1.

INTRODUCCIÓN:
La idea con la que se publica este Reglamento es la de armonizar las distintas
normativas de cada estado miembro de la UE, en esta materia, ante la disparidad de
sistemas existentes, no sólo en el tratamiento de datos realizados por el parte de los
poderes públicos, sino también por la insistente demanda del sector privado, sometido
incesantemente a multitud de inspecciones y sanciones por parte de las autoridades de
control de los distintos países cada uno con un sistema normativo distinto, lo que le
ocasionaba una gran inseguridad jurídica.
De ahí que este Reglamento sea de aplicación directa para todos los estados
miembros sin perjuicio que el propio texto permita que por parte de los Estados
Miembros se complementen alguna de sus disposiciones a través de su propia
normativa, pero sin que puedan contravenir, en ningún caso, las disposiciones del
mismo.
¿Pero qué debemos entender por Dato de Carácter Personal?
De acuerdo con lo que establece el artículo 4.1, es toda información sobre una
persona física identificada o identificable <<El Interesado>>. Es, decir, que su identidad
pueda determinarse, directa o indirectamente, en particular mediante un identificador
(nombre, número de identificación, datos de localización, identificación en línea o uno o
varios elementos de la identidad física, fisiológica, genética, psíquica, económica,
cultural o social de dicha persona).
¿Todos los datos personales requieren el mismo tratamiento?
La respuesta es NO.
Así, tendríamos por un lado los datos meramente identificativos para los que el
interesado prestó su consentimiento de acuerdo con el artículo 6.1a) y por otro lado los
datos especialmente sensibles que vienen especificados en el artículo 9.1, relativos a
la etnia, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical
y el tratamiento de datos relativos a la salud o datos relativos a la vida sexual o las
orientaciones sexuales de una persona física. Además debemos añadir los datos del
artículo 10 relativos a condenas e infracciones penales o medidas de seguridad.

1
 Tal y como dispone el artículo 9.1, se prohíbe el tratamiento de estos datos
personales, si bien se contemplan varias excepciones si concurren algunas de las
circunstancias en el párrafo 2(*), del mismo precepto. Por su parte los datos relativos a
condenas e infracciones penales, sólo será lícito su tratamiento a través de la supervisión
de una autoridad pública o cuanto lo autorice la normativa de la UE o de los Estados
miembros que establezca las garantías adecuadas para los derechos y libertades de los
interesados. El registro completo de condenas penales solo podrá llevarse bajo el control
de autoridades públicas.
(*) EXCEPCIONES:
 el interesado dio su consentimiento explícito para el tratamiento de dichos
datos personales con uno o más de los fines especificados, excepto cuando el Derecho
de la Unión o de los Estados miembros establezca que la prohibición mencionada en el
apartado 1 no puede ser levantada por el interesado;
 el tratamiento es necesario para el cumplimiento de obligaciones y el
ejercicio de derechos específicos del responsable del tratamiento o del interesado
en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida
en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio
colectivo con arreglo al Derecho de los Estados miembros que establezca garantías
adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
 el tratamiento es necesario para proteger intereses vitales del interesado o de
otra persona física, en el supuesto de que el interesado no esté capacitado, física o
jurídicamente, para dar su consentimiento;
 el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con
las debidas garantías, por una fundación, una asociación o cualquier otro
organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o
sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales
o antiguos de tales organismos o a personas que mantengan contactos regulares con
ellos en relación con sus fines y siempre que los datos personales no se comuniquen
fuera de ellos sin el consentimiento de los interesados;
 el tratamiento se refiere a datos personales que el interesado ha hecho
manifiestamente públicos;
 el tratamiento es necesario para la formulación, el ejercicio o la defensa de
reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

2
  el tratamiento es necesario por razones de un interés público esencial, sobre
la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional
al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y
establecer medidas adecuadas y específicas para proteger los intereses y derechos
fundamentales del interesado;
 el tratamiento es necesario para fines de medicina preventiva o laboral,
evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación
de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y
servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de
los Estados miembros o en virtud de un contrato con un profesional sanitario y sin
perjuicio de las condiciones y garantías contempladas en el apartado 3;
 el tratamiento es necesario por razones de interés público en el ámbito de la
salud pública, como la protección frente a amenazas transfronterizas graves para
la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia
sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la
Unión o de los Estados miembros que establezca medidas adecuadas y específicas para
proteger los derechos y libertades del interesado, en particular el secreto profesional,
 el tratamiento es necesario con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, de conformidad con el artículo
89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que
debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la
protección de datos y establecer medidas adecuadas y específicas para proteger los
intereses y derechos fundamentales del interesado.
Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines
citados en el apartado 2, letra h) cuando su tratamiento sea realizado por un profesional
sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo
con el Derecho de la Unión o de los Estados miembros o con las normas establecidas
por los organismos nacionales competentes, o por cualquier otra persona sujeta también
a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados
miembros o de las normas establecidas por los organismos nacionales competentes.
Los Estados miembros podrán mantener o introducir condiciones adicionales,
inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos
o datos relativos a la salud.

3
 2.- ÁMBITO DE APLICACIÓN:
El Reglamento se aplicará:
a) A responsables o encargados del tratamiento de datos establecidos en la Unión
Europea.
b) A responsables y encargados no establecidos en la UE, siempre que realicen
tratamientos de datos derivados de una oferta de bienes o servicios destinados a los
ciudadanos de la Unión independientemente de si se les requiere de pago, o como
consecuencia del control del comportamiento en la medida que tenga lugar en la UE
(videovigilancia y monitorización o seguimiento de movimientos).
En este último caso deberá nombrarse un representante en la UE, el cual
actuará como intermediario entre los ciudadanos y las autoridades de control, siendo
además el destinatario de las acciones de supervisión (inspecciones) que realicen dichas
autoridades.
Por otra parte, desde el punto de vista material, el Reglamento se aplicará al
tratamiento de datos personales contenidos o destinados a incluirse en un fichero, total o
parcialmente automatizado, así como al no automatizado (fichero manual).
3.- PRINCIPIOS DEL REGLAMENTO:
El artículo 5.1 del Reglamento establece lo siguiente:
Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado
(«licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados
ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89,
apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés
público, fines de investigación científica e histórica o fines estadísticos no se
considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines
para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas
razonables para que se supriman o rectifiquen sin dilación los datos personales que sean
inexactos con respecto a los fines para los que se tratan («exactitud»);

4
 e) mantenidos de forma que se permita la identificación de los interesados
durante no más tiempo del necesario para los fines del tratamiento de los datos
personales; los datos personales podrán conservarse durante períodos más largos
siempre que se traten exclusivamente con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, de conformidad con el artículo
89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas
apropiadas que impone el presente Reglamento a fin de proteger los derechos y
libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos
personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra
su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u
organizativas apropiadas («integridad y confidencialidad»).
El responsable del tratamiento será responsable del cumplimiento de lo
dispuesto en el apartado 1 y capaz de demostrarlo (<<responsabilidad proactiva>>)
LICITUD, LEALTAD Y TRANSPARENCIA:
La regulación en el nuevo Reglamento es similar a la que ya se contenía en la
LOPD, la novedad más significativa es el consentimiento (concepto que aparece
definido en el artículo 4.11, como “toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta ya sea mediante una
declaración, o una clara acción informativa, el tratamiento de datos personales que
le conciernen”)
Queda excluido el consentimiento tácito o presunto (por omisión).
Otra peculiaridad viene dada respecto del tratamiento de datos sensibles, (los
que vienen especificados en el artículo 9.1, del Reglamento, en este caso se excluye
cualquier tipo de acción positiva ya que se exige que el consentimiento sea explícito.
Respecto al consentimiento prestado por niños, respecto de los servicios de la
sociedad de la información, éste se limitará a los datos referidos en el artículo 6.1 a)
(datos identificativos, no sensibles), se entenderá lícito el consentimiento prestado
por un niño si cuenta con más de 16 años. Sin embargo permite el Reglamento que los
Estados Miembros rebajen esa edad pero NUNCA por debajo de los 13 años. En los
demás casos será necesario que presten el consentimiento sus padres (titular la patria
potestad) o tutores del niño y solo en la medida en que se dio o autorizó.
Hablamos de LICITUD, cuando el tratamiento de datos cumple con los
requisitos establecidos en la Ley, (en este caso el RGPD), entendiendo el artículo 6, que

5
para que el tratamiento sea lícito ha de cumplirse al menos con una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos
personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el
interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal
aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de
otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre
dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales
del interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño.
¿Quién debe acreditar que se cumplen con los principios
relativos al tratamiento y demostrarlo? El responsable del tratamiento en
virtud del principio de Responsabilidad Proactiva, del artículo 5.2.
Por otra parte hablamos de LEALTAD Y TRANSPARENCIA, de acuerdo con el
artículo 7, cuando nos referimos a que cuando el consentimiento del interesado se da en
el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud
del consentimiento se presentará de tal manera que se distinga claramente de los
demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y
sencillo. El interesado puede asimismo retirar el consentimiento en cualquier
momento. Obviamente la retirada del consentimiento no implica que el tratamiento
realizado con anterioridad sea ilícito e insiste en Reglamento que debe ser tan fácil
retirar el consentimiento como darlo.

6
 A mayor abundamiento, en el artículo 12, se recogen las obligaciones
relacionadas con la transparencia de la información, comunicación y modalidades de
ejercicio de los derechos del interesado, cuestión que trataremos en el apartado relativo
a las obligaciones, que tienen una relación directa con los principios del tratamiento.
El artículo 11, habla de los datos que no requieren identificación para los
fines para los cuales un responsable trata datos, este no estará obligado a mantener,
obtener o tratar información adicional con vistas a identificar al interesado con el único
fin de cumplir con el Reglamento.
El resto de los principios, (limitación de la finalidad, minimización de datos,
exactitud, limitación del plazo de conservación, integridad, confidencialidad y
responsabilidad proactiva), nos limitaremos a lo establecido en el propio artículo 5.1.
Derechos del interesado a la vista del RGPD
Esta cuestión aparece regulada en los artículos 12 a 22 del RGPD, partiendo de
la premisa de que existen unas obligaciones generales, aplicables a todos los
responsables de tratamiento, que debe observar en el ejercicio de los derechos
reconocidos al interesado.
Los derechos pueden enumerarse de la siguiente manera:
a) Transparencia, artículo 12.
b) Información, (artículos 13, y 14)
c) Acceso (artículo 15)
d) Rectificación (Artículo 16)
e) Supresión o derecho al olvido (Artículo 17)
f) Limitación del tratamiento (Artículo 18)
g) Portabilidad de datos (Artículo 19)
h) Oposición (Artículo 21)
i) Oposición en lo relativo a decisiones individualizadas (artículo 22)
Junto a estos derechos, se encuentran los relativos a la posibilidad de poner en
marcha los mecanismos de reclamación ante la Autoridad de Control, así como
reclamación ante los tribunales contra la autoridad de control y finalmente se recoge la
posibilidad de que el interesado sea indemnizado por el responsable o encargado del
tratamiento como consecuencia de los daños y perjuicios ocasionados por la comisión
de una infracción tipificada en el RGPD (Artículos 77 a 84).

7
 a) Transparencia en la información comunicación y modalidades de
ejercicio de los derechos del interesado. (Art.12)
El interesado tiene derecho (lo que automáticamente se convierte en una
obligación para el responsable), a que la información y las comunicaciones recibidas,
sea concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y
sencillo, especialmente si se trata de un niño. Esta información, debe ser facilitada por
escrito u otros medios, inclusive, si procede, por medios electrónicos. Es válida la
información prestada verbalmente, a petición del interesado siempre que pueda
acreditarse la identidad del interesado por otros medios. Esta información podrá
transmitirse en combinación con iconos normalizados, que deben reunir las mismas
condiciones (fácilmente visibles, inteligibles y claramente legibles). Los que se
presenten en formato electrónico serán legibles mecánicamente.
Esta información y comunicación facilitada de modo transparente, claro y
sencillo implica que el responsable debe tomar las medidas oportunas para que las
mismas se lleven a cabo, de tal manera que deberá:
1.- Facilitar el ejercicio de esos derechos a los interesados
2.- Facilitar la información relativa a sus actuaciones en el plazo de 1 MES, si
bien este plazo puede prorrogarse por 2 MESES MAS, atendiendo a la complejidad y
número de solicitudes, comunicándole al interesado los motivos por los que se amplía
este plazo dentro del plazo del mes inicialmente concedido.
3.- Facilitar la información por medios electrónicos cuando sea posible a no ser
que el interesado la solicite de otro modo.
4.- Facilitar esta información a título gratuito, salvo que las peticiones sean
manifiestamente infundadas, excesivas o repetitivas, en cuyo caso, el responsable podrá
cobrar un canon por el coste administrativo de la gestión o negarse a actuar respecto de
la solicitud.
5.- Informar de la posibilidad de interponer reclamación ante la autoridad de
control o el ejercicio de acciones judiciales, cuando no dé curso a la solicitud del
interesado, informando de las razones por las que no lo hizo.

8
 b) Información (arts. 13 y 14)
Los artículos 13 y 14 son alternativos, es decir, el responsable del tratamiento
está obligado a facilitar una u otra información dependiendo de si los datos los obtuvo
directamente el interesado, facilitándose en este caso la información estipulada en el
artículo 13, o si los datos los obtuvo de otra fuente, en cuyo caso la información será la
que viene recogida en el artículo 14.
 El responsable del tratamiento, si los datos provienen del propio interesado, en
el momento en que se obtengan dichos datos personales deberá informarle de:
(artículo 13)
a) la identidad y los datos de contacto del responsable y, en su caso, de su
representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base
jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los
intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales,
en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un
tercer país u organización internacional y la existencia o ausencia de una decisión de
adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos
46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías
adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que
se hayan prestado.
Además de la información mencionada en el artículo 13.1, el apartado 2 del
mismo precepto indica que el responsable del tratamiento indicará en el momento en
que se obtengan los datos personales la siguiente información necesaria para garantizar
un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no
sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a
los datos personales relativos al interesado, y su rectificación o supresión, o la
limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la
portabilidad de los datos;

9
 c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el
artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en
cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el
consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o
un requisito necesario para suscribir un contrato, y si el interesado está obligado a
facilitar los datos personales y está informado de las posibles consecuencias de que
no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles,
a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado.
Cuando el responsable del tratamiento proyecte el tratamiento ulterior de
datos personales para un fin que no sea aquel para el que se recogieron,
proporcionará al interesado, con anterioridad a dicho tratamiento ulterior,
información sobre ese otro fin y cualquier información adicional pertinente a tenor
del apartado 2.
Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la
medida en que el interesado ya disponga de la información.
 El responsable del tratamiento, si los datos provienen de una fuente distinta al
propio interesado, en el momento en que se obtengan dichos datos personales deberá
informarle de: (artículo 14).
Con el fin de no resultar reiterativos, diremos que, en este caso el responsable
está obligado a facilitar los mismos datos que los que se establecen en el artículo 13,
con dos precisiones:
a) En el apartado d) del artículo 14 se añade también que el interesado debe ser
informado de las categorías de datos que están siendo tratados (es decir, si son datos
meramente identificativos o también datos sensibles o sobre condenas e infracciones
penales).
b) Además y dado que los datos los ha obtenido de una fuente distinta al propio
interesado, debe informarle de la procedencia de esos datos personales y, en su caso,
si proceden de fuentes de acceso público.

10
 En los casos del artículo 14, el responsable debe informar al interesado dentro de
lo que el RGPD, llama UN PLAZO RAZONABLE, una vez obtenidos los datos
personales y a más tardar en el plazo de UN MES, según las circunstancias concretas
de cada caso (*aquí no cabe la prórroga de 2 meses).
Si el responsable utiliza esos datos para ponerse en contacto con el interesado,
debe facilitar toda la información del artículo 14, a más tardar, en el momento de la
primera comunicación con el mismo. Si por el contrario los utiliza para transmitirlos a
otro destinatario, debe facilitar esos datos del artículo 14, a más tardar, en el momento
en que los datos personales sean comunicados por primera vez.
En todo caso, no será necesario facilitar dicha información, cuando el interesado
ya disponga de ella, cuando la comunicación le resulte imposible o suponga un esfuerzo
desproporcionado, en particular para el tratamiento para fines de archivo de interés
público, investigación científico – histórica o fines estadísticos. Debiendo el responsable
adoptar las medidas necesarias para proteger los derechos y libertades de los
interesados. Tampoco será necesario cuando la obtención esté establecida por el derecho
de la UE o de los Estados Miembros que se aplique al responsable del tratamiento o
cuando estos datos tengan carácter confidencial sobre la base del secreto profesional.
(Artículo 14.5 en relación con el artículo 9.3 RGPD)
c) Derecho de acceso. (Artículo 15)
El derecho de acceso se basa en obtener del responsable la confirmación de si
nuestros datos están siendo objeto de tratamiento o no. De ser así, el interesado tiene
derecho a obtener una copia de los datos objeto de tratamiento, con la siguiente
información: (*ojo: no confundir con la información general de los artículos 13 y 14)
los fines del tratamiento;
las categorías de datos personales de que se trate;
los destinatarios o las categorías de destinatarios a los que se comunicaron o
serán comunicados los datos personales, en particular destinatarios en terceros u
organizaciones internacionales;
de ser posible, el plazo previsto de conservación de los datos personales o, de
no ser posible, los criterios utilizados para determinar este plazo;
la existencia del derecho a solicitar del responsable la rectificación o supresión
de datos personales o la limitación del tratamiento de datos personales relativos al
interesado, o a oponerse a dicho tratamiento;
el derecho a presentar una reclamación ante una autoridad de control;

11
 cuando los datos personales no se hayan obtenido del interesado, cualquier
información disponible sobre su origen;
la existencia de decisiones automatizadas, incluida la elaboración de perfiles,
a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado.
Si se transfieren dichos datos a un tercer país u Organización Internacional, las
garantías que se han aplicado en dichas transferencias.
La forma en que se debe facilitar esta información, como ya se ha dicho es a
través de copia de los datos personales objeto de tratamiento. El responsable, podrá
percibir por cualquier otra copia solicitada un canon razonable por los costes
administrativos. Si la solicitud de esta información en el ejercicio del DERECHO DE
ACCESO, se realiza por medios electrónicos, ésta será facilitada por formato
electrónico de uso común, a no ser que el interesado solicite que se facilite de otro
modo.
d) Derecho de Rectificación (Artículo 16).
En virtud del principio de exactitud del artículo 15, el interesado tendrá
derecho:
 A obtener el responsable del tratamiento la rectificación de los datos personales
inexactos que le conciernan, sin dilaciones indebidas y;
 A que se completen los datos personales incompletos, inclusive a través de una
declaración adicional, teniendo en cuenta los fines del tratamiento.
De este modo el responsable del tratamiento debe no sólo corregir, sino también
actualizar los datos personales cuando así lo solicite el interesado.
e) Derecho de supresión; DERECHO AL OLVIDO (artículo 17)
Lo primero que debemos tener en cuenta es que se trata de un tema novedoso
dentro del tratamiento que va un paso más allá del antiguo derecho de cancelación
(derechos ARCO, de la LOPD). Supone o implica que interesado tiene derecho a
obtener sin dilaciones indebidas del responsable del tratamiento la supresión de los
datos personales que le conciernan, siempre que concurra alguna de las siguientes
causas o circunstancias:
Que los datos personales ya no sean necesarios en relación con los fines para
los que fueron recogidos o tratados de otro modo;

12
 Que el interesado retire el consentimiento en que se basa el tratamiento de
conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y
este no se base en otro fundamento jurídico;
Que el interesado se oponga al tratamiento con arreglo al artículo 21,
apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el
interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2 (cuando
el tratamiento tenga por objeto la mercadotecnia directa);
Que los datos personales hayan sido tratados ilícitamente;
Que los datos personales deban suprimirse para el cumplimiento de una
obligación legal establecida en el Derecho de la Unión o de los Estados miembros que
se aplique al responsable del tratamiento;
Que los datos personales se hayan obtenido en relación con la oferta de
servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.
(consentimiento prestado por un niño en relación con los servicios de la sociedad de
la información).
Si estos datos personales se han hecho públicos, (se han transmitido), el derecho
de supresión se extenderá a los demás responsables del tratamiento, con el fin de que
procedan a la suprimir de cualquier enlace a dichos datos personales o cualquier copia o
réplica de los mismos. Para ello, el responsable que reciba la solicitud del ejercicio del
derecho de supresión, debe adoptar las medidas razonables, incluso técnicas con el fin
de informar al resto de responsables que estén tratando estos datos, teniendo en cuenta
la tecnología disponible y el coste de su aplicación.
Sin embargo del derecho de supresión NO es absoluto, es decir, hay
determinados supuestos en que éste no puede llevarse a cabo y vienen contemplados en
el artículo 17.3, son por lo tanto EXCEPCIONES:
 para ejercer el derecho a la libertad de expresión e información;
 para el cumplimiento de una obligación legal que requiera el tratamiento de
datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento, o para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable;
 por razones de interés público en el ámbito de la salud pública de
conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;

13
  con fines de archivo en interés público, fines de investigación científica o
histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la
medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u
obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
 para la formulación, el ejercicio o la defensa de reclamaciones.
f) Derecho a la limitación del tratamiento (artículo 18).
Este derecho supone, al igual que en el caso anterior otra de las novedades del
RGPD, y se encuentra directamente relacionado con uno de los principios del
Reglamento que lleva el mismo nombre, (Artículo 5.1b). Consiste, en el derecho que
tiene interesado y la consiguiente obligación por parte del responsable, de obtener la
limitación del tratamiento de los datos para un fin concreto. Se trata principalmente
de situaciones de interinidad, provisionales, durante el plazo establecido que permita al
responsable efectuar una serie de comprobaciones. También para los supuestos en los
que el tratamiento sea ilícito pero deban conservarse los datos para interponer una
reclamación frente al responsable o bien el interesado desee conservarlos para efectuar
una reclamación ante un tercero. Son estas las circunstancias que expone el citado
artículo 18:
 el interesado impugne la exactitud de los datos personales, durante un plazo
que permita al responsable verificar la exactitud de los mismos; (*ejercicio del derecho
de rectificación, se limita el uso durante el tiempo en que el responsable verifica si los
datos son efectivamente erróneos)
 el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos
personales y solicite en su lugar la limitación de su uso; (*se pretende una reclamación
frente al responsable o encargado, precisamos de los datos como medio de prueba y
limitamos su utilización)
 el responsable ya no necesite los datos personales para los fines del tratamiento,
pero el interesado los necesite para la formulación, el ejercicio o la defensa de
reclamaciones; (*reclamación frente a un tercero y utilizamos los datos como medio de
prueba, limitando su utilización)

14
  el interesado se haya opuesto al tratamiento en virtud del artículo 21,
apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen
sobre los del interesado. (* el interesado ejercita el derecho de oposición y limita el las
finalidades del uso del tratamiento durante el tiempo en que el responsable verifica si
se dan las condiciones que exige el RGPD, para que pueda procederse a dicha
oposición)
Añade el párrafo segundo de este artículo 18 que cuando el tratamiento de datos
personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto
de tratamiento, con excepción de su conservación, con el consentimiento del interesado
o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la
protección de los derechos de otra persona física o jurídica o por razones de interés
público importante de la Unión o de un determinado Estado miembro.
Asimismo, el interesado que haya obtenido la limitación en el tratamiento, será
informado por el responsable del levantamiento de dicha limitación.
g) Obligación de notificación relativa a la rectificación o supresión de datos
personales o la limitación del tratamiento
El artículo 19 obliga al responsable a que cualquier ejercicio del derecho de
rectificación, limitación de tratamiento o supresión por parte de los interesados sea
puesto en conocimiento de todos los destinatarios de los datos de carácter personal. Así
cualquier rectificación en los ficheros, supresión de datos o concesión de la limitación
en el tratamiento debe comunicarse a estos destinatarios (si los hay), salvo que sea
imposible o exija un esfuerzo desproporcionado. Si el interesado solicita información
acerca de los destinatarios, el responsable debe hacerlo.
h) Derecho a la portabilidad de datos.
Nos encontramos nuevamente ante otra de las novedades del RGPD y supone
que el interesado tiene derecho a recibir los datos personales que le incumban y que
previamente haya facilitado a un responsable de tratamiento, dentro de un formato
estructurado de uso común y lectura mecánica y que sean transmitidos a otro
responsable de tratamiento siempre y cuando:
 El tratamiento está basado en el consentimiento para la celebración de un
contrato o precontrato de acuerdo con el artículo 6.1 y
 Que el tratamiento se efectúe a través de medios automatizados.
Este derecho se amplía a que el interesado puede solicitar que los datos se
transmitan de responsable a responsable siempre que técnicamente sea posible.

15
 i) Derecho de oposición
Es el último de los antiguos derechos ARCO, en virtud del cual, el interesado
tiene derecho a oponerse, en cualquier momento, por motivos relacionados con su
situación particular, incluida la elaboración de perfiles, a que sus datos personales
sean objeto de un tratamiento basado en el artículo 6.1e): tratamiento necesario para el
cumplimiento de una misión realizada en interés público o en el artículo 6.1f) :
tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero, siempre que dichos intereses no
prevalezcan sobre los intereses o derechos fundamentales del interesado en particular
cuando sean un niño.
Este derecho de oposición tiene un límite y es que el responsable puede
negarse y seguir efectuando el tratamiento de dichos datos cuando acredite la existencia
de un MOTIVO LEGÍTIMO IMPERIOSO, que prevalezca sobre los intereses,
derechos y libertades de los interesados o sea necesario para el ejercicio o la
defensa de reclamaciones.
Si no concurren estas últimas circunstancias, el responsable dejará de tratar
esos datos personales, y siempre y cuando las finalidades del tratamiento tengan por
objeto la MERCADOTECNIA DIRECTA, el derecho de oposición puede ejercitarse
en todo momento, sobre todos los datos, incluida la elaboración de perfiles, siempre y
cuando la oposición se refiera a la mencionada mercadotecnia (*métodos de
optimización para la venta de productos en el mercando con el fin de convencer al
mayor número de clientes posible)
Si los datos se tratan únicamente para fines de investigación científica, histórica
o estadísticos, el interesado tiene derecho a ejercitar el derecho de oposición por su
situación particular, salvo que dicho tratamiento sea necesario para el cumplimiento de
una misión de interés público (Artículo 6.1e).
j) Decisiones individuales automatizadas, incluida la elaboración de perfiles

16
 La sección cuarta, capítulo III, del RGPD, trata junto con el derecho de
oposición, el derecho de todo interesado a no ser incluido o a no ser objeto de una
decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de
perfiles, que produzca efectos jurídicos en él o le afecte significativamente o de modo
similar. Nuevamente no nos encontramos ante un derecho de carácter absoluto, sino que
el ejercicio del mismo no será posible si la decisión automatizada:
1º.- Es necesaria para la celebración o la ejecución de un contrato entre el
interesado y un responsable del tratamiento;
2º.- Está autorizada por el Derecho de la Unión o de los Estados miembros
que se aplique al responsable del tratamiento y que establezca asimismo medidas
adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del
interesado, o
3º.- Se basa en el consentimiento explícito del interesado. (*Ojo:
consentimiento explícito, ni presunto, ni tácito, ni actitud positiva).
En los casos en que la decisión sea necesaria para la celebración o la ejecución
de un contrato entre el interesado y un responsable del tratamiento: (artículo 22
apartado 2, letra a)) así como cuando se base en el consentimiento explícito del
interesado, (artículo 22 apartado 2, letra c)) el responsable del tratamiento adoptará
las medidas adecuadas para salvaguardar los derechos y libertades y los intereses
legítimos del interesado, como mínimo el derecho a obtener intervención humana
por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
Una cuestión muy importante es que las decisiones automatizadas, no podrán
incluir las categorías especiales de datos personales contempladas en el artículo 9,
apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) : con
consentimiento del interesado, o el artículo 9, apartado 2, letra g) tratamiento por
razones de interés público esencial sobre la base del derecho de la UE o de los Estados
Miembros, proporcional al objetivo perseguido, y se hayan tomado medidas adecuadas
para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
(*Se considera que se elaboran perfiles cuando los aspectos personales de una
persona son evaluados para elaborar predicciones sobre ella, incluso si no se toman
decisiones. Por ejemplo, si una empresa u organización evalúa las características de un
individuo (como la edad, el sexo, la altura) o le incluye en una categoría, significa que
se está elaborando un perfil sobre él.

17
 Por su parte las decisiones automatizadas son aquellas en las que efectivamente
se toman decisiones sobre una persona por medios tecnológicos sin la intervención
humana; incluso pueden tomarse sin la elaboración de perfiles).

k) Limitaciones (artículo 23).

En este artículo se da la posibilidad de que, a través del Derecho de la UE, o bien
de los Estados Miembros se proceda a la promulgación de medidas legislativas que
limiten el alcance de las obligaciones que acabamos de ver, los principios relativos al
tratamiento del artículo 5, siempre y cuando estas limitaciones no vulneren y respeten
en lo esencial los derechos y libertades fundamentales con unas finalidades muy
concretas y proporcionadas con el fin de salvaguardar:
a) La seguridad del Estado.
b) La defensa
c) La seguridad pública;
d) La prevención, investigación, detección o enjuiciamiento de infracciones
penales o la ejecución de sanciones penales, incluida la protección frente a amenazas
a la seguridad pública y su prevención;
e) Otros objetivos importantes de interés público general de la Unión o de un
Estado miembro, en particular un interés económico o financiero importante de la
Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y
monetario, la sanidad pública y la seguridad social;
f) La protección de la independencia judicial y de los procedimientos
judiciales;
g) La prevención, la investigación, la detección y el enjuiciamiento de
infracciones de normas deontológicas en las profesiones reguladas;
h) Una función de supervisión, inspección o reglamentación vinculada,
incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos
contemplados en las letras a) a e) y g);
i) La protección del interesado o de los derechos y libertades de otros;
j) La ejecución de demandas civiles. (*Ojo: sólo ejecución, no como en el caso
de sanciones penales).

18
 Estas medidas legislativas, en todo caso deberán recoger las disposiciones
específicas en el artículo 23.2 (fines de tratamiento, categorías de datos, alcance de las
limitaciones, garantías diseñadas por el responsable).
l) Otros derechos
Como explicábamos anteriormente, además de los derechos establecidos en los
artículos 12 a 22, existen otros derechos, que aparecen diseminados por el Reglamento,
en el Capítulo VIII (artículos 77 a 84) se recogen distintos derechos, reconocidos a los
interesados y los derechos reconocidos a las personas:
1.- Derecho de los interesados a presentar una reclamación ante una autoridad
de control, recursos y acciones judiciales ante la infracción del RGPD. (artículo 77).
2.- Derecho de los interesados a la tutela judicial efectiva contra una
autoridad de control, (artículo 78) por las decisiones jurídicamente vinculantes
dictadas por esta autoridad, bien porque no dé curso a una reclamación o no sea
informado en el plazo de 3 meses sobre el uso o resultado de una reclamación efectuada
ante ella (del artículo 77).
3.- Derecho de los interesados a la tutela judicial efectiva contra un
responsable o encargado de tratamiento, (artículo 79), cuando considere que sus
derechos en virtud de lo establecido en el RGPD, han sido vulnerados como
consecuencia del tratamiento de sus datos.
4.- Derecho reconocido con carácter general a las personas, al derecho a la
tutela judicial efectiva, contra la autoridad de control (Artículo 78) y el Derecho a la
indemnización por la responsabilidad del responsable o del encargado, a toda persona
que haya sufrido perjuicios materiales o inmateriales (daños morales) como
consecuencia de la infracción del RGPD (artículo 82)
4.- Obligaciones de responsable y encargado de tratamiento.
Como sosteníamos en el epígrafe anterior los derechos de los interesados son o
se convierten automáticamente en obligaciones para el responsable del tratamiento. Sin
embargo, al margen de lo que ya hemos visto, existen unas obligaciones específicas del
responsable y del encargado que les competen solo a ellos, sin olvidarnos por supuesto
del principio de responsabilidad proactiva del artículo 5.2, en virtud del cual, es el
responsable el que debe acreditar y probar que se están cumpliendo con los principios
generales del RGPD.

19
 Estas obligaciones vienen reguladas en el Capítulo IV, y podemos dividirlas a su
vez en cuatro categorías diferentes:
1.- Generales.
2.- Relativas a la seguridad de los datos personales.
3.- Relativas a la evaluación de impacto y consulta previa.
4.- Relativas al Delegado de Protección de datos.

a) Obligaciones generales:
Son aquellas que afectan a todo responsable de tratamiento, que, como sabemos,
tiene como funciones fundamentales, determinar los fines del tratamiento y diseñar
las medidas organizativas y técnicas con el fin de proteger los datos de carácter
personal.
1.- Responsabilidad del responsable del tratamiento. (artículo 24)
A la vista de las funciones del responsable, ahí reside la primera de sus
obligaciones, la aplicación de las medidas organizativas y técnicas apropiadas a fin
de garantizar y poder demostrar que el tratamiento cumple con el reglamento
(responsabilidad proactiva), revisando y actualizando dichas medidas cuando sea
necesario.
Tanto el responsable como el encargado del tratamiento, para acreditar que
cumplen con el Reglamento podrán acogerse o adherirse a los llamados códigos de
conducta (artículo 40) o al mecanismo de las certificaciones (artículo 42),
sometiéndose a la supervisión por parte de la autoridad de control con el fin de
comprobar si efectivamente por estos se están sujetando a las disposiciones del código
de conducta o se cumplen con las exigencias de la certificación.
2.- Protección de datos desde el diseño y por defecto (artículo 25)
Insistiendo en las funciones del responsable:
a) Determinar los fines del tratamiento.
b) Diseñar las medidas organizativas y técnicas.
El responsable debe diseñar estas medidas teniendo en cuenta el estado de la
técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del
tratamiento.

20
 Por otra parte debe determinar los riesgos probables para los derechos y
libertades de las personas físicas.
Estas medidas se aplicarán tanto en el momento de determinar los medios de
tratamiento (*antes de comenzar) como en el momento del propio tratamiento. Pueden
consistir en seudonimización, en minimización de datos, e integrar las garantías
necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y
proteger los derechos de los interesados.
Por lo tanto entendemos que la protección de datos desde el diseño, implica la
necesidad de estudio previo y diseño de las medidas organizativas y técnicas a fin de
proteger los derechos e intereses de los particulares y cumplir con la normativa
reglamentaria.
¿Qué debemos entender por protección de datos “por defecto”?.
Podemos apreciar este concepto desde dos perspectivas distintas y así lo hace el
artículo 25.
La primera de ellas es que, el responsable del tratamiento aplicará las medidas
técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo
sean objeto de tratamiento los datos personales que sean necesarios para cada uno
de los fines específicos del tratamiento. (*utilización de datos necesarios y no
superfluos).
Por lo tanto viene referida a la cantidad de datos personales recogidos, a la
extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.
La segunda de estas perspectivas se refiere a que las medidas empleadas
garantizarán que, por defecto, los datos personales no sean accesibles, sin la
intervención de la persona, a un número indeterminado de personas físicas. (*que a
los datos no pueda acceder cualquiera, sino que debe intervenir la persona autorizada)
Como ya sabemos, podrá utilizarse un mecanismo de certificación aprobado
con arreglo al artículo 42 como elemento que acredite el cumplimiento de las
obligaciones establecidas en el artículo 25.1 y 2.
3.- Corresponsables del tratamiento.
Esta cuestión la aborda el artículo 26 y se refiere al hecho de que dos o más
responsables determinen conjuntamente los objetivos (*fines) y los medios del
tratamiento serán considerados corresponsables del tratamiento. Los corresponsables
determinarán de modo transparente y de mutuo acuerdo sus responsabilidades

21
respectivas en el cumplimiento de las obligaciones impuestas por el Reglamento, (…
ejercicio de los derechos del interesado, respectivas obligaciones de suministro de
información a que se refieren los artículos 13 y 14). Este acuerdo de distribución de
funciones, se pondrá a disposición del interesado en los aspectos esenciales.
Ahora bien, con independencia de que los términos del acuerdo distribuyan las
funciones de cada responsable, los interesados podrán ejercer los derechos que les
reconoce el Reglamento frente a, y en contra de, cada uno de ellos.

4.- Representantes de los responsables o encargados del tratamiento no

establecidos en la Unión.
Dentro del ámbito de aplicación del Reglamento, el artículo 3.2, establecía que
se aplicaría esta norma al tratamiento de datos personales de interesados que residan en
la Unión por parte de un responsable o encargado no establecido en la Unión, si se trata
de la oferta de bienes o servicios o control de comportamiento.
En estos casos el responsable o el encargado, deben nombrar por escrito a un
representante en la Unión al que encomendarán que atienda, junto al responsable o al
encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de
los interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el
cumplimiento de lo dispuesto en el presente Reglamento.
El nombramiento de responsable no será necesario, si nos encontramos ante una
autoridad u organismo público o que el tratamiento sea ocasional o que no incluyan el
manejo a gran escala de los datos sensibles del artículo 9.1. o los datos del artículo 10
relativos a condenas o infracciones penales y sea improbable que entrañe un riesgo para
los derechos y libertades de las personas.
5.- El encargado del tratamiento.
Es, junto con el responsable la otra figura fundamental en el tratamiento de
datos, se trata, como viene definido en el artículo 4, de una persona, física, jurídica,
autoridad pública u otro organismo, que actúa por cuenta del responsable y trata los
datos personales.
Por lo tanto esa es su función principal, el tratamiento de los datos, por cuenta
del responsable, aplicando las medidas organizativas y técnicas llevadas a cabo “desde

22
el diseño y por defecto”, por éste con el fin de cumplir con el RGPD y garantice los
derechos de los interesados.
El encargado, no puede recurrir a otro encargado (*subcontratar), sin la
autorización previa por escrito, bien específica, bien general del responsable. Si el
encargado cuenta con una autorización general, debe informar al responsable de
cualquier cambio, incorporación o sustitución de otros encargados, con el fin de que
éste pueda oponerse a los cambios propuestos.
Encargado y responsable se encuentran vinculados por contrato o cualquier
otro acto jurídico aprobado por el Derecho de la Unión o de los Estados Miembros
y su contenido se ajustará a lo establecido en el artículo 28.3, (duración, naturaleza y
finalidad del tratamiento, tipos de datos que se van a tratar, las instrucciones
documentadas del responsable al encargado, confidencialidad, adopción de las medidas
del artículo 32, relativos a la seguridad del tratamiento y análisis del riesgo…).
El artículo 29 establece que el encargado del tratamiento y cualquier persona que
actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos
personales solo podrán tratar dichos datos siguiendo instrucciones del responsable,
a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados
miembros.
6.- El Registro de las Actividades del Tratamiento.
En la LOPD, las actividades de tratamiento debían depositarse ante la AEPD, si
bien con la aprobación del RGPD, cada responsable y, en su caso, su representante
llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
Por lo tanto se establece el principio de autogestión y autoresponsabilidad en el
sentido en que es el responsable el que debe demostrar que el Registro de Actividades
cumple con el Reglamento y con el contenido del artículo 30.
Por ejemplo:
1. Nombre y datos de contacto del responsable y, en su caso, del
corresponsable, del representante del responsable, y del delegado de protección de
datos;
2. Fines del tratamiento;
3. Categorías de interesados y de las categorías de datos personales;
4. Categorías de destinatarios a quienes se comunicaron o comunicarán los
datos personales, incluidos los destinatarios en terceros países u organizaciones
internacionales;

23
 5. Transferencias de datos personales a un tercer país o una organización
internacional, con identificación de dicho tercer país u organización internacional.
6. Plazos previstos para la supresión de las diferentes categorías de datos;
7. Descripción general de las medidas técnicas y organizativas de seguridad
a que se refiere el artículo 32, apartado 1 (seudonimización, cifrado, confidencialidad,
integridad, disponibilidad y resilencia, restaurar la disponibilidad del sistema en caso de
incidente físico o técnico, verificación, evaluación y valoración regulares de eficacia de
las medidas técnicas y organizativas diseñadas para garantizar la seguridad del
tratamiento).
Esta obligación se extiende también a cada encargado y, en su caso, el
representante, llevará un registro de todas las categorías de actividades de tratamiento
efectuadas por cuenta de un responsable que contenga:
1.- El nombre y datos de contacto del encargado o encargados y de cada
responsable por cuenta del cual actúen, y, en su caso, del representante del responsable
o del encargado, y del delegado de protección de datos;
2.- Categorías de tratamientos efectuados por cuenta de cada responsable;
3.- Transferencias a un tercer país u organización internacional, incluida la
identificación de dicho tercer país u organización internacional.
4.- Descripción general de las medidas técnicas y organizativas de seguridad
a que se refiere el artículo 30, apartado 1.
Los registros de encargado y responsable, constarán por escrito, inclusive en
formato electrónico y ambos pondrán el registro a disposición de la autoridad de control
que lo solicite.
¿Todos tienen obligación de elaborar este Registro?
El artículo 30.5 exime a empresas y organizaciones que empleen a menos de
250 personas, salvo que el tratamiento que realicen pueda entrañar un riesgo para los
derechos y libertades de los interesados, no sea ocasional, o incluya categorías
especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales
relativos a condenas e infracciones penales a que se refiere el artículo 10.
7.- Cooperación con la autoridad de control
El artículo 31 establece la obligación para el responsable y el encargado del
tratamiento y, en su caso, sus representantes de cooperar con la autoridad de control que
lo solicite en el desempeño de sus funciones.

24
 b) Obligaciones relacionadas con la seguridad de los datos personales.
1.- Seguridad del tratamiento. El análisis de riesgo.
Junto con las obligaciones generales a las que acabamos de referirnos el artículo
32, empieza hablando de la seguridad en el tratamiento de dato, estableciendo una serie
de medidas a las que ya hemos hecho referencia en diversas ocasiones y que repetimos
otra vez a fin de repasar. Estas medidas son:
1.- Seudonimización.
2.- Cifrado,
3.- Confidencialidad, integridad, disponibilidad y resilencia.
4.- Capacidad para restaurar la disponibilidad del sistema en caso de incidente
físico o técnico.
5.- Verificación, evaluación y valoración regulares de eficacia de las medidas
técnicas y organizativas diseñadas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en
cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia
de la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos.
Como ya se ha dicho, la adhesión a un código de conducta aprobado a tenor del
artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá
servir de elemento para demostrar el cumplimiento de los requisitos de seguridad de
tratamiento en particular y del RGPD en general.
Además, como mecanismo de seguridad añadido, el responsable y el encargado
del tratamiento tomarán las medidas para garantizar que cualquier persona que actúe
bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo
pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté
obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
2.- Notificación de una violación de la seguridad de los datos personales a la
autoridad de control.
En caso de violación de la seguridad de los datos personales, el responsable del
tratamiento la notificará a la autoridad de control competente, sin dilación indebida y, de
ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a
menos que sea improbable que dicha violación de la seguridad constituya un riesgo para
los derechos y las libertades de las personas físicas. Si la notificación a la autoridad

25
de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de
indicación de los motivos de la dilación.
El encargado del tratamiento notificará sin dilación indebida al responsable del
tratamiento las violaciones de la seguridad de los datos personales de las que tenga
conocimiento.

La notificación contemplada en el apartado 1 deberá, como mínimo:

- Descripción de la naturaleza de la violación de la seguridad de los datos
personales, inclusive, cuando sea posible, las categorías y el número aproximado de
interesados afectados, y las categorías y el número aproximado de registros de
datos personales afectados;
- Nombre y los datos de contacto del delegado de protección de datos o de otro
punto de contacto en el que pueda obtenerse más información;
- Descripción de las posibles consecuencias de la violación de la seguridad de
los datos personales;
- Descripción de las medidas adoptadas o propuestas por el responsable del
tratamiento para poner remedio a la violación de la seguridad de los datos
personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles
efectos negativos.
Esta información puede prestarse de modo gradual, cuando no fuese posible
aportarla simultáneamente, pero siempre sin dilación indebida. El responsable debe
documentar cualquier violación de la seguridad de los datos y los hechos relacionados
con ella, efectos y medidas correctivas adoptadas, con el fin de que a la vista de dicha
documentación la autoridad de control verifique que se ha cumplido con lo ordenado
por el artículo 33.
3.- Comunicación de una violación de la seguridad de los datos personales al
interesado
Cuando sea probable que la violación de la seguridad de los datos personales
entrañe un alto riesgo para los derechos y libertades de las personas físicas, el
responsable del tratamiento la comunicará al interesado sin dilación indebida, en un

26
lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos
personales y contendrá como mínimo la información y las medidas siguientes:
- Nombre y los datos de contacto del delegado de protección de datos o de otro
punto de contacto en el que pueda obtenerse más información;
- Descripción de las posibles consecuencias de la violación de la seguridad de
los datos personales;
- Descripción de las medidas adoptadas o propuestas por el responsable del
tratamiento para poner remedio a la violación de la seguridad de los datos
personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles
efectos negativos.

¿Es siempre obligatorio comunicar los datos al interesado?

La respuesta es NO, ya que si el responsable ha adoptado medidas de
protección técnicas y organizativas apropiadas y estas medidas se aplicaron a los
datos personales afectados por la violación, en particular aquellas que hagan
ininteligibles los datos personales para cualquier persona que no esté autorizada a
acceder a ellos, como el cifrado;
Tampoco será necesario comunicarlo al interesado cuando el responsable ha
tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que
se concretice el alto riesgo para los derechos y libertades del interesado o dicha
comunicación suponga un esfuerzo desproporcionado. En este caso, se optará en su
lugar por una comunicación pública o una medida semejante por la que se informe de
manera igualmente efectiva a los interesados.
Cuando el responsable todavía no haya comunicado al interesado la violación de
la seguridad de los datos personales, la autoridad de control, una vez considerada la
probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o
podrá decidir cumple con alguna de las medidas anteriores (de protección, medidas que
hagan ininteligibles los datos personales como el cifrado, medidas que garanticen que
no exista la probabilidad de que se concretice un alto riesgo para los derechos y
libertades de los interesados).
c) Obligaciones a cerca de la evaluación del impacto relativa a la protección
de datos y consulta previa.
1.- Evaluación de impacto.

27
 Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas
tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para
los derechos y libertades de las personas físicas, el responsable del tratamiento
realizará, antes del tratamiento, una evaluación del impacto de las operaciones de
tratamiento en la protección de datos personales. Una única evaluación podrá
abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos
similares.
El responsable del tratamiento recabará el asesoramiento del delegado de
protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a
la protección de datos.

¿Es necesaria la evaluación de impacto en todos los supuestos?

La respuesta es NO, ya como indica el artículo 35, sólo deberá efectuarse en los
siguientes casos:
1.- Evaluación sistemática de aspectos personales de personas físicas que se
base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya
base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que
les afecten significativamente de modo similar;
2.- Tratamiento a gran escala de las categorías especiales de datos a que se
refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e
infracciones penales a que se refiere el artículo 10, u
3.- Observación sistemática a gran escala de una zona de acceso público.
Además, la autoridad de control establecerá y publicará una lista de los tipos
de operaciones de tratamiento que requieran una evaluación de impacto relativa a
la protección de datos de. La autoridad de control comunicará esas listas al Comité
Europeo de Protección de Datos.
La evaluación a realizar por el responsable deberá incluir como mínimo:
1. Descripción sistemática de las operaciones de tratamiento previstas y de los
fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el
responsable del tratamiento;
2. Evaluación de la necesidad y la proporcionalidad de las operaciones de
tratamiento con respecto a su finalidad;

28
 3. Evaluación de los riesgos para los derechos y libertades de los interesados a
que se refiere el apartado 1, y
4. Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de
seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar
la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses
legítimos de los interesados y de otras personas afectadas.
5. Cuando proceda, el responsable recabará la opinión de los interesados o de sus
representantes en relación con el tratamiento previsto.
6. En caso necesario, el responsable examinará si el tratamiento es conforme con
la evaluación de impacto relativa a la protección de datos, al menos cuando exista un
cambio del riesgo que representen las operaciones de tratamiento.

2.- Consulta previa.

1. El responsable consultará a la autoridad de control antes de proceder al
tratamiento cuando una evaluación de impacto relativa a la protección de los datos
en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el
responsable no toma medidas para para mitigarlo.
2. Cuando la autoridad de control considere que el tratamiento previsto, podría
infringir el presente Reglamento, en particular cuando el responsable no haya
identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un
plazo de 8 SEMANAS desde la solicitud de la consulta, asesorar por escrito al
responsable, y en su caso al encargado. Dicho plazo podrá prorrogarse 6 SEMANAS,
en función de la complejidad del tratamiento previsto. La autoridad de control
informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de 1
MES a partir de la recepción de la solicitud de consulta, indicando los motivos de la
dilación.
Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la
información solicitada a los fines de la consulta.
d) Obligaciones relacionadas con el Delegado de protección de datos
Es la figura identificada con las siglas DPO (DATA PROTECTION OFFICER), esta
figura como se ha podido comprobar no siempre es obligatoria ya que el artículo 37
establece que debe ser designado por el responsable y el encargado del tratamiento
siempre que:

29
 1.- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los
tribunales que actúen en ejercicio de su función judicial;
2.- Las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que requieran una observación habitual y sistemática de
interesados a gran escala, o
3.- Las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categorías especiales de datos personales con arreglo
al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere
el artículo 10.
Un grupo empresarial podrá nombrar un único delegado de protección de datos
siempre que sea fácilmente accesible desde cada establecimiento.

Cuando el responsable o el encargado del tratamiento sea una autoridad u

organismo público, se podrá designar un único delegado de protección de datos para
varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa
y tamaño.
¿Quién puede ser designado Delegado de Protección de Datos?
Se trata de una persona que en atención a sus cualidades profesionales, a sus
conocimientos especializados del Derecho y la práctica en materia de protección de
datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39
(informar, asesorar, supervisar…)
El delegado de protección de datos podrá formar parte de la plantilla del
responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de
un contrato de servicios. (*Puede trabajar por cuenta ajena o propia)
Como ya sabemos, es obligación del responsable o el encargado del tratamiento
el publicar los datos de contacto del delegado de protección de datos y comunicarlos a
la autoridad de control.
Además el responsable y el encargado del tratamiento garantizarán que el
delegado de protección de datos participe de forma adecuada y en tiempo oportuno en
todas las cuestiones relativas a la protección de datos personales, también respaldarán al
delegado de protección de datos en el desempeño de sus funciones, facilitando los
recursos necesarios para el desempeño de dichas funciones (*medios técnicos,

30
materiales y personales) y el acceso a los datos personales y a las operaciones de
tratamiento, y para el mantenimiento de sus conocimientos especializados.
Debe de asegurarse que el delegado actúe de modo independiente, por lo que
ha de garantizarse por parte del responsable y el encargado del tratamiento que el
delegado de protección de datos no reciba ninguna instrucción en lo que respecta al
desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el
encargado por desempeñar sus funciones. El delegado de protección de datos rendirá
cuentas directamente al más alto nivel jerárquico del responsable o encargado.
Los interesados podrán ponerse en contacto con el delegado de protección de
datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos
personales y al ejercicio de sus derechos al amparo del presente Reglamento.
El delegado de protección de datos estará obligado a mantener el secreto o la
confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad
con el Derecho de la Unión o de los Estados miembros.
El delegado de protección de datos podrá desempeñar otras funciones y
cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones
y cometidos no den lugar a conflicto de intereses.
¿Cuáles son las funciones del Delegado de protección de datos?
Vienen establecidas en el Artículo 39, las funciones que como mínimo debe
desempeñar el Delegado de Protección de Datos.
1.- Informar y asesorar al responsable o al encargado del tratamiento y a los
empleados que se ocupen del tratamiento de las obligaciones que les incumben en
virtud del presente Reglamento y de otras disposiciones de protección de datos de la
Unión o de los Estados miembros;
2.- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de
otras disposiciones de protección de datos de la Unión o de los Estados miembros y de
las políticas del responsable o del encargado del tratamiento en materia de protección de
datos personales, incluida la asignación de responsabilidades, la concienciación y
formación del personal que participa en las operaciones de tratamiento, y las auditorías
correspondientes;
3.- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de
impacto relativa a la protección de datos y supervisar su aplicación de conformidad con
el artículo 35;

31
 4.- Cooperar con la autoridad de control;
5.- Actuar como punto de contacto de la autoridad de control para cuestiones
relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y
realizar consultas, en su caso, sobre cualquier otro asunto.

32