Vous êtes sur la page 1sur 85

MANUAL CURSO LEY ORGÁNICA DE

PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL

MARÍA DOLORES GODOY GONZÁLEZ


GRUPO EUROFORMAC
Desde el momento mismo de nuestro nacimiento multitud de entidades, organismos y
empresas, tanto en el ámbito público como privado, obtienen y utilizan datos relativos a
nuestra persona: nacemos y morimos jurídicamente mediante una inscripción registral que
contiene datos básicos relativos a nuestra privacidad. Nuestras relaciones comerciales,
sociales e incluso de pareja constan de una manera u otra y permiten la obtención de datos
personales. Nuestros hábitos de consumo, nuestra adhesión a un partido político o a un
sindicato, e incluso nuestras creencias religiosas se documentan de un modo u otro. Los datos
relativos a nuestra salud (o más bien a nuestra falta de salud) física o psíquica llenan ficheros.

Pero la cuestión no es tanto que parte de nuestra vida conste en papel o en bases de datos
electrónicas, sino, sobre todo, si el uso que se da a esos datos es el que motivó la obtención
de los mismos, si realmente el ciudadano presta un consentimiento informado cuando los
proporciona. El problema es que en muchas ocasiones se comercia con los mismos e incluso
se obtienen de forma subrepticia, con aprovechamiento de la falta de información,
conocimientos y hasta de la buena fe de muchos.

Hasta fechas relativamente recientes éstas y otras cuestiones sobre los datos personales no
han sido objeto de especial preocupación por parte de los ciudadanos, ni siquiera de los
poderes públicos. Pero la situación ha cambiado de forma extraordinaria.
Las causas principales de dicho cambio pueden resumirse como sigue:

 La implantación de medios electrónicos e informáticos que permiten la obtención,


tratamiento y almacenaje de cantidades ingentes de información en el mínimo espacio
y a bajo coste

1
 Las nuevas formas de obtención de datos, derivadas también de la implantación de
las nuevas tecnologías: internet, telefonía móvil, medios de pago electrónicos,...
 La feroz competencia comercial y la necesidad de captación de nuevos clientes en
todos los ámbitos, desarrollando nuevas formas como el marketing telefónico
 Finalmente, nos gustaría pensar que el cambio al que aludíamos se ha debido también
a un proceso de concienciación de los ciudadanos frente a los reiterados abusos.
Conocemos mejor nuestros derechos y estamos más dispuestos a defenderlos.

Y la combinación de estos y otros factores ha devenido en necesidad reguladora. Tanto en el


ámbito europeo como, más concretamente, en el Derecho español, el fenómeno de la
protección de datos se ha convertido en una exigencia básica, que precisa de una normativa
completa que permita al ciudadano conocer la dimensión de sus derechos y los instrumentos
a utilizar en caso de violación de los mismos.

La Constitución española de 1978, en su artículo 18, recoge, entre los


derechos fundamentales, la protección de datos, al establecer el apartado
4º de ese precepto que “La Ley limitará el uso de la informática para
garantizar el honor y la intimidad personal y familiar de los ciudadanos y el
pleno ejercicio de sus derechos”.

No emplea nuestra Constitución aún la expresión “Protección de Datos”. Fue en el seno de la


Unión Europea donde comenzaría a ser utilizada. En ese ámbito, debemos destacar, en esta
primera aproximación a la materia, el Tratado de la Unión Europea que recoge de forma
expresa el derecho de los ciudadanos de la Unión a lo que ya llama de forma específica
“Protección de Datos”.
El hecho de aparecer recogido en nuestro texto constitucional en el mismo artículo donde
se proclama como derecho fundamental la intimidad personal y familiar y la propia
imagen y el que no sea designado de forma expresa con la denominación que hoy se ha hecho
común y que han recogido nuestras normas posteriores, supuso, en un principio, cierta

2
confusión. No puede negarse, desde luego, su vinculación con el derecho a la intimidad, pero,
como ha reconocido nuestro Tribunal Constitucional, se trata de un derecho
independiente, autónomo, con contenido propio centrado en el concepto de “privacidad”
como más adelante analizaremos. No es un derecho nuevo como demuestra el ya mencionado
reconocimiento en nuestra Constitución de 1978, pero sí puede afirmarse que la extensión de
sus implicaciones jurídicas, económicas y sociales en toda su dimensión se ha producido de
forma paralela al surgimiento y desarrollo de lo que hoy llamamos “Sociedad de la
Información”. En efecto, como ya hemos comentado en líneas anteriores, el uso y extensión
de las nuevas tecnologías de la información y la comunicación ha alertado de los peligros de
un acceso fácil y poco escrupuloso, cuando no puramente interesado, a enormes cantidades de
datos personales de los que puede derivarse el conocimiento para terceros de aspectos que
forman parte de nuestra privacidad. Así lo demuestra la existencia de un auténtico mercado de
compra-venta de bases de datos que son usadas con finalidad distinta de aquella para la que
fueron confeccionadas, o la captación de esos datos utilizando medios no muy éticos (cuando
no directamente delictivos), o, simplemente, el mantenimiento y utilización de los mismos sin
la aplicación de niveles suficientes de seguridad.

La Protección de datos en la CE

CE 1978: Art. 18

Derec ho a la
Derec ho a la
protec c ión de
intimidad
datos

PD carácter personal

3
La primera regulación de nuestra materia, en cumplimiento del mandato constitucional, se
produjo en el año 1992, con La Ley Orgánica Reguladora del Tratamiento Automatizado
de Datos. Dicha Ley fue luego sustituida por la actualmente vigente: La Ley Orgánica de
Protección de Datos de Carácter Personal, L.O. 15/1999, de 13 de diciembre.
8 años después se produjo el desarrollo reglamentario de la misma a través del Real Decreto
1720/2007, de 21 de diciembre que vino a sustituir
al anterior de 1999.

Nota: con objeto de diferenciar, en este manual, el Reglamento mencionado


del nuevo Reglamento de la Unión Europea sobre la materia mencionaremos
el primero como Reglamento de desarrollo de la Ley.

En la actualidad se encuentra en trámite parlamentario el texto de la nueva Ley que ha de


sustituir a la del 99. Mientras no se produzca su aprobación debemos seguir hablando de ésta,
vigente en lo que no se oponga al Reglamento de la Unión del que ahora hablaremos.

La Ley del 99 fue modificada, en lo que hace al régimen sancionador que la misma establece,
por la Ley 2/2011, de 4 de marzo, de Economía Sostenible.

En el ámbito europeo, la Directiva 95/46/CE del Parlamento Europeo y del Consejo de


24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos fue la determinante para
la promulgación de nuestra Ley Orgánica actual. Dicha Directiva ha quedado derogada el 25
de mayo de 2018 por efecto de la Disposición Final contenida en el artículo 94 del nuevo
Reglamento General de Protección de Datos de 2016, al que nos referimos en líneas
siguientes.

Al margen de distintas Directivas que contemplan aspectos parciales de la protección de


datos, sobre todo en el ámbito de las comunicaciones electrónicas, las normas esenciales en la
materia en la Unión Europea son las dos siguientes:

4
 El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos (Reglamento
General de Protección de Datos)
 Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por parte de las autoridades competentes para fines
de prevención, investigación, detección o enjuiciamiento de infracciones penales o
de ejecución de sanciones penales, y a la libre circulación de dichos datos

El Reglamento 2016/679 está en vigor desde mayo de 2016, pero resulta obligatorio en todos
sus elementos y directamente aplicable en cada Estado miembro desde el 25 de mayo de
2018.
En este Curso analizaremos la normativa establecida en la materia por el Reglamento de la
Unión Europea ya directamente aplicable, si bien lo acompañaremos de las disposiciones más
destacadas de la Ley española que, mientras no se sustituida por el nuevo texto que está
siendo tramitado por las Cortes Generales, resulta aplicable en lo que no se oponga al
Reglamento.

Como ya hemos referido en párrafos anteriores, el derecho fundamental a la


protección de datos comparte artículo con el derecho a la intimidad y se trata de conceptos no
siempre fácilmente diferenciables. El Tribunal Constitucional abordó el tema de la diferencia entre
ambos al establecer que “ambos comparten el objetivo de ofrecer una protección constitucional de la
vida privada y familiar”, pero reconoce distinta función a uno y otro. Para el derecho a la protección
de datos afirma que “atribuye a su titular el poder jurídico de imponer a terceros la realización u
omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley”.
Mientras el derecho a la intimidad trata de proteger de cualquier invasión que pueda realizarse en el
ámbito de la vida personal o familiar, como también ha establecido el Tribunal Constitucional, el
derecho a la protección de datos persigue “garantizar a la persona un poder de control sobre sus
datos personales” con la finalidad de evitar su uso ilícito y lesivo.

5
Prueba también de esta diferenciación es la regulación jurídica separada de ambos, puesto que el
derecho a la intimidad recibe tratamiento específico en la Ley Orgánica 1/1982, de 5 de mayo, de
Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.
Partiendo pues de estas consideraciones podemos afirmar que el concepto básico en materia de
protección de datos es la llamada “Privacidad “, que podemos definir como el:

Conjunto de rasgos y facetas de la personalidad humana que, relacionadas entre sí,


pueden proporcionar un perfil de la personalidad del individuo, que éste tiene derecho a
mantener reservado

Un elemento también fundamental a la hora de configurar el objeto de protección es la finalidad


básicamente económica que preside los procesos de captación, uso y tratamiento de los datos de
carácter personal, y que no tienen que estar presentes necesariamente en las violaciones del derecho a
la intimidad (por ejemplo el que una persona, por simple curiosidad, lea la correspondencia de otra sin
autorización supone un ataque a su intimidad y puede que no se persiga ninguna utilidad o beneficio
económico para quien así actúa).
En definitiva, el concepto de privacidad y, en general, la regulación del tema de la protección de datos,
trata de suministrar al ciudadano las herramientas que le permitan controlar los usos y finalidades
a los que se destina la información personal, y, en consecuencia, poder mostrarse disconforme con
los destinos y tratamientos que desee rechazar.

Tanto la Ley Orgánica de Protección de Datos, en su artículo 3º, como su Reglamento de


desarrollo (Real Decreto 1720/2007) en su artículo 5º recogen una serie de definiciones
que tienen por objeto precisar, a efectos legales, los conceptos más frecuentes utilizados en
materia de protección de datos.
Algunos de ellos hacen referencia a los sujetos intervinientes y otros a la materia sobre la que
recae el tratamiento y a las diversas operaciones que se realizan con los datos.
Algunos de estos conceptos son muy similares a los recogidos en el Reglamento de la Unión
Europea. En ocasiones se trata de las mismas figuras con distinta denominación, pero, en
algunos casos, el Reglamento de la Unión introduce nuevas figuras. Es lo que ocurre, por
ejemplo, con el delegado de prevención.

6
Las figuras nuevas se incorporan a nuestra legislación. En los demás casos tendremos que
acostumbrarnos a designarlas con las denominaciones que se harán comunes a los diversos
Estados Europeos.
Expondremos pues, a continuación, la materia de los sujetos de la Protección de Datos
atendiendo al Texto Europeo.

Intimidad/Protección de Datos
Es aquel espacio o La Privacidad en c ambio,

P.D.
intimidad

esf era vital donde las es más amplia, m ás


personas desarrollamos global, es el c onjunto de
aquellas actividade s más facetas de nuestra
singularmente reservadas personalidad, que
de nuestras vidas, aisladame nte
nuestro domicilio, consideradas, pueden
nuestras carecer de significaci ón
comunicaciones,... importante, pero que,
Es por tanto, esa coherentemente
pequeña esfera privada enlazadas entre sí,
que diferenciamos de la pueden arrojar un retrato
pública, y que est á de la personalidad de un
protegida por ley para individuo que éste tiene
que nadie, sin nuestro derec ho a mantener
consentimiento, pueda reservado.
acceder a ella.

PD carácter personal

Como hemos anticipado la principal novedad en relación con los sujetos de la protección de
datos que contiene el Reglamento europeo es la figura del Delegado de Protección de Datos
(DPO, por sus siglas en inglés). Dicha figura será obligatoria para la Administración y para
empresas que cumplan determinados requisitos, fundamentalmente, que realicen una
monitorización periódica y sistemática de datos a gran escala (estudios de solvencia,
mercados, riesgos…) o gestionen datos de categorías especiales (datos considerados
sensibles). De ella nos ocuparemos más adelante en este Curso.
Ahora nos interesa conocer los sujetos fundamentales de la protección de datos.
El Reglamento contiene en su artículo 4º un glosario de términos. De entre ellos afectan
al “Quién” de la protección de datos los siguientes:

7
Responsable del tratamiento o Responsable: la persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento; si el Derecho de la Unión o de los Estados miembros
determina los fines y medios del tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión
o de los Estados miembros
Encargado del tratamiento o Encargado: la persona física o jurídica, autoridad
pública, servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento
Destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo
al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se
considerarán destinatarios las autoridades públicas que puedan recibir datos personales
en el marco de una investigación concreta de conformidad con el Derecho de la Unión
o de los Estados miembros; el tratamiento de tales datos por dichas autoridades
públicas será conforme con las normas en materia de protección de datos aplicables a
los fines del tratamiento
Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del
interesado, del responsable del tratamiento, del encargado del tratamiento y de las
personas autorizadas para tratar los datos personales bajo la autoridad directa del
responsable o del encargado

A los anteriores elementos personales que son los esenciales añade el Reglamento
comunitario los siguientes:
Representante: persona física o jurídica establecida en la Unión que, habiendo sido
designada por escrito por el responsable o el encargado del tratamiento represente al
responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud
del presente Reglamento
Empresa: persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o asociaciones que
desempeñen regularmente una actividad económic
Grupo empresarial: grupo constituido por una empresa que ejerce el control y sus
empresas controladas

8
Autoridad de control: la autoridad pública independiente establecida por un Estado
miembro.
Autoridad de control interesada: la autoridad de control a la que afecta el tratamiento
de datos personales debido a que:
a) el responsable o el encargado del tratamiento está establecido en el territorio del
Estado miembro de esa autoridad de control;
b) los interesados que residen en el Estado miembro de esa autoridad de control se
ven sustancialmente afectados o es probable que se vean sustancialmente afectados por
el tratamiento, o
c) se ha presentado una reclamación ante esa autoridad de control

De esta segunda enumeración de elementos personales destaca, sobre todo, la


autoridad de control interesada que supone una extensión de la competencia
original de los órganos nacionales de control.
En nuestro país, la Agencia Española de Protección de Datos, como veremos a lo
largo de este manual, realiza las funciones de control a que se refiere el Reglamento.

A todos los anteriormente enumerados añade el Reglamento los servicios de la


sociedad de la información y las organizaciones internacionales.

El nuevo Reglamento General de Protección de Datos recoge también en su artículo 4º una


serie de definiciones relacionadas con el “qué” de la protección de datos. En la siguiente tabla
recogemos las más destacables.

Datos personales: toda información sobre una persona física identificada o


identificable (el interesado); se considerará persona física identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona
 Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre
datos personales o conjuntos de datos personales, ya sea por procedimientos

9
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación
de acceso, cotejo o interconexión, limitación, supresión o destrucción
 Limitación del tratamiento: el marcado de los datos de carácter personal
conservados con el fin de limitar su tratamiento en el futuro
 Elaboración de perfiles: toda forma de tratamiento automatizado de datos
personales consistente en utilizar los datos para evaluar determinados aspectos
personales de una persona física, en particular para analizar o predecir aspectos
relativos al rendimiento profesional, situación económica, salud, preferencias
personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de
dicha persona física
 Seudonimización: el tratamiento de datos personales de manera tal que ya no
puedan atribuirse a un interesado sin utilizar información adicional, siempre
que dicha información adicional figure por separado y esté sujeta a medidas
técnicas y organizativas destinadas a garantizar que los datos personales no se
atribuyan a una persona física identificada o identificable. Es lo que la Ley
española llama “dato disociado”.
Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a
criterios determinados, ya sea centralizado, descentralizado o repartido de forma
funcional o geográfica
 Datos genéticos: datos personales relativos a las características genéticas
heredadas o adquiridas de una persona física que proporcionen una información
única sobre la fisiología o la salud de esa persona, obtenidos en particular del
análisis de una muestra biológica de tal persona
 Datos biométricos: datos personales obtenidos a partir de un tratamiento
técnico específico, relativos a las características físicas, fisiológicas o
conductuales de una persona física que permitan o confirmen la identificación
única de dicha persona, como imágenes faciales o datos dactiloscópicos
Consentimiento del interesado: toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen

10
Aunque los conceptos esenciales: datos, tratamientos,… se recogen en términos muy
similares a como lo hace nuestra Ley Orgánica, sí puede destacarse el concepto de
“identificador” como determinante para la identificación de la persona física. Igualmente,
puede destacarse que, al definir el “fichero”, se incide en su organización y los criterios
para la misma.

Entre los diversos tipos de “datos sensibles” o “especiales”, de acuerdo con el estado de la
ciencia y la técnica, introduce el Reglamento los biométricos y los genéticos.
Será preciso también, familiarizarse con términos distintos de los contenidos en la Ley
española pero que designan la misma realidad, así ocurre con la “anonimización” que
alude al proceso de lo que nosotros denominamos “disociación”. O, igualmente, la
“limitación del tratamiento” similar a lo que nosotros denominamos “bloqueo”.
También debemos destacar, como haremos con mayor profundidad en otros lugares de este
manual, la definición que da el Reglamento sobre el consentimiento del
interesado y que constituye una de las novedades destacables del Texto. En efecto, exige,
con carácter general, que el consentimiento sea claramente inequívoco, debiendo ser
explícito cuando se trate de “datos sensibles”.

La comprensión, al menos inicial, de estos conceptos nos va a permitir abordar la


materia y conocer de qué hablamos cuando hablamos de protección de datos.

11
Como ya hemos comentado al inicio de este Manual, el precepto constitucional que alude a
la protección de datos de carácter personal, el artículo 18.4. fue desarrollado en el año
1992 a través de la Ley Orgánica de Regulación del Tratamiento Automatizado de los
Datos de carácter Personal, LO 5/1992, de 29 de octubre. Esta primera regulación se
caracterizaba por circunscribirse exclusivamente a los ficheros de carácter automatizado
sin extender su regulación, y, por tanto, sus garantías, a ficheros manuales.

La referida carencia, unida al desarrollo espectacular de las Nuevas Tecnologías en los


últimos años y a la creación de un marco de referencia comunitario, llevaron al legislador
español, en 1999, a la promulgación de una nueva regulación sobre la materia.

En efecto, antecedente esencial de la misma fue la Directiva 95/47/CE, del Parlamento


Europeo y del Consejo, de 24 de octubre 1995. La Directiva tuvo por objeto el
establecimiento de un marco jurídico de alta protección, equiparable en todo el espacio de la
Unión Europea, estableciendo límites estrictos en las operaciones de obtención, uso,
tratamiento y transferencia. Exigió, además, la creación en cada Estado miembro de un
órgano independiente que asumiera las funciones de control.

12
Dicha exigencia fue cumplida en nuestro país con la creación de la Agencia Española de
Protección de Datos (AEPD) regulada por Real Decreto 428/1993, de 26 de marzo, que
aprueba su Estatuto. (A ella nos referiremos más adelante en este Manual).

Como también conocemos ya, en el año 2007 se produjo el desarrollo de la misma a través del
Real Decreto 1720/2007, de 21 de diciembre. El texto mismo vino a derogar el Reglamento
del 99, de medidas de seguridad de los ficheros automatizados y otro anterior del 94 de
desarrollo parcial de la Ley Orgánica del 92 ya mencionada. Diversas sentencias del Tribunal
Supremo de 2010 y 2012 anularon varios de sus preceptos y fue parcialmente modificado por
Real Decreto 3/2010.

El Reglamento de desarrollo de la Ley incide, sobre todo, en el ámbito de las medidas de


seguridad.
Hemos afirmado, en líneas anteriores, que la LO actualmente vigentes es producto de la
necesidad de trasponer a nuestro ordenamiento jurídico la Directiva 95/47/CE. Pero, como
sabemos, la utilización de la técnica de la Directiva por la Unión Europea obliga a los
Estados miembros en cuanto a las finalidades perseguidas pero no en lo que hace a los medios
elegidos para conseguirlas. Ello la ha revelado como instrumento insuficiente para hacer
realidad un marco comunitario común de protección. Es por esa razón que, desde el año
2012, se ha venido trabajando en un nuevo conjunto normativo en el ámbito de la Unión que
ha culminado en el reiterado Reglamento General de Protección de Datos y la también
mencionada Directiva sobre los datos personales en el marco de la cooperación policial y
judicial.
Recordamos:
 El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por el que
se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)
• Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por parte de las autoridades competentes para fines de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de
ejecución de sanciones penales, y a la libre circulación de dichos datos

13
Como sabemos, los Reglamentos comunitarios son directamente aplicables a todos
los Estados miembros. Así, el artículo 99 del mismo, dedicado a su entrada en vigor
y aplicación establece:
1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el
Diario Oficial de la Unión Europea.
2. Será aplicable a partir del 25 de mayo de 2018El presente Reglamento será
obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

La publicación del mismo en el DOUE se produjo el 4 de mayo de 2016.


De esta manera, desde el 25 de mayo pasado, el Reglamento comunitario
constituye nuestra norma esencial, aunque todavía acompañado, en aquello que
no le sea contrario y mientras se aprueba la nueva Ley, de la actual Ley
Orgánica de Protección de Datos de 1999.

El ámbito de aplicación de la normativa sobre Protección de Datos ha experimentado una


ampliación, sobre todo territorial, con el Reglamento de la UE, como veremos más adelante.

Dedica la Ley actual su art. 1º a definir el objeto de protección de la misma que constituye
su base y justificación: “...garantizar y proteger, en lo que concierne al tratamiento de los
datos personales, las libertades públicas y los derechos fundamentales de las personas
físicas, y especialmente de su honor e intimidad personal y familiar”.

Al ámbito de aplicación dedica la Ley su art. 2º. Con carácter general, determina que la
Ley será aplicable a datos de carácter personal registrados en soporte físico (se incluyen
por tanto los ficheros automatizados como en la Ley anterior pero también los no
automatizados o manuales) y se incluye toda modalidad posterior de uso de los mismos por
los sectores públicos o privados.
Así pues mientras, desde el punto de vista objetivo, la Ley asume la regulación y protección
de los datos cualquiera que sea el tipo de soporte físico que los contenga, desde el punto de
vista subjetivo extiende sus normas tanto al ámbito público como al privado, si bien, como
veremos, contiene algunas reglas específicas y diferenciadas para ficheros de titularidad
pública y para los de titularidad privada.

14
Dentro del mismo precepto, el ámbito de aplicación se precisa mediante el establecimiento
de una triple clasificación de los tratamientos de datos personales, según que les sea
aplicable de forma directa la Ley, queden excluidos de su regulación o se rijan por su
normativa específica y por lo previsto especialmente por la Ley para cada caso.
Es en esta materia donde se han producido los mayores cambios con el Reglamento Europeo
pues éste extiende su ámbito de aplicación con independencia de dónde (dentro o fuera de la
Unión) se realice el tratamiento a la protección de los datos de ciudadanos que residan en el
territorio de la Unión.
Como ahora veremos, el elemento del lugar en que se realice el tratamiento y el de si el
responsable tiene o no establecimiento en nuestro país no son determinantes a la vista de la
regulación contenida en el nuevo Reglamento.
Nos centramos a continuación en el ámbito de aplicación territorial y material del Reglamento
comunitario.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El nuevo Reglamento General de Protección de Datos (Reglamento (UE) 2016/679
tiene, entre sus objetivos en esta materia, ampliar el ámbito de aplicación territorial de
la normativa europea, extendiéndolo a quienes, sin estar establecidos en el territorio de
la UE, tratan datos personales de ciudadanos europeos al dirigir sus bienes o servicios a
los mismos.

Así, su artículo 3, bajo la rúbrica “Ámbito territorial” determina:

1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto


de las actividades de un establecimiento del responsable o del encargado en la
Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El presente Reglamento se aplica al tratamiento de datos personales de interesados
que residan en la Unión por parte de un responsable o encargado no establecido en la
Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión,
independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la

15
Unión.
3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un
responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de
los Estados miembros sea de aplicación en virtud del Derecho internacional público

En cuanto al “Ámbito material de aplicación”, de acuerdo con su artículo 2ºdel


Reglamento comunitario:

Se aplica a tratamientos automatizados y a los no automatizados de datos personales


contenidos o destinados a ser incluidos en un fichero
Y excluye los siguientes tratamientos:
 Los que se desarrollan en el ejercicio de actividades no comprendidas en el ámbito
de aplicación del Derecho de la UE
 Los realizados por los Estados miembros en el ejercicio de actividades de Política
Exterior y Seguridad Común
 Los realizados por personas físicas en el ejercicio de actividades exclusivamente
personales o domésticas
 Los realizados por las autoridades competentes con fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales, o de ejecución
de sanciones penales, incluida la de protección frente a amenazas a la seguridad
pública y su prevención

Finalmente es preciso determinar, al hablar del ámbito de aplicación de la


Ley, quién o quiénes son los sujetos a los que se dirige su acción protectora. Se trata
exclusivamente de las personas físicas, no de las personas jurídicas. La información
generada por éstas sobre sus procesos productivos, gestión o actividades comerciales son
objeto de protección en nuestro ordenamiento jurídico a través de normas como las que
regulan los derechos de propiedad industrial e intelectual, o las dedicadas al tema de la
competencia desleal.

16
Así resulta tanto de la Ley española como del Reglamento. La primera, en su artículo 3º
recoge un glosario de los términos esenciales en la materia (como ya vimos). La primera de
esas definiciones es la relativa a lo que se ha de considerar “datos de carácter personal”.
Establece dicho precepto que por tal se entiende “cualquier información concerniente a
personas físicas identificadas o identificables”. El Reglamento de desarrollo de la Ley
completa la definición en su art. 5, estableciendo que son datos de carácter personal
“Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier
otro tipo concerniente a personas físicas identificadas o identificables”. El Reglamento se
pronuncia también sobre la exclusión expresa de los datos de las personas jurídicas y
precisa que tampoco quedarían incluidos en el ámbito de la Ley los ficheros que se limitan a
incorporar datos de las personas físicas que prestan servicios en el ámbito de una
persona jurídica, si bien sólo extiende la exclusión cuando tales datos consistan únicamente
en nombre y apellidos, puestos o funciones, direcciones postal y electrónica, teléfono y fax
profesionales. Igualmente, se excluyen los ficheros de datos relativos a empresarios
individuales, cuando hagan referencia a ellos en su condición de comerciantes, industriales o
navieros.

En cuanto al polémico tema de los datos pertenecientes a personas fallecidas: no les será
de aplicación la Ley porque, jurídicamente, la muerte produce la pérdida de los derechos
personales de privacidad, si bien se prevé que sus allegados puedan comunicar el
fallecimiento al responsable del fichero donde consten los datos con objeto de obtener su
cancelación.

LA LEY ORGÁNICA 15/1999, DE 13 DE


DICIEMBRE. ÁMBIT O DE APLICACIÓN

Los casos de
trabajadores
y autónomos
Sujetos El c aso de
incluidos y personas
exc luidos fallecidas

Ámbito
subjetivo
de
aplicación

PD carácter personal

17
Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)
Como ya vimos en el módulo anterior, el Reglamento General de Protección de Datos
recoge también en su artículo 4º una serie de definiciones entre las que figura la de
“dato de carácter personal” donde se subraya que ha de tratarse de “información sobre
una persona física identificada o identificable (el interesado); se considerará persona
física identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un
nombre, un número de identificación, datos de localización, un identificador en línea o
uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona”

Al hilo de la pegunta anterior, relativa al ámbito de aplicación de la Ley, se hace necesario


precisar los conceptos de los sujetos protagonistas de la misma. Dentro del Glosario de
términos del módulo 1 han sido ya analizados los sujetos básicos en materia de protección.
Nos limitaremos aquí a recordar y tratar de explicar las tres figuras esenciales: El responsable
del fichero, el encargado del tratamiento y el afectado o interesado.
Las diferencias entre nuestra normativa interna y el Reglamento comunitario no son
relevantes en esta materia en lo que se refiere al concepto de estas tres figuras.

 El Responsable del Fichero: Como ya vimos, el art. 3 de la Ley habla del


responsable del fichero o tratamiento como “la persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad,

18
contenido y uso del tratamiento”. Podríamos afirmar que se trata del titular del
fichero, de algún modo “el propietario” del soporte donde constan los datos, que no de
los datos mismos: estos siguen siendo siempre de la persona a que se refieren
(afectado o interesado).

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


Como ya vimos en el módulo anterior, el Reglamento General de Protección de Datos
recoge también en su artículo 4º la definición del que denomina “responsable del
tratamiento”, o, simplemente “responsable” cuya cualidad viene determinada por el
poder de decisión sobre los fines y medios del tratamiento.

El Reglamento comunitario dedica al responsable del tratamiento varios preceptos


para determinar su responsabilidad y corresponsabilidad en el caso de que dos o
más responsables determinen conjuntamente los objetivos y los medios del
tratamiento.
Al fijar la responsabilidad del mismo introduce alguna de sus novedades destacadas:
el principio de “privacidad desde el diseño” y “por defecto”, así como la
“aproximación basada en el riesgo”. Novedad importante es también la llamada
“responsabilidad proactiva” que supone una inversión de la carga de la prueba, al
exigir al responsable demostrar, con las medidas técnicas y organizativas adoptadas,
que se está cumpliendo el Reglamento.
Así, establece el Reglamento comunitario como responsabilidades del responsable
del tratamiento:

Aplicación de las medidas técnicas y organizativas apropiadas a fin de garantizar y


poder demostrar que el tratamiento es conforme con el presente Reglamento. Y
ello teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento
así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades
de las personas físicas. Dichas medidas habrán de ser revisadas y actualizadas cuando
sea necesario.
Entre las medidas se recogen las políticas de protección de datos y la posible adhesión

19
a códigos de conducta o certificación
Protección de datos desde el diseño: adopción de medidas técnicas y organizativas
apropiadas, tanto en el momento de elección de los medios de tratamiento como en el
propio tratamiento, en función del estado de la técnica, el coste de la aplicación y la
naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa
probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las
personas físicas.
Entre las medidas se cita la seudonimización y la minimización. Recordemos que la
primera supone el tratamiento de datos personales de manera tal que ya no puedan
atribuirse a un interesado sin utilizar información adicional, siempre que dicha
información adicional figure por separado y esté sujeta a medidas técnicas y
organizativas destinadas a garantizar que los datos personales no se atribuyan a una
persona física identificada o identificable (similar a la figura de la disociación en la
Ley española). La minimización supone recoger y tratar sólo los datos necesarios en
relación a los fines para los que son tratados (en nuestra Ley formaría parte del llamado
“principio de calidad de los datos”).
Protección “por defecto”: aplicación de las medidas técnicas y organizativas
apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los
datos personales necesarios para cada uno de los fines específicos del tratamiento.
Corresponsabilidad: cuando dos o más responsables determinen conjuntamente los
objetivos y medios de tratamiento serán considerados corresponsables y deberán
determinar de mutuo acuerdo sus respectivas responsabilidades.

Cada responsable y, en su caso, su representante llevarán un registro de las actividades de


tratamiento efectuadas bajo su responsabilidad.

 El Encargado del tratamiento: Según el mismo art. 3 de la Ley es “la persona física
o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o
conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento”. Se trataría así de la figura que realiza las operaciones y
procedimientos sobre los datos. Dicho encargado puede ser el propio responsable del
fichero, pero, más comúnmente, se trata de un tercero que, en virtud de un contrato
con el responsable del fichero, realiza las operaciones que se le encomiendan sobre los
datos. Son los tratamientos por cuenta de terceros a que se refiere el art. 12 de la

20
Ley, exigiendo, como hemos comentado, la existencia de una relación contractual que
establecerá las operaciones a realizar por el encargado del tratamiento y las
instrucciones a que habrá de sujetarse estrictamente en su ejecución. Exige además el
precepto que, una vez cumplida la prestación pactada, los datos sean destruidos o
devueltos al responsable del tratamiento.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


Como ya vimos en el módulo anterior, el Reglamento General de Protección de Datos
recoge también en su artículo 4º la definición del que denomina “encargado del
tratamiento”, o, simplemente “encargado” quien trata los datos por cuenta del
responsable del tratamiento.

La figura del encargado es contemplada en el Reglamento comunitario en su art. 28,


pudiendo destacarse las siguientes prescripciones básicas:

Se elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar


medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea
conforme con los requisitos del Reglamento y garantice la protección de los derechos
del interesado
El encargado del tratamiento no recurrirá a otro encargado sin la autorización
previa por escrito, específica o general, del responsable
El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con
arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado
respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad
del tratamiento, el tipo de datos personales y categorías de interesados, y las
obligaciones y derechos del responsable
Si un encargado del tratamiento infringe el presente Reglamento al determinar los
fines y medios del tratamiento, será considerado responsable del tratamiento con
respecto a dicho tratamiento
Cada encargado y, en su caso, su representante llevarán un registro de todas las
actividades de tratamiento efectuadas por cuenta de un responsable.

21
Finalmente, se establece la obligación tanto del responsable como del encargado (o,
en su caso, sus representantes) de colaborar con la autoridad de control que lo
solicite en el ejercicio de sus funciones.

 Afectado o interesado: es definido en el mismo art. 3 de la Ley como la persona


física titular de los datos que sean objeto de tratamiento. En efecto, como ya
hemos visto, la Ley protege únicamente los datos personales de las personas físicas y
no de las jurídicas.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


Como también vimos en páginas anteriores, el Reglamento comunitario le denomina
simplemente “interesado”, e, igualmente, atribuye tal condición sólo a las personas
físicas.

Terminaremos nuestro análisis del ámbito objetivo y subjetivo de aplicación de la normativa


de protección de datos haciendo referencia al régimen de los ficheros incluidos en la misma,
tanto desde el punto de vista de su titularidad, como hacemos ahora, como desde el punto
de vista de la forma de llevanza y organización y los medios empleados para ello.
Como ya hemos reiterado, la Ley Orgánica es aplicable tanto a ficheros de titularidad pública
como privada, si bien su Título IV bajo la denominación “Disposiciones sectoriales” dedica
normas específicas a la regulación de unos y otros.
 Ficheros de Titularidad Pública: Para este tipo (ya definido en el glosario de
términos del Módulo anterior) establece la Ley normas especiales en lo relativo a su

22
creación, modificación y supresión y en materia de comunicación de datos entre las
distintas Administraciones Públicas, así como una serie de excepciones particulares a
determinados derechos de los afectados en relación con los datos contenidos en estos
ficheros. Por lo que respecta a la creación de los mismos (o su modificación o
supresión), el art. 20 de la Ley exige disposición general que ha de publicarse en el
boletín oficial correspondiente (el Reglamento exige que dicha disposición sea
dictada y publicada con carácter previo a la creación, modificación o supresión del
fichero). Para las disposiciones de creación y modificación de los ficheros públicos se
exige un contenido mínimo en el que deberá indicarse:

•Finalidad del fichero y usos previstos.


•Personas sobre las que se pretenda obtener datos o estén obligados a suministrarlos.
•Procedimiento de recogida.
•Estructura del fichero y tipos de datos.
•Cesiones y transferencias.
•Órganos responsables del fichero.
•Servicios y unidades ante los que se puedan ejercer los derechos de acceso,
rectificación, cancelación y oposición
•Medidas de seguridad, con indicación de los niveles exigibles.

Para las disposiciones de supresión se exige la constancia del destino de los datos o, en su
caso, las previsiones para su destrucción.
En materia de comunicación de datos a otras Administraciones Públicas, se prohíbe para
el ejercicio de competencias diferentes o que versen sobre materias distintas, salvo en
aquellos casos en que la comunicación tenga por objeto el tratamiento posterior de los datos
con fines históricos, estadísticos o científicos. Sí pueden ser objeto de comunicación los datos
que una Administración obtenga o elabore con destino a otra.

En los últimos años, el Tribunal de la Unión Europea ha emitido varias sentencias que
limitan la cesión de datos entre las Administraciones Públicas. Así, en sentencia de 1 de
octubre ha establecido, de forma tajante, que “las personas cuyos datos personales son objeto
de transmisión y de tratamiento entre dos administraciones públicas de un Estado miembro
deben ser informadas de ello previamente” y concluye que “el Derecho de la Unión se opone

23
a que dos administraciones públicas de un Estado miembro se transmitan y traten datos
personales sin que los interesados hayan sido previamente informados de ello”.

Especial referencia contiene la Ley en su art. 22, dentro también de las disposiciones
específicas sobre ficheros públicos, a los Ficheros de las Fuerzas y Cuerpos de Seguridad.
Se establece la sujeción a las normas de la Ley de los ficheros creados por dichos Cuerpos y
Fuerzas de Seguridad que contengan datos personales que deban ser objeto de registro
permanente por haber sido recogidos para fines administrativos. Se limita la recogida y uso de
datos personales para fines policiales sin consentimiento del afectado a los supuestos de
peligro real para la seguridad pública y represión de las infracciones penales. Los datos
especialmente protegidos (también llamados datos sensibles) sólo podrán ser recogidos y
tratados por las Fuerzas y Cuerpos de Seguridad para los fines de una investigación concreta.
Finalmente, el precepto siguiente (art. 23) permite la denegación de los derechos de acceso,
rectificación o cancelación de los datos contenidos en los ficheros de las Fuerzas y Cuerpos
de Seguridad en caso de peligro para la defensa del Estado, seguridad pública, derechos y
libertades de terceros o necesidades de la investigación.
En esta materia debemos estar a lo dispuesto también en la ya mencionada Directiva (UE)
2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales por
parte de las autoridades competentes para fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre
circulación de dichos datos. La incorporación de sus preceptos se hará en la nueva Ley de
Protección de Datos actualmente en trámite parlamentario.

La excepción anterior puede hacerse extensiva a los ficheros de la Hacienda Pública para
impedir que se obstaculicen las actuaciones tendentes al cumplimiento de las obligaciones
tributarias y en el supuesto de actuaciones de inspección.
En las dos excepciones recogidas (ficheros de las Fuerzas y Cuerpos de Seguridad y ficheros
de la Hacienda Pública) se reconoce al afectado el derecho a ponerlo en conocimiento de la
Agencia Española de Protección de Datos (u organismo competente en la Comunidad
Autónoma, en su caso) con objeto de que pueda determinarse la procedencia o no de tal
denegación. Finalmente, el art. 24 excepciona el derecho de información previa en la
recogida de datos cuando ello pueda impedir o dificultar las funciones de control y

24
verificación de las Administraciones Públicas o afecte a la Defensa Nacional, seguridad
pública o persecución de infracciones penales.

 Ficheros de titularidad privada: (También definidos anteriormente en el


módulo 2 de este temario), por lo que hace a estos ficheros, el art. 25 de la Ley
circunscribe su creación a los supuestos en que sean necesarios para el logro
de la actividad de la persona o empresa titular, siempre que se respeten las
garantías establecidas por la Ley. Exige la notificación previa a la Agencia
Española de Protección de Datos a efectos de su inscripción, y la información
a los afectados en el momento en que se efectúe la primera cesión de los datos.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El Reglamento de la Unión no contiene normas específicas en atención al carácter
público o privado de los responsables o encargados de los ficheros. Simplemente, al
definirlos, habla de “persona física o jurídica, autoridad pública, servicio u otro
organismo”

Como ya hemos visto en páginas anteriores, la primera Ley española de protección de datos,
fue publicada como “Ley Orgánica 5/1992, de regulación del tratamiento automatizado de
datos de carácter personal”.
La propia denominación de la Ley actual pone de manifiesto el cambio de orientación: Ley
Orgánica de Protección de Datos de Carácter Personal”. En efecto, la actual no limita el
ámbito de actuación a los tratamientos y ficheros automatizados. El concepto de fichero:
“todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso”, y el de tratamiento:
“operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones, consultas,

25
interconexiones y transferencias” afectan también a tratamientos manuales sobre ficheros en
cualquier tipo de soporte.
La LOPD estableció un período transitorio (que finalizó en octubre de 2007) para la
inclusión de los ficheros manuales en su ámbito de aplicación. En la actualidad, el
Reglamento de desarrollo de la Ley ha establecido su inclusión expresa y ha fijado criterios
específicos sobre medidas de seguridad para los mismos.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El Reglamento General de Protección de Datos, por su parte, deja también clara la
inclusión de ficheros y procedimientos de tratamiento tanto automatizados como
manuales.
Concretamente, la inclusión de los tratamientos de ambos tipos abre su artículo 2º, al
establecer: “El presente Reglamento se aplica al tratamiento total o parcialmente
automatizado de datos personales, así como al tratamiento no automatizado de
datos personales contenidos o destinados a ser incluidos en un fichero”
Así resulta también en las definiciones de su artículo 4 cuando define el “tratamiento”
como “cualquier operación o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales, ya sea por procedimientos automatizados o no…”

26
Aunque otra cosa pudiera parecer, la fijación de los principios básicos que presiden tanto la
Ley como su desarrollo reglamentario y, más recientemente, el Reglamento comunitario
constituye un elemento fundamental que hace reconocible lo que hoy llamamos la “filosofía”
de la norma o, de forma clásica, “el espíritu de la Ley”. Ello permite la interpretación de los
preceptos legales y reglamentarios y la solución de dudas y cuestiones que las normas no han
resuelto de forma expresa.
Para tener una visión global de los mismos enumeraremos los principios rectores básicos de
nuestra normativa interna y los que viene a introducir el nuevo Reglamento comunitario.
En la imagen que mostramos a continuación aparecen recogidos los principales principios
básicos enunciados en la LOPD y su reglamento de desarrollo:

Principios de la Protección de Datos


INFORMACIÓN EN
CALIDAD DAT OS
LA RECOGIDA ESPECIALMENT E
CONSENT IMIENT O
PROT EGIDOS

ACCESO
SEGURIDAD POR
COMUNICACIÓN
CUENT A DE
SECRET O T ERCEROS
PD carácter personal 11

11

27
Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)
Por su parte el Reglamento General de Protección de Datos dedica su capítulo II a los
“Principios”. Pero, además, la propia existencia del Reglamento pone de relieve el
principal de entre esos principios, que, en palabras del Catedrático Piñar Mañas, se
formularía así: “Un continente, una norma”: la nueva normativa establece un único
conjunto de normas aplicable en el conjunto de la Unión Europea. Y, aún más allá, las
empresas radicadas fuera de la Unión deberán aplicar las mismas reglas cuando
ofrezcan sus servicios en la Unión Europea.
Enumeraremos a continuación los principios relativos al tratamiento que recoge el art.
5 del Reglamento comunitario, aunque el precepto no agota todos los principios
rectores que regula el texto europeo. Algunos como “la privacidad desde el diseño” ya
han sido mencionados en páginas anteriores y otros, como la “ventanilla única” lo
serán más adelante en relación con las autoridades de supervisión.

Los principios relativos al tratamiento del Reglamento europeo son, en esencia,


equivalentes, como veremos al estudiar cada uno, a los principios de calidad y
seguridad de la normativa española:
Se trata de los siguientes:
Principios de Licitud, lealtad y transparencia en el tratamiento de los datos.
Se entiende por tratamiento lícito el que cumple alguna de las condiciones siguientes:
a) consentimiento del interesado
b) que el tratamiento sea necesario para la ejecución de un contrato en el que el
interesado es parte o para la aplicación a petición de éste de medidas precontractuales;
c) que el tratamiento sea necesario para el cumplimiento de una obligación legal
aplicable al responsable del tratamiento;
d) que el tratamiento sea necesario para proteger intereses vitales del interesado o de
otra persona física;
e) que el tratamiento sea necesario para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento.
f) que el tratamiento sea necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre

28
dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en
particular cuando el interesado sea un niño.

Principio de limitación de la finalidad: los datos han de ser recogidos con fines
determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera
incompatible con dichos fines, no considerándose incompatibles los tratamientos con
fines de archivo en interés público, fines de investigación científica e histórica o fines
estadísticos
Principio de minimización de datos: los datos serán adecuados, pertinentes y
limitados a lo necesario en relación con los fines para los que son tratados
Principio de exactitud: los datos serán exactos y, si fuera necesario, actualizados
Principio de limitación del plazo de conservación: los datos serán mantenidos de
forma que se permita la identificación de los interesados durante no más tiempo del
necesario para los fines del tratamiento; los datos personales podrán conservarse
durante períodos más largos siempre que se traten exclusivamente con fines de archivo
en interés público, de investigación científica o histórica o fines estadísticos
Principios de integridad y confidencialidad: los datos serán tratados de tal manera
que se garantice una seguridad adecuada de los datos personales, incluida la
protección contra el tratamiento no autorizado o ilícito y contra su pérdida,
destrucción o daño accidental
Principio de responsabilidad proactiva: nos referimos a él en páginas anteriores y
supone asignar la responsabilidad del cumplimiento de los principios anteriores y la
capacidad para demostrarlo al responsable del tratamiento.
Además de los anteriores, recoge el Reglamento principios relativos al
consentimiento o a las condiciones de seguridad de los datos y a los riesgos
(principio de aproximación basada en el riesgo) a los que nos iremos refiriendo al
abordar tales temas.
Recordamos que algunos de los principios novedosos introducidos por el texto
comunitario han sido ya abordados, así el principio de privacidad desde el diseño o
el de protección de datos por defecto.

Abordaremos a continuación en este módulo los principios básicos contenidos en la LOPD.

29
El Título II de la Ley 15/99 se ocupa de la materia que ahora abordamos, concretamente en
los artículos 4 al 12. Podemos enumerar como principios básicos que inspiran el régimen de
protección de los datos de carácter personal los siguientes:

 Principio de Calidad de los datos:


El denominado principio de calidad incluye tanto el contenido intrínseco y la extensión de los
datos que pueden ser recogidos como el aspecto externo o formal de los usos y finalidades de
que vayan a ser objeto.
Así, exige la Ley en primer lugar que los datos sean adecuados, pertinentes y no
excesivos en relación con el ámbito y finalidades para los que se hayan obtenido,
finalidades que, precisa el mismo precepto, han de ser legítimas y explícitas, es decir,
declaradas en el momento de la captación. Ello implica igualmente la prohibición de su
uso y tratamiento para finalidades distintas, aunque no se consideran tales las relativas al
tratamiento posterior para fines históricos, estadísticos o científicos. Se prohíbe la recogida
de datos por medios fraudulentos, desleales o ilícitos.
Exige, además, el principio de calidad la actualización permanente de los datos de forma
que respondan siempre a la verdadera situación del afectado. Así, el art. 11 del
Reglamento de desarrollo de la Ley legitima, cuando se formulen solicitudes por medios
electrónicos en las que el interesado declare datos personales que obren en poder de las
Administraciones Públicas, al órgano destinatario de la solicitud a practicar las verificaciones
necesarias para comprobar la autenticidad de los datos. Para ello dispone la cancelación y
sustitución de oficio de los datos cuando estos sean inexactos o incompletos. Esta cuestión es
especialmente relevante en los denominados “ficheros de impagos y solvencia patrimonial”
que constituyen buena parte de los expedientes tramitados en la Agencia Española de
Protección de Datos. El Reglamento, al abordar este tema concreto, ha introducido nuevas
garantías como la notificación de la inclusión, la cancelación inmediata una vez saldada la
deuda, con prohibición del denominado “saldo cero” y la responsabilidad del acreedor que
haya suministrado datos inexactos sobre la deuda.

30
La vinculación de los datos a la finalidad que determinó su recogida exige también la
cancelación de los mismos cuando dejen de ser necesarios para ello, si bien se
excepcionan los casos en que el cumplimiento de una obligación legal exija su
conservación más allá del tiempo necesario para cumplir la finalidad declarada. En estos
casos la Ley establece la disociación (procedimiento definido en el art. 3 como aquél que ha
de impedir que la información obtenida pueda asociarse a persona identificada o identificable)
del contenido de dichos datos respecto a la identificación de las personas a que se refieren, e
igualmente, permite la Ley la conservación, esta vez íntegra, atendidos los valores
históricos, estadísticos o científicos de los datos.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


Como hemos visto en páginas anteriores, el principio de calidad de nuestra Ley aparece
en el Reglamento recogido en tres principios: limitación de la finalidad, minimización
y exactitud

 Principio de Información en la Recogida de Datos:


Con la intención de hacer más clara y próxima la información que se proporciona a los
ciudadanos, el Reglamento incide de forma importante en este principio al que denomina
reiteradamente como “transparencia”
El artículo 5 de la Ley se ocupa de este principio básico estableciendo la obligación, en el
proceso de recogida de datos, de informar previamente a los interesados, de modo
expreso, preciso e inequívoco, de los siguientes extremos:

 Existencia del fichero o tratamiento, finalidad y destinatarios


 Carácter obligatorio o no de la respuesta
 Consecuencias de la obtención de los datos, y, en su caso, de la negativa a
suministrarlos
 Derechos de acceso, rectificación, cancelación y oposición (en la actualidad la
información sobre los derechos incluirá los incorporados por el Reglamento de la
Unión).
 Identidad y dirección del responsable del tratamiento, o en su caso, de su
representante.

31
La misma información debe constar, de forma claramente legible, en los cuestionarios o
impresos que puedan utilizarse para la recogida de la información.
Tal deber de información debe llevarse a cabo de forma que permita acreditar su
cumplimiento puesto que deberá ser conservado todo el tiempo que persista el tratamiento de
los datos.
Contempla también la Ley el caso de que los datos no hayan sido obtenidos directamente
del interesado y establece el deber de información expresa, precisa e inequívoca, dentro de
los 3 meses siguientes al momento del registro, deber que ha de hacer efectivo el responsable
del fichero o su representante, salvo que la información se hubiera producido con
anterioridad.
Se excepcionan de esta obligación los casos en que una Ley lo prevé expresamente,
tratamiento con fines históricos, estadísticos o científicos, los supuestos en los que dicha
información, a juicio de la AEPD (u organismo de la Comunidad Autónoma, en su caso)
resulte imposible o exija un esfuerzo desproporcionado, en atención al número de interesados,
antigüedad de los datos o posibles medidas compensatorias. Se excepciona también un
supuesto muy frecuente en la actualidad: el de datos procedentes de fuentes accesibles al
público destinados a actividades de publicidad o prospección comercial. En estos casos lo que
se exige es que, en cada comunicación que se dirija al interesado, se le notifique el origen de
los datos, la identidad del responsable del tratamiento y los derechos que le asisten.
El deber de información a que se refiere el art. 5 será igualmente exigible en las convocatorias
de oposiciones y en las licitaciones de contratos.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


La norma comunitaria alude a la información dentro de la regulación de los derechos
del interesado en su capítulo III.
En primer lugar se refiere a la transparencia en la información, al establecer que el
responsable del tratamiento tomará las medidas oportunas para facilitar al interesado
toda la información a que se refieren sus artículos 13 y 14, en forma concisa,
transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular
cualquier información dirigida específicamente a un niño. Los preceptos mencionados
aluden a la información que debe facilitarse al interesado cuando los datos se obtengan
del mismo y a la que ha de proporcionársele cuando no se obtengan de él,

32
respectivamente. La información será facilitada por escrito o por otros medios,
inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la
información podrá facilitarse verbalmente siempre que se demuestre la identidad del
interesado por otros medios.

Establece el Reglamento la posibilidad de que dicha información se preste en


combinación con un sistema de “iconos normalizados que permitan proporcionar de
forma fácilmente visible, inteligible y claramente legible una adecuada visión de
conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico
serán legibles mecánicamente”.
Sobre transparencia, información y su contenido volveremos a tratar en el Módulo 4 de
este Curso cuando contemplemos el proceso de implantación de la protección de datos.

 Principio del Consentimiento:


Buena parte de las novedades del Reglamento de la Unión se refieren, directa o
indirectamente, al consentimiento del interesado para el tratamiento de sus datos. En
especial, se trata del cambio fundamental de sentido del consentimiento, al exigirse
ahora que este se preste de forma expresa.
A ello nos referimos a continuación:
El art. 6 de la Ley se ocupa del tema del consentimiento del afectado, sus requisitos y
los supuestos en que no se precisa tal consentimiento.
Con carácter general se exige la prestación del consentimiento por parte del titular
de los datos para su tratamiento. Dicho consentimiento habrá de ser inequívoco. De
la conexión del precepto con otras referencias contenidas en la Ley, especialmente de la
definición del art. 3ª, podemos afirmar que dicho consentimiento implica una libre
manifestación de voluntad, inequívoca, específica y que sólo puede ser prestada
después de que el interesado haya recibido una información veraz y completa. Se
trata pues de lo que suele llamarse (especialmente en el ámbito sanitario)
“consentimiento informado”.
El art. 6 de la Ley contempla finalmente los supuestos en los que no sea necesario el
consentimiento para el tratamiento de los datos, estableciendo que, siempre que una

33
ley no disponga lo contrario, el interesado podrá oponerse en caso de que existan
motivos fundados y legítimos relativos a una concreta situación personal. Si ello se
produce, el responsable del fichero estará obligado a excluir del tratamiento los datos
del afectado.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


Bastantes cambios habrán de introducirse para la adaptación en esta materia a la nueva
norma de la Unión.
Comienza el Reglamento estableciendo la consideración del consentimiento como
uno de los supuestos en los que en los que el tratamiento es lícito (junto con la
ejecución de contratos, obligación legal, protección de interés vital, misión de interés
público e interés legítimo del responsable o tercero).
Establece las siguientes condiciones del consentimiento:
 Recae sobre el responsable la carga de probar que existió
 Si se da en el contexto de una declaración escrita que también se refiera a otros
asuntos, la solicitud de consentimiento se presentará de tal forma que se
distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso
y utilizando un lenguaje claro y sencillo
 Derecho del interesado a retirarlo en cualquier momento
En referencia al consentimiento de menores contempla el caso de la oferta directa a
niños de servicios de la sociedad de la información, estableciendo que el tratamiento
de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16
años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si
el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño,
y solo en la medida en que se dio o autorizó. Permite que los Estados miembros puedan
rebajar la edad no más allá de los 13 años.

En relación con el tema del consentimiento de menores, la normativa interna española


prohíbe recabar datos sobre menores de 14 años sin consentimiento de sus padres o
tutores, y establece que los menores de edad habrán de ser informados de modo y con

34
lenguaje claro, fácilmente comprensible, siendo necesario garantizar que se ha
comprobado su edad y la autenticidad de su consentimiento.

 Principios relativos a los datos especialmente protegidos:


Evidentemente no todos los datos de carácter personal tienen la misma trascendencia a
la hora de afectar a la privacidad del interesado. Es por ello que la Ley, en su art. 7,
incluido también entre los principios de la protección de datos, dedica prescripciones
especiales a los denominados “Datos especialmente protegido”, también llamados
“Datos sensibles”. Concepto que ha de ponerse en relación con los diversos niveles de
seguridad que el Reglamento de desarrollo de la Ley establece para distintos tipos de
datos (tema que será objeto de tratamiento más adelante en este Curso).
Así parte la Ley de que, de acuerdo, con el art. 16.2 de la Constitución, nadie puede ser
obligado a declarar sobre su ideología, religión o creencias. Por ello exige
consentimiento expreso y escrito para el tratamiento de datos relativos a tales
extremos, exceptuando los ficheros que, para sus fines propios, posean los partidos
políticos, sindicatos, confesiones o comunidades religiosas, fundaciones,
asociaciones y otras entidades sin ánimo de lucro sobre los datos de sus asociados.
Sí se exige en estos casos el previo consentimiento para su cesión.
Para los datos relativos al origen racial, salud y vida sexual se establece que sólo
podrán ser recabados, tratados y cedidos por razones de interés general cuando así
lo disponga una ley o con consentimiento expreso del interesado. Respecto de los
datos relativos a la salud, el art. 8 de la Ley establece que las instituciones, centros y
profesionales sanitarios podrán realizar el tratamiento de estos datos de las
personas que a ellos acudan o hayan de ser tratados, remitiéndose a la legislación
sanitaria estatal o autonómica.
Los 2 grupos de datos especialmente protegidos vistos hasta ahora pueden ser objeto de
tratamiento cuando sean necesarios para la prevención, el diagnóstico o tratamiento o
la gestión de servicios sanitarios, exigiéndose que lo sean por un profesional
sanitario u otra persona, sujetos ambos al de ver de secreto profesional o
equivalente. Se permite también el tratamiento de tales datos para salvaguardar el
interés vital del afectado o de otra persona y el afectado esté incapacitado, física o
jurídicamente, para prestar su consentimiento.

35
En cuanto a los datos relativos a la comisión de infracciones penales o
administrativas, se remite la Ley a la normativa aplicable para su inclusión en ficheros
de las Administraciones Públicas.
A los datos hasta ahora referidos debemos añadir, de acuerdo con la configuración de
los niveles de seguridad del nuevo Reglamento, los relativos a actos de violencia de
género, y los que contengan datos recabados por los Cuerpos Policiales sin
consentimiento del afectado.
El Reglamento Comunitario es más exigente con el requerimiento del consentimiento
como vemos a continuación. Así, incluye mayor número de datos entre los que
denomina “categorías especiales” como los datos biométricos y genéticos, e incluso
permite que los Estados puedan, en sus legislaciones nacionales, establecer la
prohibición del tratamiento de datos de esas categorías incluso aunque medie
consentimiento.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El texto comunitario se refiere al “Tratamiento de categorías especiales de datos
personales” en su art. 9 y contempla en el artículo 10 los relativos a condenas e
infracciones penales.
Las principales prescripciones que contiene son las siguientes:
 Prohíbe el tratamiento de datos personales que revelen el origen étnico o
racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la
afiliación sindical, y el tratamiento de datos genéticos, datos biométricos
dirigidos a identificar de manera unívoca a una persona física, datos
relativos a la salud o datos relativos a la vida sexual o la orientación sexual
de una persona física. Excepciona a la prohibición los casos en que se
hubiere prestado consentimiento explícito (permite que el Derecho
comunitario o el de los Estados miembros impida levantar la prohibición por el
interesado), en que sea necesario el tratamiento para cumplir obligaciones y
ejercer derechos en el ámbito laboral y de la Seguridad Social, en que sea
necesario para proteger el interés vital del interesado o terceros, cuando sea
realizado por una fundación, asociación o cualquier otro organismo sin
ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical en
ciertas condiciones, cuando se refiera a datos que el interesado haya hecho

36
manifiestamente públicos, cuando sea preciso para la prevención,
diagnóstico o asistencia médica, o en materia de amenazas transfronterizas
a la salud o calidad y seguridad en la asistencia sanitaria y en materia de
productos farmacéuticos y sanitarios, o, por último, con fines de archivo en
interés público, fines de investigación científica o histórica o fines
estadísticos.
 Para el tratamiento de datos personales relativos a condenas e infracciones
penales o medidas de seguridad conexas, dispone el Reglamento comunitario
que sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o
cuando lo autorice el Derecho de la Unión o el de los Estados miembros

 Principio de Seguridad de los datos:


La seguridad en los sistemas de información es, sin duda, uno de los elementos
indispensables para el cumplimiento de los deberes establecidos en la Ley. Al tema
dedica ésta su art. 29 y un buen número de preceptos del Reglamento de desarrollo de la
Ley.
La Ley impone la adopción de las medidas técnicas y organizativas necesarias para
garantizar la seguridad de los datos al responsable del fichero, y, en su caso, al
encargado del tratamiento. Se trata de evitar las pérdidas, alteraciones, accesos y
tratamientos no autorizados. Se remite la Ley al desarrollo reglamentario para el
establecimiento de las condiciones y niveles de seguridad exigibles en cada caso.
Podemos afirmar, en síntesis (sin perjuicio del análisis posterior que realizaremos de las
medidas y niveles de seguridad) que un sistema es seguro si es capaz de garantizar la
presencia de 4 condiciones esenciales:

 Integridad de los datos: con objeto de evitar alteraciones en los mismos, o,


incluso, su pérdida total o parcial
 Seguridad: tanto desde el punto de vista físico como lógico o informático
 Confidencialidad: destinada a evitar los mencionados accesos no autorizados.

37
 Disponibilidad: entendida como la facultad del titular de los datos de disponer
absolutamente de ellos, lo que se articula a través del ejercicio de los derechos
reconocidos en la Ley.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El texto comunitario se ocupa de la seguridad al tratar las figuras del responsable y el
encargado del tratamiento, en las obligaciones que para los mismos proclama.
Establece así la aplicación por dichos sujetos de medidas técnicas y organizativas
apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en
cuenta el estado de la técnica, los costes de aplicación y la naturaleza , alcance,
contexto y fines del tratamiento, así como los riesgos de probabilidad y gravedad
variables para los derechos y libertades de las personas físicas.
De esta forma la aplicación de niveles de seguridad no depende sólo, en el texto de la
Unión, del tipo de datos de que se trate sino de otros factores como el riesgo presente o
probable de que se produzcan determinados daños.
Destacable y novedoso resulta también, en relación con la materia de la seguridad, la
obligatoria notificación por el responsable del tratamiento a la autoridad de
control competente de la violación de la seguridad de los datos que ha de producirse
sin dilaciones indebidas y, de ser posible, en no más de 72 horas desde que se conoció.
Igualmente, el encargado del tratamiento habrá de notificar al responsable las
violaciones de que tenga conocimiento.
Novedosa y esencial es también la notificación de la violación de los datos
personales que el responsable ha de hacer al interesado cuando sea probable que
dicha violación va a causar un alto riesgo para los derechos y libertades de las personas
físicas. Habrá de hacerse sin dilaciones indebidas y con un lenguaje claro y sencillo.

 Deber de secreto:
Recoge el art. 10 de la Ley el deber de secreto profesional que ha de asumir el
responsable del fichero y cualquier otra persona que intervenga en cualquier fase del
tratamiento de los datos, así como la obligación de guardarlos. Tales deberes subsisten
incluso después de finalizadas sus relaciones con el titular del fichero, o, en su caso,
con el responsable del mismo.

38
Tales deberes deberían dar lugar para todo el personal, aún aquellos que no tengan acceso
directo a los datos, a la suscripción de un “compromiso de confidencialidad” e incluso a la
confección de un documento específico donde se establezcan las funciones, obligaciones y
limitaciones de quienes pudieran tener acceso a esos datos.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El Reglamento dedica su artículo 90 a las llamadas “Obligaciones de secreto”,
permitiendo a los Estados miembros adoptar normas específicas para fijar los poderes
de las autoridades de control en relación con los responsables o encargados sujetos, con
arreglo al Derecho de la Unión o de los Estados miembros o a las normas establecidas
por los organismos nacionales competentes, a una obligación de secreto
profesional o a otras obligaciones de secreto equivalentes, cuando sea necesario y
proporcionado para conciliar el derecho a la protección de los datos personales con la
obligación de secreto. Establece que esas normas solo se aplicarán a los datos
personales que el responsable o el encargado del tratamiento hayan recibido como
resultado o con ocasión de una actividad cubierta por la citada obligación de secreto. Y
determina que los Estados miembros han de comunicar estas normas con la fecha
límite del 25 de mayo de 2018 y habrán de notificar también, sin dilación, sus
modificaciones posteriores.
Además, el Reglamento de la Unión se ocupa de la confidencialidad al contemplar el
contenido del contrato que vincula al encargado del tratamiento con el responsable, al
determinar que aquél “garantizará que las personas autorizadas para tratar datos
personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una
obligación de confidencialidad de naturaleza estatutaria”

39
 Principio de Comunicación de los datos:

Uno de los temas en los que se produce un recrudecimiento de las medidas establecidas
por el Reglamento en comparación con la Ley es la relativa a la comunicación o cesión
de los datos a terceros, si bien la Ley no contempla expresamente la cesión sino al
hablar del principio de licitud del tratamiento que ya hemos visto y la información que
ha de darse al interesado cuando se obtienen los datos.
Establece el art. 3 de la Ley, entre las definiciones que contiene, que la cesión o
comunicación de datos es “toda revelación de datos realizada a persona distinta del
interesado” y de acuerdo con el art. 11 de la Ley, la comunicación a un tercero de los
datos objeto de tratamiento sólo es posible con la concurrencia de 2 requisitos:

 Que su destino sea el cumplimiento de fines directamente relacionados con las


actividades del cedente y del cesionario
 Que el interesado preste previamente su consentimiento.

Con la cesión, el cesionario se obliga, en los mismos términos que el cedente, al


cumplimiento de las disposiciones contenidas en la Ley.
Si bien, como hemos visto, exige la Ley con carácter general para la cesión el
consentimiento previo de interesado, el propio art. 11 excepciona una serie de
supuestos:

• Autorización de la cesión por ley


• Datos recogidos de fuentes accesibles al público
• Tratamiento derivado de la libre y legítima aceptación de una relación jurídica que
implique la conexión con ficheros de terceros. La cesión ha de limitarse a la finalidad que
la justifique
• Comunicación destinada al Defensor del pueblo, Ministerio Fiscal, Jueces o Tribunales
y Tribunal de Cuentas (u órganos equivalentes de las Comunidades Autónomas, en su
caso) para el cumplimiento de sus funciones.
• Cesiones entre Administraciones Públicas para el tratamiento posterior de los datos con
fines históricos, estadísticos o científicos

40
• Cesión de datos relativos a la salud con objeto de afrontar una urgencia o para realizar
estudios epidemiológicos.

Declara la Ley la nulidad del consentimiento para la comunicación cuando la


información suministrada al interesado no le permita conocer la finalidad a que se
destinarán los datos o la actividad del cesionario.
El consentimiento para la cesión tiene carácter de revocable.
Por último establece la Ley que no será exigible lo establecido en el precepto si se
recurre al procedimiento de disociación (al que ya hemos aludido en líneas anteriores)
con carácter previo a la cesión.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El Reglamento no contempla de forma específica la cesión o comunicación de datos,
sino que la incluye dentro de las diversas operaciones de tratamiento y al regular la
licitud del mismo.
Contempla expresamente el texto la finalidad para la que se comunican los datos en el
tratamiento en referencia al cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento. Establece al efecto que dicha finalidad debe quedar determinada en la base
jurídica que legitima el tratamiento y que ha de ser o el Derecho de la Unión o el de los
Estados miembros de aplicación al responsable. Dicha base jurídica establecerá, entre
otras cosas, las entidades a las que se pueden comunicar los datos y los fines de la
comunicación.

 Principio de acceso por cuenta de terceros:


En el apartado anterior nos hemos referido a la cesión o comunicación de datos a
persona distinta del interesado, y suele ser frecuente la confusión entre esta figura y la
que ahora abordamos: el acceso a los datos por cuenta de un tercero, al que se
dedica el art. 12 de la Ley. Mientras en el primero de los casos se comunican datos a
otro para que éste los trate para sus fines legítimos, en el acceso por cuenta de terceros
el tratamiento se verifica por una entidad en virtud de un encargo realizado por el
titular del fichero, a quien se devolverán los mismos una vez prestado el servicio.

41
En efecto, en muchas ocasiones es frecuente que empresas o entidades que prestan un
servicio a otras hayan de acceder a los datos de sus ficheros. Así toda prestación de
servicios que conlleve ese acceso y el consiguiente tratamiento de los datos exige la
formalización de un contrato entre el prestador de servicios (que será a estos efectos,
y mientras dure la prestación, el encargado del tratamiento) y el prestatario (responsable
del tratamiento). En dicho contrato deberán especificarse los datos objeto del
tratamiento, finalidad, prohibición para el prestador del servicio de utilizarlo para fines
distintos, las medidas de seguridad a adoptar por el mismo y el destino de los datos una
vez concluida la prestación del servicio (destrucción o devolución).
De incumplirse por el prestador del servicio sus obligaciones como encargado del
tratamiento, la ley lo considera a efectos de responsabilidad como responsable del
tratamiento.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El Reglamento regula el tema que abordamos al ocuparse de la figura del encargado
del tratamiento. Establece una serie de prescripciones al respecto:
 La obligación del responsable de elegir únicamente un encargado que
ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas
apropiadas
 El encargado del tratamiento no recurrirá a otro encargado sin la autorización
previa por escrito, específica o general, del responsable
 El tratamiento por el encargado se regirá por un contrato u otro acto jurídico
con arreglo al Derecho de la Unión o de los Estados miembros, que vincule
al encargado respecto del responsable y establezca el objeto, la duración, la
naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías
de interesados, y las obligaciones y derechos del responsable
 Posibilidad de que el encargado se adhiera a un código de conducta o a un
mecanismo de certificación como elemento que acredita la adopción de las
garantías aludidas
 El encargado tratará los datos personales únicamente siguiendo instrucciones
documentadas del responsable.

42
Las operaciones de tratamiento con los datos de carácter personal constituyen, sin duda, el eje
central en torno al cual se articula la normativa tanto interna (Ley Orgánica y Reglamento de
desarrollo) como comunitaria (el nuevo Reglamento cuyas novedades venimos desgranando)
en materia de protección de datos.
El adecuado cumplimiento de las obligaciones de los sujetos intervinientes en esas
operaciones, así como el imprescindible respeto a los derechos de los propietarios de los datos
exige una metodología correcta y adecuada, en definitiva, un protocolo de actuación por
parte de las personas y organizaciones públicas o privadas que recogen y se sirven de tales
datos.

La ya mencionada en este curso Directiva 95/46/CE cuya incorporación a nuestro Derecho


determinó la promulgación de la Ley del 99 y el texto de la misma establecieron la existencia
de una serie de obligaciones previas o de preparación por parte del responsable. Se trata de
tomar las decisiones iniciales respecto de qué datos serán precisos y de quién serán obtenidos.
Igualmente, una vez tomadas esas decisiones, se había de proceder a la creación de los
ficheros y la notificación de los mismos a la Agencia Española de Protección de Datos para su
inscripción en el Registro General de Protección de Datos.
Y es, precisamente, en este ámbito en el que la nueva regulación comunitaria presenta
notables diferencias, eliminando dicha notificación. Veamos su justificación en palabras del
propio Reglamento.

43
Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)
 Establece el Reglamento en su Considerando 89 que “la Directiva 95/46/CE estableció
la obligación general de notificar el tratamiento de datos personales a las autoridades
de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin
embargo, no contribuyó en todos los casos a mejorar la protección de los datos
personales. Por tanto, estas obligaciones generales de notificación indiscriminada
deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se
centren, en su lugar, en los tipos de operaciones de tratamiento que, por su
naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los
derechos y libertades de las personas físicas. Estos tipos de operaciones de
tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o
son de una nueva clase y el responsable del tratamiento no ha realizado previamente
una evaluación de impacto relativa a la protección de datos, o si resultan necesarias
visto el tiempo transcurrido desde el tratamiento inicial”.
 -Lo que establece el Reglamento para los casos contemplados en este Considerando 89
es, según el Considerando 90, es que “el responsable debe llevar a cabo, antes del
tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de
valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la
naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha
evaluación de impacto debe incluir, en particular, las medidas, garantías y
mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos
personales y demostrar la conformidad con el presente Reglamento”
 Y se añade en el Considerando siguiente que esa evaluación es, en particular,
“aplicable a las operaciones de tratamiento a gran escala que persiguen tratar una
cantidad considerable de datos personales a nivel regional, nacional o supranacional y
que podrían afectar a un gran número de interesados y entrañen probablemente un alto
riesgo”.
 Se establece en el Considerando 93 que “Los Estados miembros, al adoptar el Derecho
en el que se basa el desempeño de las funciones de la autoridad pública o el
organismo público y que regula la operación o el conjunto de operaciones de

44
tratamiento en cuestión, pueden considerar necesario llevar a cabo dicha evaluación
con carácter previo a las actividades de tratamiento”
 Por su parte, el Considerando 96 establece que deben llevarse a cabo “consultas con la
autoridad de control en el curso de la tramitación de una medida legislativa o
reglamentaria que establezca el tratamiento de datos personales, a fin de garantizar la
conformidad del tratamiento previsto con el presente Reglamento y, en particular, de
mitigar el riesgo que implique el tratamiento para el interesado”

De acuerdo con tales justificaciones contempla el Reglamento tres obligaciones que,


según los casos, como ahora veremos, vendrían a sustituir a la notificación e
inscripción de los ficheros.
Se trata de:
 La evaluación de impacto
 La consulta previa a la autoridad de control (en nuestro caso la Agencia
Española de Protección de Datos)
 El registro de actividades de tratamiento
Son tres medidas básicas que forman parte del principio que llamamos de
“responsabilidad proactiva”.
Se trata de la necesidad de que el responsable del tratamiento aplique medidas técnicas
y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es
conforme con la norma. Dicho de otro modo, se trata de determinar qué datos han de
ser tratados, con qué finalidades y qué tipo de operaciones de tratamiento se van a
llevar a cabo. Ello no se agota en las tres medidas que ahora referimos. Seguiremos
ocupándonos de la responsabilidad proactiva en las fases siguientes del proceso de
implantación de la protección de datos que contemplamos en este módulo y
profundizaremos en estos elementos desde el punto de vista de la seguridad.

Veamos ahora cuándo y en qué situaciones son procedentes las obligaciones


mencionadas:

 Dentro ya del articulado del Reglamento se dedican los artículos 35 y 36,


respectivamente, a la evaluación de impacto y a la consulta previa a la autoridad de
control. Se establece, respecto de la primera que las autoridades nacionales de control

45
(en nuestro caso la AEPD) establecerán y publicarán una lista de los tipos de
operaciones de tratamiento que requieran una evaluación de impacto relativa a la
protección de datos y podrán también hacerlo respecto de las que no lo requieran.
 La consulta previa a la autoridad de control será necesaria para el tratamiento cuando
una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si el
responsable no toma medidas para mitigarlo.
 Además, en ciertos casos, exige también el texto comunitario el establecimiento y
llevanza por el responsable y por el encargado del tratamiento de un registro de
actividades de tratamiento, cuando se trate de organización con 250 o más empleados
o en las de menos cuando el tratamiento de que se trate pueda entrañar un riesgo para
los derechos y libertades de los interesados, no sea ocasional, o incluya categorías
especiales de datos personales o datos personales relativos a condenas e infracciones
penales.

Así pues, con la entrada en vigor del Reglamento comunitario la notificación de los ficheros a
las autoridades de control desaparecerá y será sustituida en parte por los mecanismos
anteriores, según los casos en que sean procedentes.

La fase de tratamiento y legitimación está constituida por el cumplimiento de una serie de


obligaciones, alguna de las cuales han sido ya tratadas en la pregunta relativa a los principios
básicos de la Protección de Datos.
Es la fase en la que se recogen las obligaciones a ejercer durante el tratamiento.
Los actos esenciales de la misma son los siguientes:

 Desde el punto de vista del responsable del tratamiento:

 Determinación de las bases jurídicas que legitiman el tratamiento


 Transparencia e información

46
 Adopción de medidas de seguridad, nombramiento del delegado de protección
de datos y notificación de quiebras de seguridad

 Desde el punto de vista de los interesados: ejercicio de sus derechos.

En la fase de legitimación se van a recoger los datos que constituyen el objeto del fichero,
su contenido, y ello exige la determinación de las razones que permiten legalmente a los
responsables la obtención de dichos datos.
El Reglamento se pronuncia en esta materia de forma parecida a la Ley.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


 De acuerdo con el mismo, las razones que pueden justificar la obtención y tratamiento
de los datos son las siguientes:

 Consentimiento
 Relación contractual
 Intereses vitales del interesado o de otras personas.
 Obligación legal para el responsable
 Interés público o ejercicio de poderes públicos
 Intereses legítimos prevalentes del responsable o de terceros a los que se
comunican los datos
Veamos brevemente cada una, teniendo en cuenta que debe formar parte, en virtud
del principio de transparencia, de la información que se ha de proporcionar al
interesado la base jurídica que legitima el tratamiento. Nos detendremos
especialmente en la 1ª de las citadas: el consentimiento

47
El tema del consentimiento del afectado o interesado ha sido también abordado ya en el
análisis de los principios de la protección de datos. Tal como hemos hecho con la información
y, dada su importancia en el proceso de implantación de una adecuada política de protección
de datos en la organización de que se trate, volvemos sobre el tema.
Como ya sabemos, nuestra Ley Orgánica recoge el consentimiento dentro de los
principios de la Protección de Datos, concretamente en su artículo 6. Tiene la
consideración de principal legitimador del tratamiento.
Así, dispone la Ley:
“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del
afectado, salvo que la ley disponga otra cosa”.
Para la LOPD consentimiento es “toda manifestación de voluntad”, que reúna las siguientes
características:
 LIBRE toda vez que el consentimiento prestado con coacciones es nulo de pleno
derecho
 ESPECÍFICA, en el sentido de ser concretamente expuestas las finalidades y los
tratamientos sobre los que recae el tratamiento
 INEQUÍVOCA, que no de lugar a error alguno
 INFORMADA: en el sentido de estar documentado el consentimiento mediante
su registro, a veces expreso y por escrito o, simplemente informado o advertido.
 REVOCABLE, cuando exista causa justificada
 SIN EFECTOS RETROACTIVOS, es decir, el consentimiento no legitima
tratamientos ya efectuados sino futuros.

La carga de la prueba de la existencia del consentimiento corresponde al responsable del


tratamiento y puede hacerse por cualquier medio admisible en Derecho.
En definitiva, la exigencia de los requisitos del consentimiento antes referidos hacen de éste
un auténtico “consentimiento informado”. Se establece, además, que el incumplimiento de
dichos requisitos determinaría su nulidad.
Bastantes cambios habrán de introducirse para la adaptación en esta materia a la nueva norma
de la Unión. El consentimiento del que habla la norma europea ha de ser inequívoco y

48
positivo, lo que excluye el consentimiento por omisión, es decir, aquél en el que interesado
consiente si no hace nada, por ejemplo, si no marca una casilla en un formulario.
Comienza el Reglamento estableciendo la consideración del consentimiento como uno de
los supuestos en los que el tratamiento es lícito.
Establece las siguientes condiciones del consentimiento:

 Recae sobre el responsable la carga de probar que existió


 Si se da en el contexto de una declaración escrita que también se refiera a otros
asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga
claramente de los demás asuntos, de forma inteligible y de fácil acceso y
utilizando un lenguaje claro y sencillo
 Derecho del interesado a retirarlo en cualquier momento (revocación).

En referencia al consentimiento de menores contempla el caso de la oferta directa a niños de


servicios de la sociedad de la información, estableciendo que el tratamiento de los datos
personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es
menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio
o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se
dio o autorizó. Permite que los Estados miembros puedan rebajar la edad no más allá de los
13 años.
A modo de resumen, distinguimos en la tabla siguiente los casos y condiciones en los que el
consentimiento opera como fundamento jurídico válido del tratamiento de aquéllos en los que
no, de acuerdo con el nuevo Reglamento comunitario:

Consentimiento que SÍ hace lícito el Consentimiento que NO hace lícito el


tratamiento tratamiento
Manifestación de voluntad del Consentimiento no emitido libremente o
interesado de aceptar el tratamiento con desequilibrio patente entre el
interesado y el responsable
Requisitos: libre, específica, informada, En el contexto de una declaración escrita
inequívoca y referida a todas las que también se refiera a otros asuntos:
operaciones de tratamiento realizadas con si no existen garantías de que el interesado
los mismos fines es conocedor del hecho sobre el que

49
consiente y de la medida del
consentimiento
Modelo de declaración: lenguaje claro y Consentimiento presunto por silencio o
sencillo, formulación inteligible, de fácil inacción, casillas premarcadas
acceso, sin cláusulas abusivas
Medios: por escrito, por medios Perjuicios derivados al interesado por la
electrónicos, verbalmente revocación del consentimiento

Junto al consentimiento que es la justificación más habitual para legitimar la obtención de


datos y su tratamiento, contemplan, tanto la Ley como el Reglamento de la Unión Europea,
otras bases de legitimación:

a) Relación contractual: contempla el Reglamento el caso de que el tratamiento es


necesario para la ejecución de un contrato en el que el interesado es parte o para la
aplicación por petición de éste de medidas precontractuales (es decir, de la intención de
contratar). Se trata de la misma justificación que en nuestra Ley denominamos
mantenimiento de una relación negocial, laboral o administrativa.
b) Intereses vitales del interesado o de terceros: se incluyen aquí los tratamientos
necesarios para mantener y restablecer la salud física y psíquica del propio interesado o
de terceros. Incluye también los precisos para fines humanitarios (incluido el control de
epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso
de catástrofes naturales o de origen humano. Establece el Reglamento que el interés vital
sólo debe utilizarse para justificar el tratamiento cuando no pueda tener una base jurídica
diferente.
c) Obligación legal para el responsable: establece el Reglamento que cuando el
tratamiento se realice en cumplimiento de una obligación legal aplicable al responsable
del tratamiento éste debe tener una base en el Derecho de la Unión o de los Estados
miembros. Esa norma interna o comunitaria habrá de determinar las condiciones para el
tratamiento, tipo de datos, interesados afectados, las entidades a las que se pueden
comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación
de los datos y otras medidas para garantizar un tratamiento lícito y leal

50
d) Interés público o ejercicio de poderes públicos: el tratamiento debe tener su base y
finalidad en una norma de la UE o de los Estados Miembro. El Reglamento establece que,
tanto para el cumplimiento de intereses públicos como de obligaciones legales, los
Estados miembros podrán mantener o introducir disposiciones más específicas a fin de
adaptar la aplicación de las normas del mismo.
e) Intereses legítimos prevalentes del responsable o de terceros a los que se comunican
los datos: contempla el Reglamento comunitario el interés legítimo del propio
responsable o de terceros como base jurídica para la obtención de los datos y el
tratamiento siempre que sobre dichos intereses no prevalezcan los intereses o los derechos
y libertades fundamentales del interesado, en particular cuando el interesado sea un niño.

La que ahora abordamos es otra de las materias en las que el Reglamento ha incrementado los
requisitos de la Ley.
La exigencia de información a suministrar al interesado se produce tanto en el momento de la
obtención de los datos como a lo largo del tratamiento.
Recordemos las prescripciones establecidas en el art. 5 de la LOPD sobre la materia y lo que
al efecto establece el nuevo Reglamento Comunitario.

De acuerdo con nuestra Ley Orgánica:


 Si los datos se obtienen del propio interesado: en este apartado lo que hace el
Reglamento es, básicamente, incluir nuevos elementos informativos, como vemos más
adelante.
 En el proceso de recogida de datos, los interesados tienen derecho a ser
informados previamente de modo expreso, preciso e inequívoco, de los
siguientes extremos:
 Existencia del fichero o tratamiento, finalidad y destinatarios
 Carácter obligatorio o no de la respuesta
 Consecuencias de la obtención de los datos, y, en su caso, de la negativa a
suministrarlos
 Derechos de acceso, rectificación, cancelación y oposición
 Identidad y dirección del responsable del tratamiento, o en su caso, de su
representante.

51
 La misma información debe constar, de forma claramente legible, en los
cuestionarios o impresos que puedan utilizarse para la recogida de la
información.

 Tal deber de información debe llevarse a cabo de forma que permita acreditar su
cumplimiento. La acreditación deberá conservarse todo el tiempo que persista el
tratamiento de los datos
 Si los datos no se obtienen del propio interesado: en los casos en que los datos no
proceden del interesado los cambios introducidos por el Reglamento son mayores que
el caso anterior.
La Ley estableció la obligación de informar en los tres meses siguientes a la obtención
de los datos, supuesto que ahora el Reglamento reduce como máximo a 1 mes.
Y determinó como excepciones los casos en que una Ley lo prevé expresamente, el
tratamiento con fines históricos, estadísticos o científicos, o cuando resulte imposible
o exija un esfuerzo desproporcionado, en atención al nº de interesados, antigüedad de
los datos o posibles medidas compensatorias.

Además, se excepciona también un supuesto muy frecuente en la actualidad: el de datos


procedentes de fuentes accesibles al público destinados a actividades de publicidad
o prospección comercial. En estos casos lo que se exige es que, en cada comunicación
que se dirija al interesado, se le notifique el origen de los datos, la identidad del
responsable del tratamiento y los derechos que le asisten. Se entienden como fuentes
accesibles al público: el censo promocional, los repertorios telefónicos en los
términos previstos por su normativa específica, las listas de personas pertenecientes a
grupos de profesionales que contengan únicamente los datos de nombre, título,
profesión, actividad, grado académico, dirección e indicación de su pertenencia al
grupo, los diarios y boletines oficiales y los medios de comunicación.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


 El Reglamento insiste en la transparencia en la información y, así, exige que ésta
se haga “en forma concisa, transparente, inteligible y de fácil acceso, con un
lenguaje claro y sencillo, en particular cualquier información dirigida

52
específicamente a un niño”. Añade que “será facilitada por escrito o por otros
medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el
interesado, la información podrá facilitarse verbalmente siempre que se
demuestre la identidad del interesado por otros medios”
 Utiliza también el Reglamento la distinción anterior, según que los datos hayan
sido o no obtenidos del propio interesado, para determinar la extensión y
condiciones del deber de información.
 Igualmente, distingue entre información para conocimiento del interesado e
información necesaria para garantizar un tratamiento leal y transparente.

 Información cuando los datos se han obtenido del interesado:


 Para conocimiento del interesado: identidad y datos de contacto del
responsable, del representante del mismo si lo hubiera, del delegado de
protección de datos, en su caso, de los fines y la base jurídica del tratamiento,
destinatarios, transferencias internacionales que se pretendan realizar
 Para un tratamiento leal y transparente, además información sobre: plazo de
conservación de los datos, derechos, reclamaciones, retirada del consentimiento,
si la comunicación de los datos es obligatoria y las consecuencias de no
aportarlos, existencia de decisiones automatizadas, en su caso.

 Información cuando los datos no han sido obtenidos del interesado:


 Para conocimiento del interesado: la misma información que si los datos
se obtuvieron del interesado y además las categorías de datos de que se trate
 Para un tratamiento leal y transparente, la misma información añadida
para el caso de obtención de datos del propio interesado y además
información sobre la fuente de la que proceden los datos y, en su caso, si
proceden de fuentes de acceso público.

La información de este apartado (datos no obtenidos del interesado) se


suministrará por el responsable del tratamiento:

a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a


más tardar dentro de un mes, habida cuenta de las circunstancias específicas

53
en las que se traten dichos datos;
b) si los datos personales han de utilizarse para comunicación con el
interesado, a más tardar en el momento de la primera comunicación a dicho
interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el
momento en que los datos personales sean comunicados por primera vez

Existen, no obstante, supuestos en los que no es necesario informar:

 Cuando el interesado ya disponga de la información


 En el caso de que los datos no procedan del interesado, cuando:
- la comunicación resulte imposible o suponga un esfuerzo desproporcionado
- el registro o la comunicación esté expresamente establecido por el Derecho
de la Unión o de los Estados miembros
- cuando los datos deban seguir teniendo carácter confidencial por un deber
legal de secreto.

Como ya vimos al abordar los principios de la Protección de Datos, el Reglamento


prevé que pueda proporcionarse la información de la que venimos hablando en
combinación con iconos estandarizados que ofrezcan una visión de conjunto del
tratamiento previsto. Su diseño se ha encomendado a la Comisión Europea.

Como podemos apreciar se redobla la exigencia en cuanto a la transparencia y el deber


de información. Por ella, para facilitar su cumplimiento al responsable, se aconseja la
utilización del llamado “sistema de información por capas”.
Dicho sistema se basa en dos niveles de información:

 una información básica en un primer nivel, de forma resumida, en el mismo


momento y en el mismo medio en que se recojan los datos
 una información adicional en un segundo nivel, exponiendo detalladamente
el resto de las informaciones, en un medio más adecuado para su presentación.

54
En la siguiente tabla puede apreciarse dicho sistema:

“Guía para el cumplimiento del deber de informar”: Agencia Española de protección de datos, Agencia
Vasca de Protección de datos y Agencia Catalana de Protección de Datos

Finalmente, entre las obligaciones básicas que supone para el responsable la implantación del
proceso de protección de datos, formando también parte del principio de responsabilidad
proactiva que ya hemos mencionado en páginas anteriores, se encuentran las que ahora
tratamos.

55
El Reglamento comunitario se muestra más flexible que nuestra normativa interna a la
hora de abordar la seguridad en la protección de datos. Así, establece que el responsable y
el encargado del tratamiento adoptarán las medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la
técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento, así
como los riesgos de probabilidad y gravedad variables para los derechos y libertades.
Así pues, ya no se trata tanto de determinar el nivel de seguridad en función del tipo de datos
sino teniendo en cuenta los distintos riesgos que puedan afectar a las operaciones de
tratamiento.
El considerando 75 del texto europeo se refiere a tales riesgos, estableciendo algunos de los
supuestos en los que estos pueden ser importantes como los tratamientos que puedan provocar
daños físicos, los que puedan producir problemas de discriminación, fraude, pérdidas
financieras, casos en que se prive a los interesados de sus derechos y libertades, se evalúen
aspectos personales, se traten datos de personas especialmente vulnerables, supuestos en que
los datos revelen el origen étnico, ideología, creencias, salud, vida sexual,…, o cuando el
tratamiento implique una gran cantidad de datos o un número elevado de interesados.

El nivel de seguridad que, en función de los criterios anteriores se adopte, incluirá, en su caso,
entre otras las siguientes medidas:

a) la seudonimización (la llamada “anonimización” en la terminología que emplea nuestra


Ley) y el cifrado de datos personales.
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia (o capacidad de resistencia frente a los problemas y situaciones adversas que se
presenten) de los sistemas y servicios de tratamiento.
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma
rápida en caso de incidente físico o técnico.
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Se establece para verificar que las medidas adoptadas se adecúan al riesgo que han de tenerse
en cuenta especialmente los riesgos que presente el tratamiento como consecuencia de la
destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,

56
conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos
datos.
Para demostrar el cumplimiento de los requisitos exigidos a las medidas adoptadas se
establece la utilidad de los códigos de conducta y los mecanismos de certificación a que nos
referiremos más adelante.

Además de todo lo visto, el tema de la seguridad en el nuevo Reglamento se contempla en los


siguientes aspectos:
 Violaciones de seguridad:
El Reglamento define las violaciones de seguridad de los datos, más comúnmente
conocidas como “quiebras de seguridad”, de una forma muy amplia, que incluye todo
incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la comunicación o
acceso no autorizados a dichos datos.
Respecto de las mismas se establece:

 Es obligación del responsable la notificación a la Autoridad de Control de la


violación de la seguridad de los datos sin dilación indebida y en no más de 72
horas después de que tenga constancia de la misma (salvo que sea improbable que
la violación produzca riesgo para los derechos y libertades). La notificación ha de
incluir un contenido mínimo:
- la naturaleza de la violación
- categorías de datos y de interesados afectados
- medidas adoptadas por el responsable para solventar la quiebra
- si procede, las medidas aplicadas para paliar los posibles efectos negativos
sobre los interesados

 Es también obligación del responsable, sin dilaciones indebidas, la notificación al


interesado de las violaciones de seguridad cuando sea probable que entrañe un
riesgo alto para los derechos y libertades. En este caso, el Reglamento añade a
los contenidos de la notificación las recomendaciones sobre las medidas que
pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.

57
 Evaluación de impacto y consulta previa:
Las hemos contemplado ya, pero desde el punto de vista de la seguridad establece el
Reglamento que cuando sea probable que un tipo de tratamiento, en particular si
utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto
riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento realizará, antes del tratamiento, una evaluación del impacto de las
operaciones del mismo en la protección de datos personales. Una única evaluación
podrá abordar una serie de operaciones de tratamiento similares que entrañen altos
riesgos también similares.
En especial, se realizará cuando se trate de alguno de los tres casos siguientes:

 Evaluación basada en tratamientos automatizados


 Tratamientos a gran escala de datos pertenecientes a categorías especiales o los
relativos a condenas e infracciones penales
 Observación sistemática a gran escala de una zona de acceso público

La Autoridad de Control habrá de publicar un listado de tipos de tratamiento que


requieran la evaluación y podrá también publicar un listado de los que no lo
requieran.
Para realizar la evaluación se recabará el asesoramiento del Delegado de
Protección de Datos, si ha sido nombrado.

El contenido mínimo de la evaluación es, según el texto comunitario, el siguiente:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los


fines del tratamiento
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de
tratamiento con respecto a su finalidad
c) una evaluación de los riesgos para los derechos y libertades de los interesados
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de
seguridad y mecanismos que garanticen la protección de los datos personales.

58
Junto a la evaluación de impacto, recoge el texto la Consulta previa del responsable
a la Autoridad de Control antes de proceder al tratamiento cuando una evaluación
de impacto muestre que éste entraña alto riesgo si no se adoptan las medidas al efecto.
Además, se prevé que el Derecho de los Estados miembros podrá obligar a los
responsables del tratamiento a consultar a la autoridad de control y a recabar su
autorización previa en relación con el tratamiento por un responsable en el ejercicio
de una misión realizada en interés público, en particular el tratamiento en relación con
la protección social y la salud pública.

 Delegado de Protección de Datos


Entre las obligaciones del responsable y del encargado de tratamiento figura en
determinados casos el nombramiento de un Delegado de Protección de Datos.
Los supuestos en que habrá de ser nombrado son:

o Tratamiento llevado a cabo por autoridad u organismo público, salvo los


Tribunales
o Tratamiento que requiera una observación habitual y sistemática de interesados
a gran escala
o Tratamiento a gran escala de categorías especiales de datos personales y de
datos relativos a condenas e infracciones penales.

Se trata de una figura nueva cuyas funciones no coinciden con las del “Responsable de
Seguridad” del que habla nuestra Ley, pues le corresponde:

 Informar y asesorar al responsable o al encargado del tratamiento y a los


empleados que lo realicen de sus obligaciones, en especial, en lo relativo a la
evaluación de impacto
 Supervisar el cumplimiento de la normativa comunitaria y de los Estados
miembros, así como de las políticas implantadas por el responsable o el
encargado del tratamiento
 Cooperar y actuar como enlace con la Autoridad de Control.

59
Nos detenemos ahora en uno de los aspectos esenciales de la normativa sobre protección de datos:
el reconocimiento a los ciudadanos interesados de una serie de derechos y el establecimiento de
las condiciones para su ejercicio y tutela.
El éxito de una adecuada política de protección de datos recae en buena medida en la forma en que se
gestione esta materia.
El Reglamento comunitario, además de recoger los derechos tradicionales, introduce notables
novedades también en este aspecto.
Nuestra Ley Orgánica de Protección de Datos contempla una serie de derechos, entre los que destacan
los 4 básicos que conocemos como “derechos ARCO”: Acceso, Rectificación, Cancelación y
Oposición.
El Reglamento de la Unión amplía su número y modifica algunas denominaciones, aunque podemos
afirmar que los derechos de la Ley se encuentran incluidos entre los que proclama la norma europea.
Nuestra exposición tratará, por tanto, los derechos del interesado tal como se regulan en el
Reglamento.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El Reglamento dedica su Capítulo III a los derechos del interesado. Antes de analizar cada
uno de ellos, algunos de nueva formulación, contiene una serie de disposiciones generales
sobre transparencia, comunicación y modalidades de ejercicio de los derechos.
Las principales normas al respecto son las siguientes:
 Aplicación del principio de transparencia: tanto en el derecho del interesado a ser
informado en el momento de la obtención de los datos (al que ya nos hemos referido
como pº de información) como en la que puede obtener el interesado en el ejercicio del
derecho de acceso a sus datos personales.

 El responsable ha de facilitar el ejercicio por los interesados de sus derechos


individuales, así:

 El plazo para atender los derechos es de 1 mes (en caso necesario, prórroga de
dos meses)
 Los responsables deberán tomar medidas para verificar la identidad de quienes
soliciten acceso y de quienes ejerzan los restantes derechos.
 El responsable que trate una gran cantidad de información sobre un interesado

60
podrá pedir a éste que especifique la información a que se refiere su solicitud de
acceso.
 El responsable podrá contar con la colaboración de los encargados para atender al
ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el
contrato de encargo de tratamiento
 Forma de atención a los derechos: si la solicitud se presentó por medios
electrónicos, la información se facilitará por tales medios si es posible, salvo que
el interesado solicite otra forma
 Si no se atiende el derecho: el responsable habrá de informar al interesado, en
plazo máximo de 1 mes, de la recepción de la solicitud, las razones de la no
atención, la posibilidad de reclamar ante la autoridad de control y la posibilidad
del ejercicio de acciones judiciales

 La información suministrada será gratuita, pero se autoriza al responsable al cobro


de un canon razonable (o incluso negarse a suministrarla) en caso de solicitudes
manifiestamente infundadas o excesivas, en especial debido a su carácter repetitivo.

Veamos a continuación, de forma breve, cada uno de los derechos que recoge el texto
comunitario.

 Derecho a la información en la obtención de datos y derecho de acceso: nos


referimos sólo al segundo pues el dº de información ha sido ya suficientemente tratado.
Se establece el derecho del interesado a obtener del responsable del tratamiento
“confirmación de si se están tratando o no datos personales que le conciernen”. En caso
afirmativo tendrá derecho de acceder a tales datos y a información sobre los fines,
categorías de datos, destinatarios, plazo previsto de conservación, derecho a solicitar la
rectificación o supresión, la limitación del tratamiento, o la oposición al mismo, derecho
a reclamar ante la autoridad de control, información sobre el origen de los datos (si no
se hubieran obtenido del interesado), existencia de decisiones automatizadas, en su
caso, en caso de transferencia internacional información sobre las garantías.
El responsable facilitará al interesado copia de los datos personales objeto del
tratamiento.
Una forma de atender a este derecho puede ser facilitando el acceso remoto a un sistema
seguro que ofrezca al interesado un acceso directo a sus datos personales.

 Derecho de rectificación: consiste en obtener sin dilación indebida del responsable del
tratamiento la rectificación de los datos personales inexactos del interesado. Ello

61
incluye el derecho a que se completen los datos personales incompletos, inclusive
mediante una declaración adicional.
Para hacerlo efectivo será necesario que el interesado indique a qué datos se refiere y
qué corrección hay que realizar. Además, cuando sea preciso, se acompañará la
documentación que justifique la inexactitud o el carácter incompleto de los datos.

 Derecho a la supresión o al olvido (borrado de datos):


Antes de acercarnos a la regulación del mismo en el Reglamento conviene comentar
el “origen español” de este derecho que la Agencia Española de Protección de Datos
define:

“incluye el derecho a limitar la difusión universal e indiscriminada de datos


personales en los buscadores generales cuando la información es obsoleta o ya no tiene
relevancia ni interés público, aunque la publicación original sea legítima (en el caso de
boletines oficiales o informaciones amparadas por las libertades de expresión o de
información)”

De forma más sencilla podemos decir que es el derecho que todos tenemos a solicitar que
los enlaces a nuestros datos personales no figuren en los resultados de una búsqueda en
Internet.

Se trata de un derecho de proclamación muy reciente. Nos acercamos a su breve


historia:
El 5 de marzo de 2010, el Sr. Costeja González presentó ante la Agencia Española de
Protección de Datos una reclamación contra el periódico «La Vanguardia», Google Spain
y Google Inc. en la que pedía que se retirara o modificara la información de dos anuncios
que relacionaban su nombre con una subasta de inmuebles derivada de deudas a la
Seguridad Social. Argumentaba para ello que la deuda ya había sido saldada con
anterioridad
Pedía al periódico que eliminara o utilizara las herramientas informáticas para que esa
información no apareciera indexada en los motores de búsqueda. A Google le pedía
que ocultara estos resultados cuando se hiciera una búsqueda con su nombre.
Ese año la AEPD desestimó la reclamación en la medida en que se refería a La
Vanguardia porque la publicación tenía justificación legal ya que era un anuncio de
subasta del Ministerio de Trabajo. En cambio, siguió reclamando a Google.
Google recurrió la resolución de la AEPD ante la Audiencia Nacional, que decidió

62
suspender el procedimiento y llevar el caso al Tribunal de Justicia de la Unión Europea.
En 2014 se pronunció el Tribunal disponiendo en su Sentencia de 13 de mayo: “…el
gestor de un motor de búsqueda está obligado a eliminar de la lista de
resultados obtenida tras una búsqueda efectuada a partir del nombre de una
persona, vínculos a páginas web, publicadas por terceros y que contienen información
relativa a esta persona, también en el supuesto de que este nombre o esta información no
se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la
publicación en dichas páginas sea en sí misma lícita”.

La 1ª Sentencia en España sobre la materia es la Sentencia de la Audiencia Nacional de


29 de diciembre de 2014 que aplica la doctrina Europea estableciendo los requisitos para
el ejercicio del derecho:

De acuerdo con el Reglamento Comunitario, el responsable deberá suprimir los datos

63
personales a solicitud del interesado cuando se den ciertas condiciones:

 Supuesto en que el responsable no haya hecho públicos los datos: los supuestos en
que procederá la supresión son:
 Los datos ya no resultan necesarios para la finalidad para la que se
recogieron
 El interesado retira el consentimiento que prestó
 Los datos han sido tratados ilícitamente
 Deben suprimirse para el cumplimiento de una obligación legal
 Los datos personales se han obtenido en relación con la oferta de servicios
de la sociedad de la información a niños

 Supuesto en que el responsable haya hecho público los datos: teniendo en cuenta la
tecnología disponible y el coste de su aplicación, el responsable habrá de adoptar
medidas razonables, incluidas las técnicas, para informar a los responsables que estén
tratando los datos de la solicitud del interesado de supresión de cualquier enlace a esos
datos o de cualquier copia de los mismos.

 Excepciones al borrado:
 Para ejercer la libertad de expresión e información
 Para cumplir una obligación legal
 Por razones de salud pública
 Con fines de archivo, investigación científica o histórica o fines estadísticos
 Para formular, ejercer o defender reclamaciones.

 Derecho de limitación del tratamiento: el interesado tiene derecho a solicitar la


limitación en los casos siguientes:
 Cuando el interesado impugne la exactitud de los datos, mientras el responsable lo
verifica
 Cuando el tratamiento sea ilícito pero el interesado se oponga a la supresión
 Cuando el responsable no los necesite para el tratamiento pero el interesado sí para la
reclamación
 Cuando el interesado se oponga al tratamiento mientras se verifica la legitimidad de sus
motivos

En tales casos sólo será posible el tratamiento con consentimiento del interesado, para

64
reclamaciones, para la protección de los derechos de otra persona y por razones de interés
público.
Al derecho de limitación se le aplican los mismos plazos y condiciones que a los restantes
derechos en el Reglamento.

 Derecho de portabilidad de datos: consiste en que el interesado tiene derecho a recibir


los datos personales que le incumban, que haya facilitado a un responsable del
tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a
transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que
se los hubiera facilitado cuando el tratamiento esté basado en el consentimiento o en un
contrato y se efectúe por medios automatizados.
Se trata de una modalidad de derecho de acceso y obtención de copia de los datos que
obran en poder del responsable, pero su particularidad estriba en que los datos se
transmiten de un responsable a otro sin que se transmitan previamente al interesado.
El derecho que contemplamos no resulta aplicable en los casos siguientes:

• Respecto de los datos de terceras personas que un interesado haya facilitado a un


responsable
• Para el caso de que el interesado haya solicitado la portabilidad de datos que le
incumban pero que hayan sido proporcionados al responsable por terceros.

 Derecho de oposición: con dos facetas:


 Derecho a que los datos personales no sean objeto de tratamiento por motivos
relacionados con la situación particular del interesado o cuando el tratamiento tenga por
objeto mercadotecnia directa
 Derecho de oposición a decisiones individuales automatizadas (incluida la elaboración
de perfiles) que produzcan efectos jurídicos en el interesado o le afecten de forma
significativa.
Respecto de esta última modalidad de derecho de oposición consiste en no ser objeto de
una decisión basada únicamente en el tratamiento de datos personales, incluida la
elaboración de perfiles, que produzca efectos jurídicos sobre el interesado o le afecte
significativamente de forma similar.
Se trata de tratamientos que evalúan aspectos personales, en particular analizar o
predecir aspectos relacionados con el rendimiento laboral, situación económica, salud,
preferencias o intereses personales, …
No obstante, este derecho no será aplicable en los casos siguientes:
 Cuando sea necesario para la celebración o ejecución de un contrato entre el interesado

65
y el responsable
 Cuando el tratamiento de los datos se fundamente en el consentimiento prestado
previamente por el interesado.
En estas excepciones, que no podrán afectar a categorías especiales de datos, el
responsable habrá de adoptar las medidas que garanticen el derecho a obtener la
intervención humana, a que el interesado sea oído y a que pueda impugnar la decisión.

66
El modelo de autoridad de control regulado en nuestro Derecho interno coincide
sustancialmente con el ahora establecido en el Reglamento Comunitario que lo hace extensivo
de forma obligatoria a los Estados miembros. Nos ocupamos en primer lugar de nuestra
Agencia de Protección de Datos y luego hacemos referencia a la normativa contenida al
respecto en el nuevo Reglamento.

La Agencia Española de Protección de Datos


La Agencia Española de Protección de Datos (AEPD) es la autoridad estatal de control
independiente encargada de velar por el cumplimiento de la normativa sobre protección
de datos.
Garantiza y tutela el derecho fundamental a la protección de datos de carácter personal
de los ciudadanos.

La LOPD dedica su Título VI a la regulación de la Agencia Española de Protección de


Datos. Por su parte el Reglamento de desarrollo de la Ley dedica su Título IX a los
procedimientos tramitados por la Agencia. A ello hay que añadir el Real Decreto 428/1993,
de 26 de marzo, que aprueba el Estatuto de la AEPD, modificado por Real Decreto
1665/2008, de 17 de octubre.
En el ejercicio de sus funciones públicas, está sometida además a las Leyes 39 y 40 de 2015,
del Procedimiento Administrativo Común de las Administraciones Públicas y del Régimen
Jurídico del Sector Público, respectivamente y en materia de adquisiciones patrimoniales y
contratación al Derecho Privado.
La Agencia es un Ente de Derecho Público, con personalidad jurídica propia y plena
capacidad pública y privada, independiente de las Administraciones Públicas en el ejercicio
de sus funciones.

67
Su personal está compuesto por funcionarios de las Administraciones Públicas y personal
contratado, y su presupuesto es integrado, con la debida independencia, en los Presupuestos
Generales del Estado.

Sus funciones aparecen recogidas en el artículo 37 de la Ley y son las siguientes:

•Velar por el cumplimiento de la legislación


•Emitir autorizaciones
•Dictar instrucciones
•Atender peticiones y reclamaciones
•Proporcionar información sobre los derechos de los ciudadanos
•Requerir la adopción de medidas para adecuar los tratamientos a la Ley,
ordenar el cese de tratamientos y la cancelación de ficheros
•Ejercer la potestad sancionadora
•Informar los proyectos de disposiciones generales de desarrollo de la Ley
•Recabar de los responsables de los ficheros ayuda e información
•Velar por la publicidad de la existencia de los ficheros
•Redactar una memoria anual y remitirla al Ministerio de Justicia
•Ejercer el control y emitir las autorizaciones en materia de movimiento
internacional de datos y desempeñar las funciones de cooperación internacional
•Velar por el cumplimiento de la Ley de la Función Estadística Pública, en lo
que hace a la recogida de datos estadísticos y al secreto estadístico
•Las demás que le sean atribuidas por Ley o Reglamento.

68
Su estructura orgánica es la que aparece en el siguiente esquema, tomado de la propia
página web de la Agencia:

 El Director de la Agencia: Ostenta la alta representación de la Agencia,


ejerciendo sus funciones con plena independencia y objetividad, sin estar sujeto
a instrucción alguna en su desempeño. Tiene la consideración de alto cargo y el
período de su mandato es de 4 años. Es nombrado por Real Decreto a propuesta
del Ministro de Justicia, de entre los miembros del Consejo Consultivo. El
Director de la Agencia dicta resoluciones, que ponen fin a la vía administrativa y
son recurribles ante la Sala de lo Contencioso-Administrativo de la Audiencia
Nacional.

A su requerimiento el Gabinete Jurídico, dependiente de la Dirección de la Agencia, emite


informes sobre consultas planteadas por Entidades Públicas o Privadas o por los afectados.

 El Consejo Consultivo: se trata del órgano colegiado de asesoramiento del


Director de la Agencia. Emite informe sobre las cuestiones en que sean
requeridos por el Director y realiza propuestas en la materia.

 El Registro General de Protección de datos: su función es velar por la


publicidad de los tratamientos de datos, y, al efecto, tramita los expedientes de
inscripción de tratamientos, autorizaciones de transferencias internacionales e
inscripciones de códigos tipo.

69
 La Inspección de Datos: tiene por objeto la inspección de la legalidad de los
tratamientos. Actúa por denuncia de un afectado o en supuestos de “alarma
social”, o en ejecución de un Plan de Inspección de oficio. Destaca su labor de
inspección preventiva para supuestos de extrema gravedad, con objeto de
conocer el modo en que se realizan los tratamientos en un sector de actividad.
Además debemos reseñar sus funciones de instrucción en los procedimientos de
tutela de derechos y en el procedimiento sancionador. Para todo ello, podrá
inspeccionar los ficheros, solicitando la exhibición o el envío de documentos y
datos, inspeccionarlos en el lugar en que se encuentren, examinar los equipos
usados para el tratamiento, pudiendo con tal objeto acceder a los locales donde
se encuentren.

 La Secretaría General de la Agencia: tiene por función apoyar el adecuado


funcionamiento de la Agencia, funciones de gestión, por delegación del
Director, documentación, publicaciones, conferencias, y la información al
ciudadano en las cuestiones que plantee en materia de protección de datos.

Hay que hacer también referencia a las Autoridades de control de las Comunidades
Autónomas previstas por el art. 41 de la Ley para ficheros creados y gestionados por la
Comunidad Autónoma o las Entidades Locales de su territorio. En la actualidad existen:

•La Agencia Catalana de la Protección de Datos


•La Agencia Vasca de Protección de Datos.

Por su parte, el Reglamento de desarrollo de la Ley, como anticipamos, dedica su Título IX a


los Procedimientos tramitados por la Agencia. Son los siguientes:

•Procedimiento de Tutela de los derechos de acceso, rectificación, cancelación y


oposición
•Procedimientos relativos al ejercicio de la Potestad Sancionadora (a él nos referiremos
en módulos siguiente de este temario)
•Procedimientos relacionados con la Inscripción o Cancelación de Ficheros

70
•Procedimientos relacionados con la Transferencia Internacional de Datos (nos
referiremos también a ellos más adelante en este manual)
•Procedimientos de Inscripción de Códigos Tipo (serán objeto de nuestro análisis en
módulos siguientes)
•Otros procedimientos tramitados por la AEPD: se regulan los dos siguientes:

➢Procedimiento de exención del deber de información al interesado cuando resulte


imposible o exija esfuerzos desproporcionados
➢Procedimiento para la autorización de conservación de los datos para fines históricos,
estadísticos o científicos.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El Reglamento comunitario recoge la obligación de los Estados miembros de establecer
una o varias autoridades públicas independientes (“Autoridades de Control”)
encargadas de verificar el cumplimiento del propio Reglamento.
Entre las funciones esenciales que se atribuyen a las autoridades de control figuran las
siguientes:

 Controlar la aplicación y hacer aplicar el Reglamento


 Promover la sensibilización del público en materia de protección de datos y de
los responsables y encargados sobre sus obligaciones
 Asesoramiento a las autoridades de los Estados miembros sobre medidas
legislativas y administrativas en la materia
 Facilitar información a los interesados sobre sus derechos
 Tratamiento de las reclamaciones
 Cooperación con las demás autoridades de control
 Fomentar la elaboración de códigos de conducta y mecanismos de
certificación,…

Por lo que hace a los poderes que se atribuyen a dichas autoridades, se trata de poderes
de investigación, correctivos, de autorización y consultivos.

71
Cada autoridad de control elaborará un informe anual de sus actividades, que podrá
incluir una lista de tipos de infracciones notificadas y de tipos de medidas adoptada y
que se transmitirán al Parlamento nacional, al Gobierno y a las demás autoridades
designadas en virtud del Derecho de los Estados miembros. Se pondrán a disposición
del público, de la Comisión y del Comité Europeo de Protección de Datos.
Igualmente, se regulan las relaciones entre autoridades de control y se establece que en
los casos de tratamientos transfronterizos importantes en que estén implicadas varias
autoridades nacionales de control, se adoptará una única decisión de supervisión. Este
principio conocido como de ventanilla única significa que una empresa con filiales en
varios Estados miembros solo tendrá que tratar con la autoridad de protección de datos
del
Estado miembro de su establecimiento principal.

Crea el Reglamento el mencionado Comité Europeo de Protección de Datos. Se trata


de un órgano de la Unión dotado de personalidad jurídica e independencia en el
ejercicio de sus funciones, formado por el Director de una autoridad de control de
cada Estado miembro y por el Supervisor Europeo de Protección de Datos o sus
representantes respectivos.
Le corresponde en esencia garantizar la aplicación coherente del Reglamento,
supervisando su aplicación, asesorando, emitiendo recomendaciones y directrices,
dictaminando en materias como las medidas de protección, promoviendo la
cooperación y el intercambio de información y formación, resolución de conflictos,…
El Comité elaborará un informe anual en materia de protección de las personas físicas
en lo que respecta al tratamiento en la Unión y, si procede, en terceros países y
organizaciones internacionales. El informe se hará público y se transmitirá al
Parlamento Europeo, al Consejo y a la Comisión.

Finalmente, el Reglamento establece mecanismos de cooperación y coherencia entre


las autoridades de control y con los organismos comunitarios, así intercambio de
información, asistencia mutua, operaciones conjuntas,…

72
El tema de las transferencias internacionales de datos personales, tradicionalmente objeto de
intensos debates, sobre todo, en las relaciones entre los Estados Unidos y la Unión Europea,
volvió a la primera línea de actualidad cuando el 6 de octubre de 2015 el Tribunal de
Justicia de la Unión Europea declaró inválida la Decisión 2000/520/CE, sobre
adecuación de la protección conferida por los principios de “puerto seguro” para la
protección de la vida privada publicados por el Departamento de Comercio de EEUU. La
decisión coincidió, además, en el tiempo con la tramitación del nuevo Reglamento
Comunitario. Tras intensas negociaciones entre ambas partes, el nuevo marco diseñado en la
materia se ha incorporado al texto europeo. De ello nos ocuparemos más adelante en este
módulo.
Comencemos por la regulación que nuestra Ley Orgánica y su Reglamento contienen en
referencia a las transferencias internacionales.
El artículo 5 del Reglamento de desarrollo de la Ley recoge la definición de lo que ha de
entenderse por Transferencia Internacional de Datos: “Tratamiento de Datos que supone una
transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien
constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un
tratamiento de datos por cuenta del responsable del fichero establecido en territorio
español”.
La Ley le dedica sus artículos 33 y 34 (Título V: “Movimiento Internacional de Datos”) y
el Reglamento su Título VI.
Dos son los sujetos esenciales de dicho tratamiento, ambos definidos en el art. 5 referido:
•Exportador de Datos: persona física o jurídica, pública o privada, u órgano administrativo,
situado en territorio español que realiza una transferencia de datos a un país tercero
•Importador de Datos: persona física o jurídica, pública o privada, u órgano administrativo
receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya
sea responsable del tratamiento, encargado del mismo o tercero.

73
Como vemos, las operaciones equivalentes con países del Espacio Económico Europeo no
se consideran transferencias internacionales de datos sino cesiones, a efectos de aplicación de
la Ley.
La Ley recoge, en su art. 33, la prohibición general de transferencia a países que no
proporcionen un nivel de protección equiparable al nuestro, salvo autorización del
Director de la AEPD (dispone que no será tampoco necesaria dicha autorización cuando se
haya declarado que un país garantiza un nivel de protección adecuado mediante Decisión de
la Comisión Europea).
Corresponde a la Agencia evaluar el nivel de protección que ofrece el país tercero de que se
trate, atendiendo a las circunstancias que concurran en la transferencia, en particular, se
habrá de tener en cuenta la naturaleza de los datos, finalidad, duración del tratamiento, país de
origen y país de destino final, las normas jurídicas vigentes en el país de que se trate, los
informes de la Comisión de la Unión Europea, las normas profesionales y las medidas de
seguridad que estén en vigor en dicho país.
No obstante, a lo expuesto se excepcionan (es decir, no precisan autorización del Director
de la AEPD), en el art. 34 de la Ley, los siguientes supuestos:

•Transferencia que resulte de la aplicación de Convenios o Tratados en los que España sea
parte
•Transferencia para solicitar o prestar auxilio judicial internacional
•Transferencia necesaria para diagnóstico, asistencia sanitaria o tratamiento médico
•Transferencias dinerarias (conforme a su legislación específica)
•Consentimiento inequívoco del afectado
•Transferencia necesaria para ejecutar un contrato entre el afectado y el responsable del
fichero o la adopción de medidas contractuales a petición del afectado
•Transferencia necesaria para la ejecución de un contrato celebrado o por celebrar, en interés
del afectado, entre el responsable del fichero y un tercero
•Transferencia necesaria o legalmente exigida para la salvaguarda del interés público (se
incluyen expresamente las solicitadas por una Administración fiscal o aduanera para el
cumplimiento de sus competencias)
•Transferencia precisa para el reconocimiento, ejercicio o defensa de un derecho en un
proceso judicial
•Transferencia efectuada a petición de persona con interés legítimo, desde un Registro
Público y que sea acorde con la finalidad del mismo

74
•Transferencia con destino a un Estado miembro de la UE, o a un Estado respecto del cual la
Comisión de la Unión Europea haya declarado que garantiza un nivel de protección adecuado.

Contempla el Reglamento de desarrollo de la Ley la suspensión de la autorización


concedida por el Director de la AEPD cuando se estén vulnerando las normas de protección
de datos, o existan indicios racionales de vulneración de las normas o de los principios de
protección de datos por la Entidad importadora.

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


Como anticipamos, tras la decisión del TJUE de declarar inválida la Decisión sobre
adecuación de los principios de “puerto seguro”, la UE y los Estados Unidos
iniciaron una negociación que ha culminado con un nuevo marco de protección que se
denomina “Privacy shield” (Escudo de privacidad) que impone más obligaciones a
las empresas de los EEUU para la protección de los datos personales de los
ciudadanos europeos. Ello ha tenido su reflejo en el texto del nuevo Reglamento
Así, éste dedica su capítulo V a las “Transferencias de datos personales a terceros
países u organizaciones internacionales”
Su principio general en la materia establece que solo se realizarán transferencias de
datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a
un tercer país u organización internacional si el responsable y el encargado del
tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las
relativas a las transferencias ulteriores de datos personales desde el tercer país u
organización internacional a otro tercer país u otra organización internacional, es decir,
si en dichas operaciones se ofrece un nivel adecuado de protección.
A continuación se regulan las “decisiones de adecuación” como legitimadoras de las
transferencias. De este modo, podrá realizarse una transferencia de datos personales a
un tercer país u organización internacional cuando la Comisión haya decidido que el
tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la
organización internacional de que se trate garantizan un nivel de protección
adecuado. Dicha transferencia no requerirá ninguna autorización específica. Establece
el Reglamento una serie de elementos para la evaluación de ese nivel de adecuación,
así la legislación de ese “tercero” o la existencia en el mismo de autoridades de control,
o la asunción de compromisos internacionales.

75
A falta de decisión de adecuación, el Reglamento establece una serie de instrumentos
que se consideran garantías adecuadas para legitimar la transferencia, así cláusulas
tipo, normas corporativas vinculantes, códigos de conducta, mecanismos de
certificación,… (de ellos nos ocupamos en el módulo siguiente).

Finalmente, se recogen también supuestos excepcionales en ausencia de una decisión


de adecuación y de las mencionadas garantías. Se trata, por ejemplo, del
consentimiento explícito del interesado a la transferencia, que ésta sea necesaria para la
ejecución de un contrato, por razones importantes de interés público, que la
transferencia se realice desde un registro público que tenga por objeto facilitar
información al público, protección de intereses vitales,…

76
Tanto nuestra normativa interna como el nuevo Reglamento Comunitario tratan de fomentar
la autorregulación de las empresas en materia de protección de datos. Nuestra Ley Orgánica
pretende que ello se haga a través de los denominados Códigos Tipo. De forma parecida
operarían como veremos los dos instrumentos recogidos en el texto europeo: los códigos de
conducta y los mecanismos de certificación.

La Ley Orgánica de Protección de Datos dedica a los llamados Códigos Tipo su art. 32 que
luego desarrolla en su Reglamento de desarrollo en el Título VIII.
Podríamos definir dichos códigos tipo como los compromisos a los que pueden llegar los
responsables de tratamiento o las organizaciones en que estos se agrupen, con objeto de
determinar, en palabras de la Ley, “las condiciones de organización, régimen de
funcionamiento, procedimientos aplicables, normas de seguridad del entorno,
programas o equipos, obligaciones de los implicados en el tratamiento y uso de la
información personal, así como las garantías, en su ámbito, para el ejercicio de los
derechos de las personas con pleno respeto a los principios y disposiciones de la presente
Ley y sus normas de desarrollo”.

Establece la Ley que tendrán el carácter de códigos deontológico o de buena práctica


profesional y han de ser depositados e inscritos en la AEPD.
Por su parte, dispone el Reglamento de desarrollo de la Ley que tienen por objeto adecuar
lo establecido en la Ley y en el Reglamento a las peculiaridades de los tratamientos
efectuados por quienes se adhieren a los mismos. Y destaca su carácter vinculante para
ellos. Determina, por lo que hace a la iniciativa, su carácter voluntario.

77
En cuanto a su contenido, establece el art. 73 del Reglamento de desarrollo de la Ley que
deberán redactarse en términos claros y accesibles, respetando la normativa vigente, y
contener:

•Ámbito de aplicación, actividades y tratamientos incluidos


•Previsiones específicas sobre los principios de protección de datos
•Estándares homogéneos para el cumplimiento de las obligaciones legales
•Procedimientos que faciliten el ejercicio de los derechos de acceso, rectificación, cancelación
y oposición por los afectados
•Cesiones y transferencias internacionales previstas y sus garantías
•Acciones formativas para el personal
•Mecanismos de supervisión para garantizar su cumplimiento
•Cláusulas tipo: para la obtención del consentimiento de los afectados al tratamiento o cesión,
para informar a los afectados cuando los datos no han sido obtenidos de los mismos
•Modelos para el ejercicio por los afectados de sus derechos
•Modelos de cláusulas para el cumplimiento de los requisitos formales exigibles en la
contratación de un encargado del tratamiento, en su caso.
Podrán incluirse, además, otros compromisos adicionales, por ejemplo en materia de
seguridad o el establecimiento de un sello de calidad.

Los promotores, o los órganos que al efecto se designen asumen la obligación de mantener el
código accesible al público, remitir a la AEPD una memoria anual sobre sus actividades
de difusión, favoreciendo la plena accesibilidad de todas las personas, especialmente las
discapacitadas o de edad avanzada.
Por último, tienen también la obligación de evaluar periódicamente (al menos cada 4 años)
la eficacia del código, midiendo el grado de satisfacción de los afectados, y mantener
actualizado su contenido para adaptarlo a la normativa vigente en cada momento.

78
Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)
Como comentamos al inicio de este módulo, la implicación de las empresas
intervinientes en el tratamiento de datos se trata de conseguir en el Reglamento
Comunitario, entre otras fórmulas, con la adhesión de las mismas a Códigos de
Conducta y mecanismos de certificación.
Respecto de los Códigos de Conducta se establece que los Estados miembros, las
autoridades de control, el Comité y la Comisión promoverán la elaboración de códigos
de conducta destinados a contribuir a la correcta aplicación del Reglamento,
teniendo en cuenta las características específicas de los distintos sectores de
tratamiento y las necesidades específicas de las microempresas y las pequeñas y
medianas empresas.
Las asociaciones y otros organismos representativos de categorías de responsables o
encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar
dichos códigos para especificar la aplicación del Reglamento en materias como la
recogida y seudonimización de datos, información proporcionada, ejercicio de los
derechos por los interesados, transferencias internacionales,…
El proyecto, la modificación o ampliación deberá presentarse a la autoridad de
control competente para su aprobación.

En lo que hace a la Certificación se establece que los Estados miembros, las


autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la
Unión, la creación de mecanismos de certificación en materia de protección de
datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento
de lo dispuesto en el Reglamento en las operaciones de tratamiento de los responsables
y los encargados. Se tendrán en cuenta las necesidades específicas de las
microempresas y las pequeñas y medianas empresas.
La certificación es voluntaria y no limita la responsabilidad en cuanto al cumplimiento
de lo dispuesto en el Reglamento.
La certificación se expedirá por organismos específicos al efecto o por las autoridades
de control, por un período máximo de 3 años, renovable.

79
Dedica la Ley Orgánica su Título VII a esta materia. Por su parte, el Reglamento de
desarrollo de la Ley la regula, dentro de su Título IX, dedicado a los Procedimientos
tramitados por la AEPD, en su Capítulo III sobre los “Procedimientos relativos al
ejercicio de la Potestad Sancionadora”.
Más recientemente, la Ley de Economía Sostenible, Ley 2/2011, de 4 de marzo modificó
parcialmente los preceptos de la ley dedicados a la materia.

El Reglamento de la UE afecta de manera importante al régimen sancionador, elevando


significativamente las cuantías de las multas de hasta 20.000.000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen
de negocio total anual global del ejercicio financiero anterior.
Igualmente significativo en la nueva norma es la posibilidad que tienen los afectados por
un tratamiento ilícito de datos personales de exigir indemnizaciones por daños y
perjuicios.
Veamos lo esencial de esa nueva regulación:

Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)


El Texto Comunitario dedica su capítulo VII a los Recursos, Responsabilidad y
Sanciones.
Podemos destacar en dicha regulación las siguientes prescripciones:
 Recoge el derecho del interesado a presentar una reclamación ante la
autoridad de control si considera que el tratamiento de sus datos ha infringido
el Reglamento
 Reconoce el derecho de toda persona física o jurídica a la tutela judicial
efectiva contra una decisión jurídicamente vinculante de una autoridad de
control que le concierna

80
 Recoge el derecho a la tutela judicial efectiva contra el responsable o
encargado del tratamiento ante los Tribunales del Estado miembro en que
tengan su establecimiento. Alternativamente, tales acciones podrán ejercitarse
ante los tribunales del Estado miembro en que el interesado tenga su residencia
habitual, a menos que el responsable o el encargado sea una autoridad pública
de un Estado miembro que actúe en ejercicio de sus poderes públicos.
 Toda persona que haya sufrido daños y perjuicios materiales o inmateriales
como consecuencia de una infracción del Reglamento tendrá derecho a recibir
del responsable o del encargado del tratamiento una indemnización por los
daños y perjuicios sufridos
 Se establece la obligación de las autoridades de control de garantizar que la
imposición de multas administrativas por infracción del Reglamento sean
efectivas, proporcionales y disuasorias y establece una serie de criterios para
determinar su cuantía. Se establecen, como vimos, multas que pueden llegar
hasta los 20 millones de euros, o, si se trata de empresas, hasta el 4% de su
volumen de negocio. Y se remite a la normativa de los Estados Miembros para
sanciones distintas de las multas.

De forma esquemática exponemos a continuación las líneas esenciales sobre las multas y la
indemnización de los daños y perjuicios sufridos:

Multas
Corresponde a las autoridades de control de los Estados miembros garantizar que la las
multas administrativas impuestas sean en cada caso individual efectivas,
proporcionadas y disuasorias
Se utilizarán criterios de graduación para la imposición de las multas
administrativas: entre otros que enumera el art. 83 del Reglamento destacan:
la naturaleza, gravedad y duración de la infracción, intencionalidad o negligencia
en su comisión, toda infracción anterior cometida, grado de cooperación con la
autoridad de control, categoría de datos afectados,…
Cuantías de las multas distintas según los preceptos del Reglamento infringidos. Las
máximas no pueden superar los 20.000.000 de euros o, tratándose de una empresa, una
cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del

81
ejercicio financiero anterior, optándose por la de mayor cuantía
Cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida,
imponer multas administrativas a autoridades y organismos públicos establecidos en
dicho Estado miembro
Los Estados miembros establecerán las normas cuando se trate de sanciones distintas
de las multas administrativas aplicables a las infracciones del Reglamento

Indemnización de daños y perjuicios


Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como
consecuencia de una infracción del Reglamento tendrá derecho a recibir del
responsable o el encargado del tratamiento una indemnización por los daños y
perjuicios sufridos
El responsable o encargado del tratamiento estará exento de responsabilidad si
demuestra que no es en modo alguno responsable del hecho causante de los daños y
perjuicios
Cuando más de un responsable o encargado del tratamiento, o un responsable y un
encargado hayan participado en la misma operación de tratamiento y sean, con arreglo
a la normativa, responsables de cualquier daño o perjuicio causado por dicho
tratamiento, cada responsable o encargado será considerado responsable de todos los
daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado
Cuando, un responsable o encargado del tratamiento haya pagado una
indemnización total por el perjuicio ocasionado, tendrá derecho a reclamar a los
demás responsables o encargados que hayan participado en esa misma operación de
tratamiento la parte de la indemnización correspondiente en función de la
responsabilidad de cada uno.

82
Todo usuario debe conocer sus obligaciones en materia de seguridad y protección de datos. En caso
contrario, bien por acción u omisión, podría incurrir en infracción de la normativa de protección de
datos.
En los siguientes apartados enumeraremos medidas y precauciones básicas que han de adoptarse
cuando, por nuestra función, tenemos acceso, aunque sea indirecto, a datos personales.

Comenzamos por una relación de actuaciones y prohibiciones generales de obligado


cumplimiento:
1. No debe instalarse en el equipo ninguna aplicación informática (sólo puede hacerlo
el personal autorizado).
2. La gestión de contraseñas debe seguir las normas establecidas.
3. Nunca debe accederse al sistema utilizando el identificador y la contraseña de otro
usuario.
4. El puesto de trabajo deberá configurarse para evitar que sea accesible por otros
usuarios en su ausencia.
5. Toda incidencia en materia de seguridad deberá comunicarse, siguiendo las
instrucciones establecidas por los responsables en la materia.
6. Toda petición de un ciudadano en referencia a sus datos personales será cursada a los
responsables para la atención y respuesta exigida por el Reglamento.

Los códigos de usuario y contraseñas son de uso exclusivo del usuario y NO se compartirán
en ningún caso con otros usuarios. Se trata de datos personales. Debe insistirse en que en
NINGÚN CASO deberán comunicarse las contraseñas a tercero.
Para la selección de una contraseña se evitarán nombres comunes, repeticiones de un único
carácter, números de teléfonos, matriculas de vehículos, nombres de familiares y amigos u

83
otras fácilmente deducibles. Tampoco se utilizará el nombre del usuario o derivados del
mismo.
Se recomienda que la contraseña tenga un mínimo de 6 caracteres y se cambie, por lo menos,
cada 90 días.
La contraseña asignada al usuario para acceder por primera vez al sistema, deberá ser
cambiada al efectuar este primer acceso
Las contraseñas deberán aprenderse y ser recordadas por el usuario. No deben anotarse en
ningún papel. Queda terminantemente prohibido anotarlas en un “post it” y pegarlas en la
pantalla o en el teclado (aunque parezca mentira sigue siendo frecuente).

Recuerda: El Usuario que maneja los datos debe:


Conocer la privacidad de los datos objeto de tratamiento y mantener su deber de
confidencialidad
No utilizar para fines distintos los sistemas de información ni los datos personales
objeto de tratamiento
Garantizar la privacidad de sus contraseñas
En caso de salidas o entradas de soportes en los que consten datos personales, solicitar
las oportunas autorizaciones
Notificar debidamente cualquier incidencia que pueda producirse en relación con la
seguridad de los datos

Mª Dolores Godoy González

84