se refiere el párrafo anterior, el responsable sea capaz de
demostrar que no está en condiciones de identificar al interesado, le informará en con-
secuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20 del RGPD,
excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos
artículos, facilite información adicional que permita su identificación.
RI
3. Los derechos del interesado
3.1. Los derechos en la LO 15/1999
ITO

La L.O. 15/1999, dedica su título III a los derechos de las personas en relación a la pro-
tección de los datos de carácter personal.
Dicho título, a lo largo de su articulado, recoge los siguientes derechos:
– Derecho a la impugnación de valoraciones.
– Derecho de consulta al Registro General de Protección de Datos.
– Derecho de acceso.
ED

– Derecho de rectificación.
– Derecho de cancelación.
– Derecho de oposición.
– Derecho a indemnización.
444
El procedimiento administrativo. régimen jurídico del sector público 

D
De estos derechos, el Reglamento se centra, dedicando un título completo, en cuatro
de ellos: Acceso, Rectificación, Cancelación y Oposición. Este conjunto de derechos se
conoce, atendiendo a sus iniciales, como los derechos ARCO.
A continuación vamos a tratar con más detalle cada uno de los derechos citados.

MA
3.1.1. Derecho a la impugnación de valoraciones
La L.O. 15/1999, se refiere a este derecho en su artículo 13 donde se establece lo si-
guiente:
1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos
jurídicos, sobre ellos o que les afecte de manera significativa, que se base única-
mente en un tratamiento de datos destinados a evaluar determinados aspectos
de su personalidad.

AL
2. El afectado podrá impugnar los actos administrativos o decisiones privadas que
impliquen una valoración de su comportamiento, cuyo único fundamento sea un
tratamiento de datos de carácter personal que ofrezca una definición de sus carac-
terísticas o personalidad.
3. En este caso, el afectado tendrá derecho a obtener información del responsable
del fichero sobre los criterios de valoración y el programa utilizados en el trata-
miento que sirvió para adoptar la decisión en que consistió el acto.
RI
4. La valoración sobre el comportamiento de los ciudadanos, basada en un trata-
miento de datos, únicamente podrá tener valor probatorio a petición del afectado.

3.1.2. Derecho de consulta al registro general de protección de datos


Este derecho se refiere al conocimiento por parte de cualquier persona, recabando a
ITO

tal fin la información oportuna del Registro General de Protección de Datos, de:
– La existencia de tratamientos de datos de carácter personal.
– Las finalidades de dichos tratamientos.
– La identidad del responsable del tratamiento.
Hay que tener en cuenta a este respecto, que todos los responsables de ficheros y tra-
tamientos están obligados a inscribir sus ficheros ante el Registro General de Protección
de Datos.
La ley orgánica señala además que la consulta al Registro General será pública y gratuita.
ED

3.1.3. Derechos ARCO


Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y
serán ejercidos por el afectado.
445
 cuerpo general auxiliar de la administración del estado

D
Tales derechos se ejercitarán:
a) Por el afectado, acreditando su identidad.
b) Cuando el afectado se encuentre en situación de incapacidad o minoría de edad
que le imposibilite el ejercicio personal de estos derechos, podrán ejercitarse por

MA
su representante legal, en cuyo caso será necesario que acredite tal condición.
c) Los derechos también podrán ejercitarse a través de representante voluntario, ex-
presamente designado para el ejercicio del derecho. En ese caso, deberá constar
claramente acreditada la identidad del representado, mediante la aportación de
copia de su Documento Nacional de Identidad o documento equivalente, y la re-
presentación conferida por aquél.
Cuando el responsable del fichero sea un órgano de las Administraciones públicas o
de la Administración de Justicia, podrá acreditarse la representación por cualquier medio
válido en derecho que deje constancia fidedigna, o mediante declaración en compare-
cencia personal del interesado.

AL
Los derechos serán denegados cuando la solicitud sea formulada por persona distinta
del afectado y no se acreditase que la misma actúa en representación de aquél.
Los derechos de acceso, rectificación, cancelación y oposición son derechos indepen-
dientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea
requisito previo para el ejercicio de otro.
Deberá concederse al interesado un medio sencillo y gratuito para el ejercicio de los
derechos de acceso, rectificación, cancelación y oposición.
RI
El ejercicio por el afectado de sus derechos de acceso, rectificación, cancelación y
oposición será gratuito y en ningún caso podrá suponer un ingreso adicional para el res-
ponsable del tratamiento ante el que se ejercitan.
No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999, de 13 de
diciembre, y en el Reglamento los supuestos en que el responsable del tratamiento esta-
ITO

blezca como medio para que el interesado pueda ejercitar sus derechos el envío de cartas
certificadas o semejantes, la utilización de servicios de telecomunicaciones que implique
una tarificación adicional al afectado o cualesquiera otros medios que impliquen un cos-
te excesivo para el interesado.
Cuando el responsable del fichero o tratamiento disponga de servicios de cualquier
índole para la atención a su público o el ejercicio de reclamaciones relacionadas con el
servicio prestado o los productos ofertados al mismo, podrá concederse la posibilidad al
afectado de ejercer sus derechos de acceso, rectificación, cancelación y oposición a tra-
vés de dichos servicios. En tal caso, la identidad del interesado se considerará acreditada
por los medios establecidos para la identificación de los clientes del responsable en la
ED

prestación de sus servicios o contratación de sus productos.


El responsable del fichero o tratamiento deberá atender la solicitud de acceso, rectifi-
cación, cancelación u oposición ejercida por el afectado aún cuando el mismo no hubiese
utilizado el procedimiento establecido específicamente al efecto por aquél, siempre que
el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la
solicitud, y que ésta contenga los elementos requeridos reglamentariamente.
446
El procedimiento administrativo. régimen jurídico del sector público 

D
3.1.3.1. Derecho de acceso
El interesado tiene derecho a solicitar y obtener gratuitamente información de sus
datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como

MA
las comunicaciones realizadas o que se prevén hacer de los mismos.
El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de
un mes a contar desde la recepción de la solicitud.
Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la información a
través de uno o varios de los siguientes sistemas de consulta del fichero:
a) Visualización en pantalla.
b) Escrito, copia o fotocopia remitida por correo, certificado o no.
c) Telecopia.

AL
d) Correo electrónico u otros sistemas de comunicaciones electrónicas.
e) Cualquier otro sistema que sea adecuado a la configuración o implantación mate-
rial del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.
El derecho de acceso al que nos estamos refiriendo sólo podrá ser ejercitado a inter-
valos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al
efecto, en cuyo caso podrán ejercitarlo antes.
RI
El responsable del fichero o tratamiento podrá denegar el acceso a los datos de ca-
rácter personal cuando el derecho ya se haya ejercitado en los doce meses anteriores a la
solicitud, salvo que se acredite un interés legítimo al efecto.
Podrá también denegarse el acceso en los supuestos en que así lo prevea una Ley
o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al
responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que
ITO

se refiera el acceso.
En todo caso, el responsable del fichero informará al afectado de su derecho a recabar
la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de
control de las comunidades autónomas, conforme a lo dispuesto en el artículo 18 de la Ley
Orgánica 15/1999, de 13 de diciembre. Más adelante trataremos en qué consiste dicha tutela.

3.1.3.2. Derecho de rectificación


Las características de este derecho son las siguientes:
ED

– Permite corregir errores, modificar los datos que resulten ser inexactos o incom-
pletos y garantizar la certeza de la información objeto de tratamiento.
– La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección
que haya de realizarse y deberá ir acompañada de la documentación justificativa
de lo solicitado.
447
 cuerpo general auxiliar de la administración del estado

D
– El responsable del fichero resolverá sobre la solicitud de rectificación o cancela-
ción en el plazo máximo de diez días hábiles a contar desde la recepción de la
solicitud.
– Si los datos rectificados hubieran sido cedidos previamente, el responsable del fi-

MA
chero deberá comunicar la rectificación efectuada al cesionario, en idéntico plazo,
para que éste, también en el plazo de diez días contados desde la recepción de
dicha comunicación, proceda, asimismo, a rectificar los datos.

3.1.3.3. Derecho de cancelación


Las características del derecho de cancelación son las siguientes:
– Permite que se supriman los datos que resulten ser inadecuados o excesivos. La
cancelación implica el bloqueo de los datos, consistente en la identificación y re-
serva de los mismos con el fin de impedir su tratamiento excepto para su puesta

AL
a disposición de las Administraciones Públicas, Jueces y Tribunales. Transcurrido
el plazo legal de prescripción de las responsabilidades legales derivadas del trata-
miento, deberá procederse a la supresión de los datos.
– En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere,
aportando al efecto la documentación que lo justifique, en su caso.
– El responsable del fichero resolverá sobre la solicitud de cancelación en el plazo
máximo de diez días hábiles a contar desde la recepción de la solicitud.
RI
– Si los datos cancelados hubieran sido cedidos previamente, el responsable del fi-
chero deberá comunicar la cancelación efectuada al cesionario, en idéntico plazo,
para que éste, también en el plazo de diez días contados desde la recepción de
dicha comunicación, proceda, asimismo, a cancelar los datos.
Este derecho ha sido sustituido y ampliado por el derecho de supresión, que veremos más
ITO

adelante dentro de los derechos proclamados por el RGPD.

3.1.3.4. Derecho de oposición


El derecho de oposición es el derecho del afectado a que no se lleve a cabo el trata-
miento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:
a) Cuando no sea necesario su consentimiento para el tratamiento, como conse-
cuencia de la concurrencia de un motivo legítimo y fundado, referido a su con-
creta situación personal, que lo justifique, siempre que una Ley no disponga lo
ED

contrario.
b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades
de publicidad y prospección comercial. En este caso, los interesados tendrán de-
recho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les
conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las
informaciones que sobre ellos figuren en aquél, a su simple solicitud.
448
El procedimiento administrativo. régimen jurídico del sector público 

D
Esta oposición deberá entenderse sin perjuicio del derecho del interesado a revo-
car cuando lo estimase oportuno el consentimiento que hubiera otorgado, en su
caso, para el tratamiento de los datos. A tal efecto, deberá concederse al intere-
sado un medio sencillo y gratuito para oponerse al tratamiento. En particular, se

MA
considerará cumplido lo dispuesto en este precepto cuando los derechos puedan
ejercitarse mediante la llamada a un número telefónico gratuito o la remisión de
un correo electrónico.
c) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al
afectado y basada únicamente en un tratamiento automatizado de sus datos de
carácter personal.

3.1.4. Derecho a indemnización


El artículo 19 de la L.O. 15/1999, dispone que los interesados que, como consecuencia

AL
del incumplimiento de lo dispuesto en dicha Ley por el responsable o el encargado del
tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indem-
nizados.

Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de


acuerdo con la legislación reguladora del régimen de responsabilidad de las Administra-
ciones públicas.
RI
En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos
de la jurisdicción ordinaria.

3.1.5. Tutela de los derechos


ITO

Las actuaciones contrarias a lo dispuesto en la L.O. 15/1999 pueden ser objeto de


reclamación por los interesados ante la Agencia Española de Protección de Datos, en la
forma que reglamentariamente se determine. Esta Agencia tiene la función de velar por
el cumplimiento de la legislación y controlar su aplicación, y para ello dispone de las po-
testades de inspeccionar y sancionar las infracciones que constate.

El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos


de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la
Agencia Española de Protección de Datos o, en su caso, del organismo competente de
cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia
ED

de la denegación.

El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos


será de seis meses.

Contra las resoluciones de la Agencia Española de Protección de Datos procederá re-


curso contencioso-administrativo.
449
 cuerpo general auxiliar de la administración del estado

D
3.2. Los derechos en el RGPD
El RGPD actualiza y refuerza los derechos de los ciudadanos sobre su información
personal, cambia la forma en que las organizaciones gestionan la protección de datos,

MA
debiendo adoptar medidas conscientes, diligentes y proactivas.
El capítulo 3 del RGPD trata de los derechos del interesado. Concretamente se men-
cionan los siguientes:
– Derecho de información.
– Derecho de acceso del interesado.
– Derecho de rectificación.
– Derecho de supresión (derecho al olvido).
– Derecho a la limitación del tratamiento.

– Derecho de oposición.
AL
– Derecho a la portabilidad de los datos.

– Derecho a no ser objeto de decisiones individuales automatizadas.


El derecho a la portabilidad, el derecho a la supresión de la información personal o
el de limitar el tratamiento que se hace de los datos complementan a los tradicionales
derechos ARCO.
RI
Actividad 3
En relación a los datos de carácter personal sometidos a tratamiento,
ITO

¿cuáles son los llamados derechos ARCO?

3.2.1. Derecho de información


El responsable del tratamiento tomará las medidas oportunas para facilitar al intere-
sado toda información indicada en los epígrafes A y B de este apartado, así como cual-
ED

quier comunicación con arreglo a los derechos citados relativa al tratamiento, en forma
concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en
particular cualquier información dirigida específicamente a un niño.
La información será facilitada por escrito o por otros medios, inclusive, si procede,
por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse
verbalmente siempre que se demuestre la identidad del interesado por otros medios.
450
El procedimiento administrativo. régimen jurídico del sector público 

D
El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos, tal
como veremos en los subapartados siguientes que los desarrollan.
En los casos a que se refiere el segundo párrafo del apartado 2.2.4.3., el responsable no
se negará a actuar a petición del interesado con el fin de ejercer sus derechos, salvo que

MA
pueda demostrar que no está en condiciones de identificar al interesado.
El responsable del tratamiento facilitará al interesado información relativa a sus ac-
tuaciones sobre la base de una solicitud con arreglo a los derechos que desarrollaremos
seguidamente, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la
solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en
cuenta la complejidad y el número de solicitudes. El responsable informará al interesado
de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la
solicitud, indicando los motivos de la dilación.
Cuando el interesado presente la solicitud por medios electrónicos, la información se
facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite
que se facilite de otro modo.
AL
Si el responsable del tratamiento no da curso a la solicitud del interesado, le informa-
rá sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las
razones de su no actuación y de la posibilidad de presentar una reclamación ante una
autoridad de control y de ejercitar acciones judiciales.
La información facilitada en virtud de los derechos que tratamos en este apartado
serán a título gratuito.
RI
Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente
debido a su carácter repetitivo, el responsable del tratamiento podrá:
a) Cobrar un canon razonable en función de los costes administrativos afrontados
para facilitar la información o la comunicación o realizar la actuación solicitada.
b) Negarse a actuar respecto de la solicitud.
ITO

El responsable del tratamiento soportará la carga de demostrar el carácter manifiesta-


mente infundado o excesivo de la solicitud.
Cuando el responsable del tratamiento tenga dudas razonables en relación con la
identidad de la persona física que cursa la solicitud a que se refieren los subapartados
3.2.2 a 3.2.7, podrá solicitar que se facilite la información adicional necesaria para confir-
mar la identidad del interesado.
La información que deberá facilitarse a los interesados en virtud de los epígrafes A
y B de este apartado podrá transmitirse en combinación con iconos normalizados que
ED

permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una


adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en
formato electrónico serán legibles mecánicamente.
La Comisión estará facultada para adoptar actos delegados a fin de especificar la in-
formación que se ha de presentar a través de iconos y los procedimientos para propor-
cionar iconos normalizados.
451
 cuerpo general auxiliar de la administración del estado

D
A) Información que deberá facilitarse cuando los datos personales se obtengan del
interesado
Cuando se obtengan de un interesado datos personales relativos a él, el responsable

MA
del tratamiento, en el momento en que estos se obtengan, le facilitará toda la informa-
ción indicada a continuación:
a) La identidad y los datos de contacto del responsable y, en su caso, de su represen-
tante.
b) Los datos de contacto del delegado de protección de datos, en su caso.
c) Los fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento.
d) Cuando el tratamiento se base en el artículo 6, apartado 1, letra f ), los intereses
legítimos del responsable o de un tercero; [el tratamiento es necesario para la satis-

AL
facción de intereses legítimos perseguidos por el responsable del tratamiento o por un
tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos
y libertades fundamentales del interesado que requieran la protección de datos perso-
nales, en particular cuando el interesado sea un niño].
e) Los destinatarios o las categorías de destinatarios de los datos personales, en su
caso.
f ) En su caso, la intención del responsable de transferir datos personales a un tercer
RI
país u organización internacional y la existencia o ausencia de una decisión de
adecuación de la Comisión, o, en el caso de las transferencias indicadas en los ar-
tículos del RGPD 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia
a las garantías adecuadas o apropiadas y a los medios para obtener una copia de
estas o al hecho de que se hayan prestado.
ITO

Además de la citada información, el responsable del tratamiento facilitará al intere-


sado, en el momento en que se obtengan los datos personales, la siguiente información
necesaria para garantizar un tratamiento de datos leal y transparente:
a) El plazo durante el cual se conservarán los datos personales o, cuando no sea po-
sible, los criterios utilizados para determinar este plazo.
b) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los
datos personales relativos al interesado, y su rectificación o supresión, o la limi-
tación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la
portabilidad de los datos.
ED

c) Cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a) (el intere-


sado dio su consentimiento para el tratamiento de sus datos personales para uno o
varios fines específicos), o el artículo 9, apartado 2, letra a), la existencia del derecho
a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud
del tratamiento basado en el consentimiento previo a su retirada.
d) El derecho a presentar una reclamación ante una autoridad de control.
452
El procedimiento administrativo. régimen jurídico del sector público 

D
e) Si la comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a
facilitar los datos personales y está informado de las posibles consecuencias de
que no facilitar tales datos.

MA
f) La existencia de decisiones automatizas, incluida la elaboración de perfiles, y, al
menos en tales casos, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos per-
sonales para un fin que no sea aquel para el que se recogieron, proporcionará al inte-
resado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y
cualquier información adicional pertinente.
Las disposiciones de este epígrafe A) no serán aplicables cuando y en la medida en
que el interesado ya disponga de la información.

AL
RI
ITO

B) Información que deberá facilitarse cuando los datos personales no se hayan


obtenido del interesado
Cuando los datos personales no se hayan obtenido del interesado, el responsable del
tratamiento le facilitará la siguiente información:
a) La identidad y los datos de contacto del responsable y, en su caso, de su represen-
tante.
b) Los datos de contacto del delegado de protección de datos, en su caso.
ED

c) Los fines del tratamiento a que se destinan los datos personales, así como la base
jurídica del tratamiento.
d) Las categorías de datos personales de que se trate.
e) Los destinatarios o las categorías de destinatarios de los datos personales, en su
caso.
453
 cuerpo general auxiliar de la administración del estado

D
f ) En su caso, la intención del responsable de transferir datos personales a un des-
tinatario en un tercer país u organización internacional y la existencia o ausencia
de una decisión de adecuación de la Comisión, o, en el caso de las transferencias
indicadas en los artículos del RGPD 46 o 47 o el artículo 49, apartado 1, párrafo

MA
segundo, referencia a las garantías adecuadas o apropiadas y a los medios para
obtener una copia de ellas o al hecho de que se hayan prestado.
Además de la información anterior, el responsable del tratamiento facilitará al inte-
resado la siguiente información necesaria para garantizar un tratamiento de datos leal y
transparente respecto del interesado:
a) El plazo durante el cual se conservarán los datos personales o, cuando eso no sea
posible, los criterios utilizados para determinar este plazo.
b) Cuando el tratamiento se base en el artículo 6, apartado 1, letra f ), los intereses
legítimos del responsable del tratamiento o de un tercero.
c) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los
AL
datos personales relativos al interesado, y su rectificación o supresión, o la limi-
tación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la
portabilidad de los datos.
d) Cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artí-
culo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en
cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el
consentimiento antes de su retirada.
RI
e) El derecho a presentar una reclamación ante una autoridad de control.
f ) La fuente de la que proceden los datos personales y, en su caso, si proceden de
fuentes de acceso público.
g) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al
menos en tales casos, información significativa sobre la lógica aplicada, así como la
ITO

importancia y las consecuencias previstas de dicho tratamiento para el interesado.


El responsable del tratamiento facilitará la información indicada en los párrafos ante-
riores de este epígrafe B):
a) Dentro de un plazo razonable, una vez obtenidos los datos personales, y a más
tardar dentro de un mes (en lugar de los 3 meses que señalaba la LO 15/1999),
habida cuenta de las circunstancias específicas en las que se traten dichos datos.
b) Si los datos personales han de utilizarse para comunicación con el interesado, a
más tardar en el momento de la primera comunicación a dicho interesado.
ED

c) Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en


que los datos personales sean comunicados por primera vez.
Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos
personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al in-
teresado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier
otra información pertinente indicada en el segundo grupo de este epígrafe.
454
El procedimiento administrativo. régimen jurídico del sector público 

D
Las disposiciones de este epígrafe B) no serán aplicables cuando y en la medida en
que:
a) El interesado ya disponga de la información.

MA
b) La comunicación de dicha información resulte imposible o suponga un esfuer-
zo desproporcionado, en particular para el tratamiento con fines de archivo en
interés público, fines de investigación científica o histórica o fines estadísticos, a
reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1 del
RGPD, o en la medida en que la obligación mencionada en el primer grupo de este
epígrafe pueda imposibilitar u obstaculizar gravemente el logro de los objetivos
de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas
para proteger los derechos, libertades e intereses legítimos del interesado, inclusi-
ve haciendo pública la información.
c) La obtención o la comunicación esté expresamente establecida por el Derecho de la
Unión o de los Estados miembros que se aplique al responsable del tratamiento y que
AL
establezca medidas adecuadas para proteger los intereses legítimos del interesado.
d) Cuando los datos personales deban seguir teniendo carácter confidencial sobre la
base de una obligación de secreto profesional regulada por el Derecho de la Unión
o de los Estados miembros, incluida una obligación de secreto de naturaleza esta-
tutaria.
RI
Recuerda que...
El 25 de mayo de 2018 comienza a aplicarse el Reglamento General de
Protección de Datos.
ITO

3.2.2. Derecho de acceso del interesado


El artículo 15 del RGPD dispone que el interesado tendrá derecho a obtener del res-
ponsable del tratamiento confirmación de si se están tratando o no datos personales
que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente
información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
ED

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán


comunicados los datos personales, en particular destinatarios en terceros u orga-
nizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no
ser posible, los criterios utilizados para determinar este plazo;
455
 cuerpo general auxiliar de la administración del estado

D
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de
datos personales o la limitación del tratamiento de datos personales relativos al
interesado, o a oponerse a dicho tratamiento;
f ) el derecho a presentar una reclamación ante una autoridad de control;

MA
g) cuando los datos personales no se hayan obtenido del interesado, cualquier infor-
mación disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al
menos en tales casos, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Cuando se transfieran datos personales a un tercer país o a una organización interna-
cional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud
del artículo 46 del RGPD relativas a la transferencia.
El responsable del tratamiento facilitará una copia de los datos personales objeto de

AL
tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el inte-
resado un canon razonable basado en los costes administrativos. Cuando el interesado
presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite
de otro modo, la información se facilitará en un formato electrónico de uso común.
El derecho a obtener copia no afectará negativamente a los derechos y libertades de otros.

3.2.3. Derecho de rectificación


RI
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tra-
tamiento la rectificación de los datos personales inexactos que le conciernan.
Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se
completen los datos personales que sean incompletos, inclusive mediante una declara-
ción adicional.
ITO

3.2.4. Derecho de supresión (derecho al olvido)


Este derecho sustituye y amplía el derecho de cancelación de la LO 15/1999.
Conforme al RGPD, el interesado tendrá derecho a obtener sin dilación indebida del
responsable del tratamiento la supresión de los datos personales que le conciernan, el
cual estará obligado a suprimir sin dilación indebida los datos personales cuando concu-
rra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que
fueron recogidos o tratados de otro modo;
ED

b) el interesado retire el consentimiento en que se basa el tratamiento, y este no se


base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos
para el tratamiento, o el interesado se oponga al tratamiento cuando el tratamien-
to de datos personales tenga por objeto la mercadotecnia directa;
456
El procedimiento administrativo. régimen jurídico del sector público 

D
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación
legal establecida en el Derecho de la Unión o de los Estados miembros que se
aplique al responsable del tratamiento;

MA
f ) los datos personales se hayan obtenido en relación con la oferta de servicios de la
sociedad de la información.
Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo
anterior, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la
tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas
medidas técnicas, con miras a informar a los responsables que estén tratando los datos
personales de la solicitud del interesado de supresión de cualquier enlace a esos datos
personales, o cualquier copia o réplica de los mismos.
Los párrafos anteriores no se aplicarán cuando el tratamiento sea necesario:

AL
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos
impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento, o para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública;
RI
d) con fines de archivo en interés público, fines de investigación científica o histórica
o fines estadísticos, en la medida en que el derecho de supresión pudiera hacer im-
posible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones.
ITO

3.2.5. Derecho a la limitación del tratamiento


El interesado tendrá derecho a obtener del responsable del tratamiento la limitación
del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
a) el interesado impugne la exactitud de los datos personales, durante un plazo que
permita al responsable verificar la exactitud de los mismos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos per-
sonales y solicite en su lugar la limitación de su uso;
c) el responsable ya no necesite los datos personales para los fines del tratamiento,
ED

pero el interesado los necesite para la formulación, el ejercicio o la defensa de


reclamaciones;
d) el interesado se haya opuesto al tratamiento en virtud de lo señalado al tratar el
derecho de oposición (concretamente en su primer párrafo), mientras se verifica si
los motivos legítimos del responsable prevalecen sobre los del interesado.
457
 cuerpo general auxiliar de la administración del estado

D
Cuando el tratamiento de datos personales se haya limitado en virtud del derecho a
la limitación del tratamiento, dichos datos solo podrán ser objeto de tratamiento, con ex-
cepción de su conservación, con el consentimiento del interesado o para la formulación,
el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de

MA
otra persona física o jurídica o por razones de interés público importante de la Unión o de
un determinado Estado miembro.
Todo interesado que haya obtenido la limitación del tratamiento con arreglo a lo ex-
puesto sobre este derecho será informado por el responsable antes del levantamiento de
dicha limitación.

3.2.6. Derecho a la portabilidad de los datos


El interesado tendrá derecho a recibir los datos personales que le incumban, que haya
facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y

AL
lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el
responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, aparta-
do 1, letra a) del RGPD [el interesado dio su consentimiento para el tratamiento de sus
datos personales para uno o varios fines específicos], o el artículo 9, apartado 2, letra
a), [el interesado dio su consentimiento explícito para el tratamiento de dichos datos
personales con uno o más de los fines especificados] o en un contrato con arreglo
RI
al artículo 6, apartado 1, letra b) [el tratamiento es necesario para la ejecución de
un contrato en el que el interesado es parte o para la aplicación a petición de este de
medidas precontractuales], y
b) el tratamiento se efectúe por medios automatizados.
Al ejercer su derecho a la portabilidad de los datos de acuerdo con lo anterior, el inte-
resado tendrá derecho a que los datos personales se transmitan directamente de respon-
ITO

sable a responsable cuando sea técnicamente posible.


El ejercicio de este derecho se entenderá sin perjuicio del derecho de supresión. Tal
derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una
misión realizada en interés público o en el ejercicio de poderes públicos conferidos al
responsable del tratamiento.
El derecho a la portabilidad de los datos no afectará negativamente a los derechos y
libertades de otros.
ED

3.2.7. Derecho de oposición


El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacio-
nados con su situación particular, a que datos personales que le conciernan sean objeto
de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f ), [e) el
tratamiento es necesario para el cumplimiento de una misión realizada en interés público o
458
El procedimiento administrativo. régimen jurídico del sector público 

D
en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamien-
to es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses
o los derechos y libertades fundamentales del interesado que requieran la protección de da-

MA
tos personales, en particular cuando el interesado sea un niño] incluida la elaboración de
perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de
tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el trata-
miento que prevalezcan sobre los intereses, los derechos y las libertades del interesado,
o para la formulación, el ejercicio o la defensa de reclamaciones.
Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia direc-
ta, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos
personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté
relacionada con la citada mercadotecnia.
Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa,

AL
los datos personales dejarán de ser tratados para dichos fines.
A más tardar en el momento de la primera comunicación con el interesado, el derecho
de oposición será mencionado explícitamente al interesado y será presentado claramen-
te y al margen de cualquier otra información.
En el contexto de la utilización de servicios de la sociedad de la información, y no
obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho
RI
a oponerse por medios automatizados que apliquen especificaciones técnicas.
Cuando los datos personales se traten con fines de investigación científica o histórica o
fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación
particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea
necesario para el cumplimiento de una misión realizada por razones de interés público.
ITO

3.2.8. Derecho a no ser objeto de decisiones individuales automatizadas


Según el artículo 22 del RGPD, todo interesado tendrá derecho a no ser objeto de una
decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de
perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
Lo anterior no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y
un responsable del tratamiento;
ED

b) está autorizada por el Derecho de la Unión o de los Estados miembros que se


aplique al responsable del tratamiento y que establezca asimismo medidas ade-
cuadas para salvaguardar los derechos y libertades y los intereses legítimos del
interesado, o
c) se basa en el consentimiento explícito del interesado.
459
 cuerpo general auxiliar de la administración del estado

D
En los casos a que se refieren las letras a) y c), el responsable del tratamiento adoptará
las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legíti-
mos del interesado, como mínimo el derecho a obtener intervención humana por parte
del responsable, a expresar su punto de vista y a impugnar la decisión.

MA
Las decisiones a que se refieren las letras a), b) y c) no se basarán en las categorías
especiales de datos personales contempladas en el artículo 9, apartado 1 (origen étnico o
racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical,
y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera uní-
voca a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orien-
tación sexual de una persona física), salvo que se aplique el artículo 9, apartado 2, letra a)
o g), [a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos
personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o
de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no pue-
de ser levantada por el interesado; g) el tratamiento es necesario por razones de un interés
público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe

AL
ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de
datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos
fundamentales del interesado] y se hayan tomado medidas adecuadas para salvaguardar
los derechos y libertades y los intereses legítimos del interesado.

3.2.9. Limitaciones a los derechos


RI
El artículo 23 del RGPD indica que el Derecho de la Unión o de los Estados miembros
que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de
medidas legislativas, el alcance de las obligaciones y de los derechos que hemos tratado,
cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea
una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
ITO

a) la seguridad del Estado;


b) la defensa;
c) la seguridad pública;
d) la prevención, investigación, detección o enjuiciamiento de infracciones penales
o la ejecución de sanciones penales, incluida la protección frente a amenazas a la
seguridad pública y su prevención;
e) otros objetivos importantes de interés público general de la Unión o de un Estado
miembro, en particular un interés económico o financiero importante de la Unión
ED

o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y moneta-


rio, la sanidad pública y la seguridad social;
f ) la protección de la independencia judicial y de los procedimientos judiciales;
g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de
normas deontológicas en las profesiones reguladas;
460
El procedimiento administrativo. régimen jurídico del sector público 

D
h) una función de supervisión, inspección o reglamentación vinculada, incluso oca-
sionalmente, con el ejercicio de la autoridad pública en los casos contemplados en
las letras a) a e) y g);
i) la protección del interesado o de los derechos y libertades de otros;

MA
j) la ejecución de demandas civiles.
En particular, cualquier medida legislativa de las indicadas contendrá como mínimo,
en su caso, disposiciones específicas relativas a:
a) la finalidad del tratamiento o de las categorías de tratamiento;
b) las categorías de datos personales de que se trate;
c) el alcance de las limitaciones establecidas;
d) las garantías para evitar accesos o transferencias ilícitos o abusivos;

AL
e) la determinación del responsable o de categorías de responsables;
f ) los plazos de conservación y las garantías aplicables habida cuenta de la naturale-
za alcance y objetivos del tratamiento o las categorías de tratamiento;
g) los riesgos para los derechos y libertades de los interesados, y
h) el derecho de los interesados a ser informados sobre la limitación, salvo si puede
ser perjudicial a los fines de esta.
RI
3.3. La Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos es un ente de derecho público, con per-
sonalidad jurídica propia y plena capacidad pública y privada, que actúa con plena inde-
pendencia de las Administraciones públicas en el ejercicio de sus funciones.
ITO

3.3.1. Funciones
Las funciones de la Agencia Española de Protección de Datos son las siguientes:
a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar
su aplicación, en especial en lo relativo a los derechos de información, acceso, rec-
tificación, oposición y cancelación de datos.
b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
ED

c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instruc-
ciones precisas para adecuar los tratamientos a los principios de la L.O. 15/1999.
d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.
e) Proporcionar información a las personas acerca de sus derechos en materia de
tratamiento de los datos de carácter personal.
461
 cuerpo general auxiliar de la administración del estado

D
f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de
éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de
datos a las disposiciones de la L.O. 15/1999 y, en su caso, ordenar la cesación de los
tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.

MA
g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la
L.O. 15/1999.
h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que
desarrollen la L.O. 15/1999.
i) Recabar de los responsables de los ficheros cuanta ayuda e información estime
necesaria para el desempeño de sus funciones.
j) Velar por la publicidad de la existencia de los ficheros de datos con carácter perso-
nal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la
información adicional que el Director de la Agencia determine.

AL
k) Redactar una memoria anual y remitirla al Ministerio de Justicia.
l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los
movimientos internacionales de datos, así como desempeñar las funciones de co-
operación internacional en materia de protección de datos personales.
m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística
Pública establece respecto a la recogida de datos estadísticos y al secreto estadís-
tico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones
RI
de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y
ejercer la potestad a la que se refiere el artículo 46 de la L.O. 15/1999, en relación a
las infracciones de las Administraciones públicas.
n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Las resoluciones de la Agencia Española de Protección de Datos se harán públicas,
ITO

una vez hayan sido notificadas a los interesados. La publicación se realizará preferente-
mente a través de medios informáticos o telemáticos.
Reglamentariamente podrán establecerse los términos en que se lleve a cabo la pu-
blicidad de las citadas resoluciones.
Lo establecido en los párrafos anteriores no será aplicable a las resoluciones referen-
tes a la inscripción de un fichero o tratamiento en el Registro General de Protección de
Datos ni a aquéllas por las que se resuelva la inscripción en el mismo de los Códigos tipo.
Las funciones de la Agencia Española de Protección de Datos, a excepción de las men-
cionadas en los apartados j), k) y l), y en los apartados f ) y g) en lo que se refiere a las trans-
ED

ferencias internacionales de datos, así como en los artículos 46 y 49 de la L.O. 15/1999,


en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros
de datos de carácter personal creados o gestionados por las Comunidades Autónomas
y por la Administración Local de su ámbito territorial, por los órganos correspondientes
de cada Comunidad, que tendrán la consideración de autoridades de control, a los que
garantizarán plena independencia y objetividad en el ejercicio de su cometido.
462
El procedimiento administrativo. régimen jurídico del sector público 

D
3.3.2. Órganos
3.3.2.1. El Director

MA
El Director de la Agencia Española de Protección de Datos dirige la Agencia y ostenta
su representación. Será nombrado, de entre quienes componen el Consejo Consultivo,
mediante Real Decreto, por un período de cuatro años.
Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a ins-
trucción alguna en el desempeño de aquéllas. En todo caso, el Director deberá oír al Con-
sejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus funciones.
El Director de la Agencia Española de Protección de Datos sólo cesará antes de la
expiración del período referido anteriormente:
– A petición propia.

AL
– Por separación acordada por el Gobierno, previa instrucción de expediente, en el
que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por:
* Incumplimiento grave de sus obligaciones.
* Incapacidad sobrevenida para el ejercicio de su función.
* Incompatibilidad.
* Condena por delito doloso.
RI
El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo
y quedará en la situación de servicios especiales si con anterioridad estuviera desempe-
ñando una función pública. En el supuesto de que sea nombrado para el cargo algún
miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de
servicios especiales.
ITO

3.3.2.2. El Consejo Consultivo


El Consejo Consultivo es un órgano colegiado de asesoramiento del Director de la
Agencia de Protección de Datos.
El Consejo Consultivo compuesto por los siguientes miembros:
– Un Diputado, propuesto por el Congreso de los Diputados.
– Un Senador, propuesto por el Senado.
ED

– Un representante de la Administración Central, designado por el Gobierno.


– Un representante de la Administración Local, propuesto por la Federación Españo-
la de Municipios y Provincias.
– Un miembro de la Real Academia de la Historia, propuesto por la misma.
– Un experto en la materia, propuesto por el Consejo de Universidades.
463
 cuerpo general auxiliar de la administración del estado

D
– Un representante de los usuarios y consumidores, seleccionado del modo que se
prevea reglamentariamente.
– Un representante de cada Comunidad Autónoma que haya creado una agencia de
protección de datos en su ámbito territorial, propuesto de acuerdo con el procedi-

MA
miento que establezca la respectiva Comunidad Autónoma.
– Un representante del sector de ficheros privados, para cuya propuesta se seguirá
el procedimiento que se regule reglamentariamente.
El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias
que al efecto se establezcan.

3.3.2.3. El Registro General de Protección de Datos


El Registro General de Protección de Datos es el órgano de la Agencia Española de
Protección de Datos al que corresponde velar por la publicidad de la existencia de los

AL
ficheros automatizados de datos de carácter personal, con miras a hacer posible el ejerci-
cio de los derechos de información, acceso, rectificación y cancelación de datos.
El Registro General de Protección de Datos es un órgano integrado en la Agencia Es-
pañola de Protección de Datos.
Serán objeto de inscripción en el Registro General de Protección de Datos:
a) Los ficheros de que sean titulares las Administraciones públicas.
b) Los ficheros de titularidad privada.
RI
c) Las autorizaciones a que se refiere la L.O. 15/1999.
d) Los códigos tipo a que se refiere el artículo 32 de la L.O. 15/1999.
e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los dere-
chos de información, acceso, rectificación, cancelación y oposición.
ITO

Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tan-


to de titularidad pública como de titularidad privada, en el Registro General de Protec-
ción de Datos, el contenido de la inscripción, su modificación, cancelación, reclamacio-
nes y recursos contra las resoluciones correspondientes y demás extremos pertinentes.

3.3.3. Potestad de inspección


Para la realización de sus funciones la L.O. 15/1999 otorga a la Agencia Española de
Protección de Datos de la potestad de inspección.
Esta potestad consiste en que las autoridades de control podrán inspeccionar los fi-
ED

cheros a que hace referencia la L.O. 15/1999, recabando cuantas informaciones precisen
para el cumplimiento de sus cometidos.
A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y exami-
narlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos
físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales don-
de se hallen instalados.
464
El procedimiento administrativo. régimen jurídico del sector público 

D
Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior ten-
drán la consideración de autoridad pública en el desempeño de sus cometidos.
Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejer-
cicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

MA
Sabías que...
En 2016 se produjeron casi 8.100 escritos de denuncia y unos 2.500
escritos de reclamación de tutela a la Agencia de Protección de Datos.

3.4. Infracciones y sanciones

al siguiente régimen sancionador:

3.4.1. Tipos de faltas


AL
Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos

Las infracciones se calificarán como leves, graves o muy graves.


RI
A) Son infracciones leves:
a) No remitir a la Agencia Española de Protección de Datos las notificaciones pre-
vistas en la L.O. 15/1999 o en sus disposiciones de desarrollo.
b) No solicitar la inscripción del fichero de datos de carácter personal en el Regis-
tro General de Protección de Datos.
ITO

c) El incumplimiento del deber de información al afectado acerca del tratamiento


de sus datos de carácter personal cuando los datos sean recabados del propio
interesado.
d) La transmisión de los datos a un encargado del tratamiento sin dar cumpli-
miento a los deberes formales establecidos en la Ley.
B) Son infracciones graves:
a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida
de datos de carácter personal para los mismos, sin autorización de disposición
ED

general, publicada en el “Boletín Oficial del Estado” o diario oficial correspon-


diente.
b) Tratar datos de carácter personal sin recabar el consentimiento de las perso-
nas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en la
L.O.15/1999 y sus disposiciones de desarrollo.
465
 cuerpo general auxiliar de la administración del estado

D
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación
de los principios y garantías establecidos en la L.O 15/1999 y las disposiciones
que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
d) La vulneración del deber de guardar secreto acerca del tratamiento de los da-

MA
tos de carácter personal.
e) El impedimento o la obstaculización del ejercicio de los derechos de acceso,
rectificación, cancelación y oposición.
f ) El incumplimiento del deber de información al afectado acerca del tratamiento
de sus datos de carácter personal cuando los datos no hayan sido recabados
del propio interesado.
g) El incumplimiento de los restantes deberes de notificación o requerimiento al
afectado impuestos por la L.O. 15/1999 y sus disposiciones de desarrollo.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de

AL
carácter personal sin las debidas condiciones de seguridad que por vía regla-
mentaria se determinen.
i) No atender los requerimientos o apercibimientos de la Agencia Española de
Protección de Datos o no proporcionar a aquélla cuantos documentos e infor-
maciones sean solicitados por la misma.
j) La obstrucción al ejercicio de la función inspectora.
RI
k) La comunicación o cesión de los datos de carácter personal sin contar con le-
gitimación para ello en los términos previstos en la L.O.15/1999 y sus dispo-
siciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de
infracción muy grave.
C) Son infracciones muy graves:
ITO

a) La recogida de datos en forma engañosa o fraudulenta.


b) Tratar o ceder los datos de carácter personal siguientes:
– Ideología.
– Afiliación sindical.
– Religión o creencias.
– Origen racial.
– Salud.
ED

– Vida sexual.
– Comisión de infracciones penales o administrativas.
Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y
otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, reli-
466
El procedimiento administrativo. régimen jurídico del sector público 

D
giosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin
perjuicio de que la cesión de dichos datos precisará siempre el previo consen-
timiento del afectado.
O, violentar la prohibición de creación de ficheros con la finalidad exclusiva de

MA
almacenar datos de carácter personal que revelen la ideología, afiliación sindi-
cal, religión, creencias, origen racial o étnico, o vida sexual.
c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existie-
se un previo requerimiento del Director de la Agencia Española de Protección
de Datos para ello.
d) La transferencia internacional de datos de carácter personal con destino a paí-
ses que no proporcionen un nivel de protección equiparable sin autorización
del Director de la Agencia Española de Protección de Datos salvo en los su-
puestos en los que conforme a la L.O. 15/1999 y sus disposiciones de desarrollo
dicha autorización no resulta necesaria.

AL
RI
ITO

3.4.2. Sanciones
Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
ED

b) El volumen de los tratamientos efectuados.


c) La vinculación de la actividad del infractor con la realización de tratamientos de
datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
467
 cuerpo general auxiliar de la administración del estado

D
f ) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras

MA
personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción
la entidad imputada tenía implantados procedimientos adecuados de actuación
en la recogida y tratamiento de los datos de carácter personal, siendo la infracción
consecuencia de una anomalía en el funcionamiento de dichos procedimientos
no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antiju-
ridicidad y de culpabilidad presentes en la concreta actuación infractora.
El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa
a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se

AL
integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o
de la antijuridicidad del hecho como consecuencia de la concurrencia significativa
de varios de los criterios enunciados.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma dili-
gente.
RI
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la co-
misión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fue-
se anterior a dicho proceso, no siendo imputable a la entidad absorbente.
ITO

Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados


y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios cita-
dos, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al su-
jeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite
la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre
que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dis-
puesto en la L.O. 15/1999.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
ED

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera


determinado procederá la apertura del correspondiente procedimiento sancionador por
dicho incumplimiento.
En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la
clase de infracción en la que se integre la que se pretenda sancionar.
468
El procedimiento administrativo. régimen jurídico del sector público 

D
El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las
variaciones que experimenten los índices de precios.

3.4.3. Infracciones de las Administraciones Públicas

MA
Cuando las infracciones fuesen cometidas en ficheros de titularidad pública o en relación
con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano
sancionador dictará una resolución estableciendo las medidas que procede adoptar para
que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsa-
ble del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.
El órgano sancionador podrá proponer también la iniciación de actuaciones discipli-
narias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en
la legislación sobre régimen disciplinario de las Administraciones Públicas.
Se deberán comunicar al órgano sancionador las resoluciones que recaigan en rela-

AL
ción con las medidas y actuaciones a que se refieren los párrafos anteriores.
El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efec-
túe y las resoluciones que dicte al amparo de los párrafos anteriores.

Actividad 4
RI
Indica si son Verdaderas o Falsas cada una de las siguientes afirma-
ciones sobre la Agencia Española de Protección de Datos:
• Es un ente de derecho público.
Verdadera Falsa
ITO

• Tiene capacidad pública, únicamente.


Verdadera Falsa
• Actúa con plena independencia de las Administraciones Públicas en
el ejercicio de sus funciones.
Verdadera Falsa

3.4.4. Prescripción
ED

Las infracciones prescribirán en los siguientes plazos:


– Las muy graves prescribirán a los tres años,
– Las graves a los dos años, y
– Las leves al año.
469
 cuerpo general auxiliar de la administración del estado

D
El plazo de prescripción comenzará a contarse desde el día en que la infracción se
hubiera cometido.
Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedi-
miento sancionador, reanudándose el plazo de prescripción si el expediente sancionador es-

MA
tuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.
Las sanciones prescribirán en los siguientes plazos:
– Las impuestas por faltas muy graves prescribirán a los tres años,
– Las impuestas por faltas graves a los dos años, y
– Las impuestas por faltas leves al año.
El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente
a aquel en que adquiera firmeza la resolución por la que se impone la sanción.
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del

AL
procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado
durante más de seis meses por causa no imputable al infractor.

3.4.5. Procedimiento sancionador


El procedimiento a seguir para la determinación de las infracciones y la imposición de
las sanciones se establecerá por vía reglamentaria.
RI
Las resoluciones de la Agencia de Protección de Datos u órgano correspondiente de
la Comunidad Autónoma agotan la vía administrativa.
Los procedimientos sancionadores tramitados por la Agencia Española de Protección
de Datos, en ejercicio de las potestades que a la misma atribuyan la L.O. 15/1999 u otras
Leyes, salvo los referidos a infracciones de la Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones, tendrán una duración máxima de seis meses.
ITO

Actividad 5
Señala Verdadero o Falso, si las infracciones, en materia de protección
de datos de carácter personal, serán sancionadas con la multa indicada:
• Leves: de 900 a 40.000 euros.
Verdadera Falsa
• Graves: de 30.001 a 300.000 euros.
ED

Verdadera Falsa
• Muy graves: de 300.001 a 600.000 euros.
Verdadera Falsa

470
El procedimiento administrativo. régimen jurídico del sector público 

D
3.4.6. Inmovilización de ficheros
En los supuestos constitutivos de infracción grave o muy grave en que la persistencia
en el tratamiento de los datos de carácter personal o su comunicación o transferencia in-

MA
ternacional posterior pudiera suponer un grave menoscabo de los derechos fundamen-
tales de los afectados y en particular de su derecho a la protección de datos de carácter
personal, el órgano sancionador podrá, además de ejercer la potestad sancionadora, re-
querir a los responsables de ficheros de datos de carácter personal, tanto de titularidad
pública como privada, la cesación en la utilización o cesión ilícita de los datos.
Si el requerimiento fuera desatendido, el órgano sancionador podrá, mediante reso-
lución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de
las personas afectadas.

AL
RI

4. El Responsable y el Encargado. Obligaciones


ITO

4.1. Responsabilidad del responsable del tratamiento


Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así
como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las
personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas
apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el
RGPD. Dichas medidas se revisarán y actualizarán cuando sea necesario.
Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las
ED

medidas mencionadas se incluirá la aplicación, por parte del responsable del tratamien-
to, de las oportunas políticas de protección de datos.
La adhesión a códigos de conducta o a un mecanismo de certificación podrá ser uti-
lizada como elemento para demostrar el cumplimiento de las obligaciones por parte del
responsable del tratamiento.
471
 cuerpo general auxiliar de la administración del estado

D
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza,
ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad
y gravedad que entraña el tratamiento para los derechos y libertades de las personas
físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los

MA
medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y
organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma
efectiva los principios de protección de datos, como la minimización de datos, e inte-
grar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del RGPD y
proteger los derechos de los interesados.
El responsable del tratamiento aplicará las medidas técnicas y organizativas apropia-
das con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos
personales que sean necesarios para cada uno de los fines específicos del tratamiento.
Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de
su tratamiento, a su plazo de conservación y a su accesibilidad.

AL
Tales medidas garantizarán en particular que, por defecto, los datos personales no sean
accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

4.2. Corresponsables del tratamiento


Cuando dos o más responsables determinen conjuntamente los objetivos y los me-
dios del tratamiento serán considerados corresponsables del tratamiento.
RI
Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus res-
ponsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el RGPD,
en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obli-
gaciones de suministro de información, salvo, y en la medida en que, sus responsabilida-
des respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les
aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.
ITO

4.3. Encargado del tratamiento


El artículo 28 del RGPD se refiere al Encargado del tratamiento en los siguientes tér-
minos:
1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del trata-
miento, este elegirá únicamente un encargado que ofrezca garantías suficientes
para aplicar medidas técnicas y organizativas apropiados, de manera que el tra-
tamiento sea conforme con los requisitos del presente Reglamento y garantice la
ED

protección de los derechos del interesado.


2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización pre-
via por escrito, específica o general, del responsable. En este último caso, el encar-
gado informará al responsable de cualquier cambio previsto en la incorporación
o sustitución de otros encargados, dando así al responsable la oportunidad de
oponerse a dichos cambios.
472
El procedimiento administrativo. régimen jurídico del sector público 

D
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con
arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encarga-
do respecto del responsable y establezca el objeto, la duración, la naturaleza y la
finalidad del tratamiento, el tipo de datos personales y categorías de interesados,

MA
y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico esti-
pulará, en particular, que el encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documenta-
das del responsable, inclusive con respecto a las transferencias de datos perso-
nales a un tercer país o una organización internacional, salvo que esté obligado
a ello en virtud del Derecho de la Unión o de los Estados miembros que se
aplique al encargado; en tal caso, el encargado informará al responsable de
esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por
razones importantes de interés público.
b) Garantizará que las personas autorizadas para tratar datos personales se hayan

AL
comprometido a respetar la confidencialidad o estén sujetas a una obligación
de confidencialidad de naturaleza estatutaria.
c) Tomará todas las medidas necesarias de conformidad con el artículo 32.
d) Respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro
encargado del tratamiento.
e) Asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través
RI
de medidas técnicas y organizativas apropiadas, siempre que sea posible, para
que este pueda cumplir con su obligación de responder a las solicitudes que
tengan por objeto el ejercicio de los derechos de los interesados establecidos
en el capítulo III.
f ) Ayudará al responsable a garantizar el cumplimiento de las obligaciones es-
tablecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del trata-
ITO

miento y la información a disposición del encargado.


g) A elección del responsable, suprimirá o devolverá todos los datos personales
una vez finalice la prestación de los servicios de tratamiento, y suprimirá las
copias existentes a menos que se requiera la conservación de los datos perso-
nales en virtud del Derecho de la Unión o de los Estados miembros.
h) Pondrá a disposición del responsable toda la información necesaria para de-
mostrar el cumplimiento de las obligaciones establecidas en el presente artí-
culo, así como para permitir y contribuir a la realización de auditorías, incluidas
inspecciones, por parte del responsable o de otro auditor autorizado por dicho
ED

responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado infor-
mará inmediatamente al responsable si, en su opinión, una instrucción infringe el
presente Reglamento u otras disposiciones en materia de protección de datos de
la Unión o de los Estados miembros.
473
 cuerpo general auxiliar de la administración del estado

D
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo
determinadas actividades de tratamiento por cuenta del responsable, se impondrán
a este otro encargado, mediante contrato u otro acto jurídico establecido con arre-
glo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de

MA
protección de datos que las estipuladas en el contrato u otro acto jurídico entre el
responsable y el encargado a que se refiere el apartado 3, en particular la prestación
de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas
de manera que el tratamiento sea conforme con las disposiciones del presente Regla-
mento. Si ese otro encargado incumple sus obligaciones de protección de datos, el
encargado inicial seguirá siendo plenamente responsable ante el responsable del tra-
tamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
5. La adhesión del encargado del tratamiento a un código de conducta aprobado
a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del
artículo 42 podrá utilizarse como elemento para demostrar la existencia de las ga-
rantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
AL
6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un
contrato individual, el contrato u otro acto jurídico a que se refieren los apartados
3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas
contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclu-
sive cuando formen parte de una certificación concedida al responsable o encar-
gado de conformidad con los artículos 42 y 43.
RI
7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refie-
ren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de
examen a que se refiere el artículo 93, apartado 2.
8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los
asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con
el mecanismo de coherencia a que se refiere el artículo 63.
ITO

9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por
escrito, inclusive en formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamien-
to infringe el presente Reglamento al determinar los fines y medios del tratamiento,
será considerado responsable del tratamiento con respecto a dicho tratamiento.

4.4. Tratamiento bajo la autoridad del responsable o del


encargado del tratamiento
ED

El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del res-
ponsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos
datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en
virtud del Derecho de la Unión o de los Estados miembros.
474
El procedimiento administrativo. régimen jurídico del sector público 

D
4.5. Registro de las actividades de tratamiento
El artículo 30 del RGPD obliga a cada responsable y, en su caso, su representante a
llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.

MA
Dicho registro deberá contener toda la información indicada a continuación:
a) El nombre y los datos de contacto del responsable y, en su caso, del corresponsa-
ble, del representante del responsable, y del delegado de protección de datos.
b) Los fines del tratamiento.
c) Una descripción de las categorías de interesados y de las categorías de datos per-
sonales.
d) Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
personales, incluidos los destinatarios en terceros países u organizaciones interna-
cionales.

AL
e) En su caso, las transferencias de datos personales a un tercer país o una organiza-
ción internacional, incluida la identificación de dicho tercer país u organización in-
ternacional y, en el caso de las transferencias indicadas en el artículo 49, apartado
1, párrafo segundo, la documentación de garantías adecuadas.
f ) Cuando sea posible, los plazos previstos para la supresión de las diferentes catego-
rías de datos.
RI
g) Cuando sea posible, una descripción general de las medidas técnicas y organizati-
vas de seguridad a que se refiere el artículo 32, apartado 1 del RGPD.
Cada encargado y, en su caso, el representante del encargado, llevará un registro de
todas las categorías de actividades de tratamiento efectuadas por cuenta de un respon-
sable que contenga:
ITO

a) El nombre y los datos de contacto del encargado o encargados y de cada respon-


sable por cuenta del cual actúe el encargado, y, en su caso, del representante del
responsable o del encargado, y del delegado de protección de datos.
b) Las categorías de tratamientos efectuados por cuenta de cada responsable.
c) En su caso, las transferencias de datos personales a un tercer país u organización
internacional, incluida la identificación de dicho tercer país u organización inter-
nacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1,
párrafo segundo, la documentación de garantías adecuadas.
d) Cuando sea posible, una descripción general de las medidas técnicas y organizati-
ED

vas de seguridad a que se refiere el artículo 30, apartado 1.


Los registros constarán por escrito, inclusive en formato electrónico.
El responsable o el encargado del tratamiento y, en su caso, el representante del res-
ponsable o del encargado pondrán el registro a disposición de la autoridad de control
que lo solicite.
475
 cuerpo general auxiliar de la administración del estado

D
Las obligaciones indicadas en los párrafos anteriores no se aplicarán a ninguna em-
presa ni organización que emplee a menos de 250 personas, a menos que el tratamiento
que realice pueda entrañar un riesgo para los derechos y libertades de los interesados,
no sea ocasional, o incluya categorías especiales de datos personales o datos personales

MA
relativos a condenas e infracciones penales.

4.6. Seguridad del tratamiento


El artículo 32 del RGPD señala que teniendo en cuenta el estado de la técnica, los
costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento,
así como riesgos de probabilidad y gravedad variables para los derechos y libertades
de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas
técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo, que en su caso incluya, entre otros:

AL
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resi-
liencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las
RI
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta
los riesgos que presente el tratamiento de datos, en particular como consecuencia de la
destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no autorizados a di-
ITO

chos datos.
La adhesión a un código de conducta o a un mecanismo de certificación podrá servir
de elemento para demostrar el cumplimiento de los requisitos antes señalados.
El responsable y el encargado del tratamiento tomarán medidas para garantizar que
cualquier persona que actúe bajo la autoridad del responsable o del encargado y ten-
ga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del
responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los
Estados miembros.

A) Notificación de una violación de la seguridad de los datos personales a la autoridad


ED

de control
En caso de violación de la seguridad de los datos personales, el responsable del trata-
miento la notificará a la autoridad de control competente sin dilación indebida y, de ser po-
sible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea
476
El procedimiento administrativo. régimen jurídico del sector público 

D
improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las
libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar
en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
El encargado del tratamiento notificará sin dilación indebida al responsable del tratamien-

MA
to las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
La notificación deberá, como mínimo:
a) describir la naturaleza de la violación de la seguridad de los datos personales, in-
clusive, cuando sea posible, las categorías y el número aproximado de interesados
afectados, y las categorías y el número aproximado de registros de datos persona-
les afectados;
b) comunicar el nombre y los datos de contacto del delegado de protección de datos
o de otro punto de contacto en el que pueda obtenerse más información;
c) describir las posibles consecuencias de la violación de la seguridad de los datos
personales;
AL
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento
para poner remedio a la violación de la seguridad de los datos personales, incluyen-
do, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no fuera posible facilitar la información simultáneamente, y en la medida en que no
lo sea, la información se facilitará de manera gradual sin dilación indebida.
RI
El responsable del tratamiento documentará cualquier violación de la seguridad de
los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas
correctivas adoptadas.

B) Comunicación de una violación de la seguridad de los datos personales al


ITO

interesado
Cuando sea probable que la violación de la seguridad de los datos personales entrañe
un alto riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento la comunicará al interesado sin dilación indebida.
La comunicación al interesado describirá en un lenguaje claro y sencillo la naturaleza
de la violación de la seguridad de los datos personales y contendrá como mínimo la infor-
mación y las medidas a que se refieren las letras b), c) y d) del epígrafe A).
La comunicación al interesado no será necesaria si se cumple alguna de las condicio-
nes siguientes:
ED

a) el responsable del tratamiento ha adoptado medidas de protección técnicas y


organizativas apropiadas y estas medidas se han aplicado a los datos personales
afectados por la violación de la seguridad de los datos personales, en particular
aquellas que hagan ininteligibles los datos personales para cualquier persona que
no esté autorizada a acceder a ellos, como el cifrado;
477
 cuerpo general auxiliar de la administración del estado

D
b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que
ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y
libertades del interesado;
c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por

MA
una comunicación pública o una medida semejante por la que se informe de ma-
nera igualmente efectiva a los interesados.
Cuando el responsable todavía no haya comunicado al interesado la violación de la
seguridad de los datos personales, la autoridad de control, una vez considerada la pro-
babilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá
decidir que se cumple alguna de las condiciones mencionadas.

4.7. Evaluación de impacto relativa a la protección de datos

AL
El artículo 35 del RGPD dispone que cuando sea probable que un tipo de tratamiento,
en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, en-
trañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operacio-
nes de tratamiento en la protección de datos personales. Una única evaluación podrá abor-
dar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
El responsable del tratamiento recabará el asesoramiento del delegado de protección de
datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
RI
La evaluación de impacto relativa a la protección de los datos se requerirá en particu-
lar en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas
que se base en un tratamiento automatizado, como la elaboración de perfiles, y
sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las per-
ITO

sonas físicas o que les afecten significativamente de modo similar;


b) tratamiento a gran escala de las categorías especiales de datos (datos personales
que revelen el origen étnico o racial, las opiniones políticas, las convicciones religio-
sas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos
biométricos dirigidos a identificar de manera unívoca a una persona física, datos
relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una
persona física) o de los datos personales relativos a condenas e infracciones penales;
c) observación sistemática a gran escala de una zona de acceso público.
La autoridad de control establecerá y publicará una lista de los tipos de operaciones
ED

de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.


La autoridad de control comunicará esas listas al Comité Europeo de Protección de Datos.
La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de
tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.
La autoridad de control comunicará esas listas al citado Comité.
478
El procedimiento administrativo. régimen jurídico del sector público 

D
Antes de adoptar las listas citadas en los párrafos anteriores, la autoridad de control
competente aplicará el mecanismo de coherencia contemplado en el artículo 63 del
RGPD si esas listas incluyen actividades de tratamiento que guarden relación con la ofer-
ta de bienes o servicios a interesados o con la observación del comportamiento de estos

MA
en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancial-
mente a la libre circulación de datos personales en la Unión.
La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los
fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido
por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de trata-
miento con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los interesados;

AL
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de
seguridad y mecanismos que garanticen la protección de datos personales, y a
demostrar la conformidad con el presente Reglamento, teniendo en cuenta los
derechos e intereses legítimos de los interesados y de otras personas afectadas.
El cumplimiento de los códigos de conducta aprobados a que nos referiremos más
adelante por los responsables o encargados correspondientes se tendrá debidamente
RI
en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por
dichos responsables o encargados, en particular a efectos de la evaluación de impacto
relativa a la protección de datos.
Cuando proceda, el responsable recabará la opinión de los interesados o de sus re-
presentantes en relación con el tratamiento previsto, sin perjuicio de la protección de
intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
ITO

En caso necesario, el responsable examinará si el tratamiento es conforme con la eva-


luación de impacto relativa a la protección de datos, al menos cuando exista un cambio
del riesgo que representen las operaciones de tratamiento.

4.8. Consulta previa


El responsable consultará a la autoridad de control antes de proceder al tratamiento
cuando una evaluación de impacto relativa a la protección de los datos muestre que el
ED

tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.


Cuando la autoridad de control considere que el tratamiento previsto podría infringir
el RGPD, en particular cuando el responsable no haya identificado o mitigado suficiente-
mente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la
solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y
podrá utilizar cualquiera de sus poderes mencionados en el artículo 58.
479
 cuerpo general auxiliar de la administración del estado

D
Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tra-
tamiento previsto. La autoridad de control informará al responsable y, en su caso, al en-
cargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de
consulta, indicando los motivos de la dilación.

MA
Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la
información solicitada a los fines de la consulta.
Cuando consulte a la autoridad de control, el responsable del tratamiento le facilitará
la información siguiente:
a) en su caso, las responsabilidades respectivas del responsable, los corresponsables
y los encargados implicados en el tratamiento, en particular en caso de tratamien-
to dentro de un grupo empresarial;
b) los fines y medios del tratamiento previsto;
c) las medidas y garantías establecidas para proteger los derechos y libertades de los

AL
interesados de conformidad con el presente Reglamento;
d) en su caso, los datos de contacto del delegado de protección de datos;
e) la evaluación de impacto relativa a la protección de datos;
f ) cualquier otra información que solicite la autoridad de control.
Los Estados miembros garantizarán que se consulte a la autoridad de control durante
la elaboración de toda propuesta de medida legislativa que haya de adoptar un Parla-
RI
mento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que
se refiera al tratamiento.
El Derecho de los Estados miembros podrá obligar a los responsables del tratamiento
a consultar a la autoridad de control y a recabar su autorización previa en relación con el
tratamiento por un responsable en el ejercicio de una misión realizada en interés público,
ITO

en particular el tratamiento en relación con la protección social y la salud pública.

4.9. El Delegado de protección de datos


El responsable y el encargado del tratamiento designarán un delegado de protección
de datos siempre que se dé alguna de las siguientes circunstancias:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tri-
bunales que actúen en ejercicio de su función judicial;
ED

b) las actividades principales del responsable o del encargado consistan en opera-


ciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran
una observación habitual y sistemática de interesados a gran escala;
c) las actividades principales del responsable o del encargado consistan en el tra-
tamiento a gran escala de categorías especiales de datos personales y de datos
relativos a condenas e infracciones penales.
480
El procedimiento administrativo. régimen jurídico del sector público 

D
Un grupo empresarial podrá nombrar un único delegado de protección de datos
siempre que sea fácilmente accesible desde cada establecimiento.
Cuando el responsable o el encargado del tratamiento sea una autoridad u organis-
mo público, se podrá designar un único delegado de protección de datos para varias de

MA
estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
En casos distintos de los contemplados en las letras a), b) o c) anteriores, el responsa-
ble o el encargado del tratamiento o las asociaciones y otros organismos que representen
a categorías de responsables o encargados podrán designar un delegado de protección
de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados
miembros. El delegado de protección de datos podrá actuar por cuenta de estas asocia-
ciones y otros organismos que representen a responsables o encargados.
El delegado de protección de datos será designado atendiendo a sus cualidades pro-
fesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica
en materia de protección de datos y a su capacidad para desempeñar las funciones que
le corresponden.
AL
El delegado de protección de datos podrá formar parte de la plantilla del responsable
o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato
de servicios.
El responsable o el encargado del tratamiento publicarán los datos de contacto del
delegado de protección de datos y los comunicarán a la autoridad de control.
RI
El responsable y el encargado del tratamiento garantizarán que el delegado de pro-
tección de datos no reciba ninguna instrucción en lo que respecta al desempeño de di-
chas funciones. No será destituido ni sancionado por el responsable o el encargado por
desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directa-
mente al más alto nivel jerárquico del responsable o encargado.
Los interesados podrán ponerse en contacto con el delegado de protección de datos
ITO

por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales
y al ejercicio de sus derechos al amparo del RGPD.
El delegado de protección de datos estará obligado a mantener el secreto o la confi-
dencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el
Derecho de la Unión o de los Estados miembros.
El delegado de protección de datos podrá desempeñar otras funciones y cometidos.
El responsable o encargado del tratamiento garantizará que dichas funciones y cometi-
dos no den lugar a conflicto de intereses.
ED

Según el artículo 39 del RGPD, el delegado de protección de datos tendrá como míni-
mo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los emplea-
dos que se ocupen del tratamiento de las obligaciones que les incumben en virtud
del RGPD y de otras disposiciones de protección de datos de la Unión o de los
Estados miembros;
481
 cuerpo general auxiliar de la administración del estado

D
b) supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de pro-
tección de datos de la Unión o de los Estados miembros y de las políticas del respon-
sable o del encargado del tratamiento en materia de protección de datos personales,
incluida la asignación de responsabilidades, la concienciación y formación del perso-

MA
nal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto rela-
tiva a la protección de datos y supervisar su aplicación;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones rela-
tivas al tratamiento, incluida la consulta previa, y realizar consultas, en su caso,
sobre cualquier otro asunto.
El delegado de protección de datos desempeñará sus funciones prestando la debida
atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la

AL
naturaleza, el alcance, el contexto y fines del tratamiento.

4.10. Códigos de conducta


Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán
la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del
RGPD, teniendo en cuenta las características específicas de los distintos sectores de tratamien-
RI
to y las necesidades específicas de las microempresas y las pequeñas y medianas empresas.
Las asociaciones y otros organismos representativos de categorías de responsables o
encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar
dichos códigos con objeto de especificar la aplicación del RGPD, como en lo que respecta a:
a) el tratamiento leal y transparente;
ITO

b) los intereses legítimos perseguidos por los responsables del tratamiento en con-
textos específicos;
c) la recogida de datos personales;
d) la seudonimización de datos personales;
e) la información proporcionada al público y a los interesados;
f ) el ejercicio de los derechos de los interesados;
g) la información proporcionada a los niños y la protección de estos, así como la ma-
ED

nera de obtener el consentimiento de los titulares de la patria potestad o tutela


sobre el niño;
h) las medidas y procedimientos a que se refieren los artículos 24 (para demostrar el
cumplimiento de las obligaciones del responsable del tratamiento) y 25 (demostrar
la utilización de tratamiento, medidas técnicas y organizativas apropiadas) y las me-
didas para garantizar la seguridad del tratamiento a que se refiere el artículo 32;
482
El procedimiento administrativo. régimen jurídico del sector público 

D
i) la notificación de violaciones de la seguridad de los datos personales a las autori-
dades de control y la comunicación de dichas violaciones a los interesados;
j) la transferencia de datos personales a terceros países u organizaciones internacio-
nales, o

MA
k) los procedimientos extrajudiciales y otros procedimientos de resolución de con-
flictos que permitan resolver las controversias entre los responsables del trata-
miento y los interesados relativas al tratamiento, sin perjuicio de los derechos de
los interesados.

4.11. Certificación
El Reglamento concede una atención especial a la implantación de esquemas de cer-
tificación y abre diversas posibilidades para su gestión.

AL
Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos,
tanto individual como colectivamente desde el Comité Europeo, o por entidades debida-
mente acreditadas. Al mismo tiempo, en el caso de optarse por esta última alternativa, la
acreditación pueden llevarla a cabo las propias Autoridades o encargarlo a las entidades
de acreditación previstas en la normativa europea sobre normalización y certificación.
En todo caso, en la elaboración de los criterios tanto para acreditar entidades como
para certificar a las organizaciones tienen diferentes grados de participación las autorida-
RI
des de supervisión y el Comité Europeo.
ITO
ED

483
D
Solución a las actividades

MA
Actividad 1.

• Los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco.

Actividad 2.

• Falsa.
• Verdadera.

Actividad 3.
AL
Acceso, rectificación, cancelación y oposición.

Actividad 4.

• Verdadera.
• Falsa.
RI
• Verdadera.

Actividad 5.

• Verdadera.
ITO

• Falsa.
• Verdadera.
ED

484