tema 13 polÃticas públicas (protección de datos) cef · 2018. 4. 5. · 680$5,2 *(1(5$/ 7(0$...
TRANSCRIPT
TEMA 13 LA PROTECCIÓN DE DATOS.
EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS UE.
BLOQUE POLÍTICAS PÚBLICAS
GESTIÓN DEL ESTADO
SUMARIO GENERAL TEMA 13
1. La protección de datos
1.1. Concreción y desarrollo legislativo del derecho fundamental de protección de las personas físicas en relación con el tratamiento de datos personales
2. Régimen jurídico. Ley Orgánica 15/1999, de 5 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de Desarrollo
aprobado por Real Decreto 1720/2007, de 21 de diciembre
2.1. Ámbito de aplicación de la LOPD
2.1.1. Objetivo
2.1.2. Ámbito de aplicación territorial
2.2. Principios generales de la protección de datos en la LOPD
2.2.1. Calidad de los datos
2.2.2. Derecho de información en la recogida de datos
2.2.3. Consentimiento del afectado
2.2.4. Datos especialmente protegidos
2.2.5. Seguridad de los datos
2.2.6. Deber de secreto
2.2.7. Comunicación o cesión de datos
2.3. Derechos de las personas en la LOPD
2.3.1. Derecho de acceso
2.3.2. Derecho de rectificación y cancelación
2.3.3. Derecho de oposición
2.3.4. Otros derechos: Consulta, reclamación de tutela de los derechos ARCO, impugnación de va- loraciones e indemnización
2.4. Obligaciones
3. El Reglamento (UE) 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
4. Principos y derechos en el Reglamento (UE) 2016/679, de 27 de abril
4.1. Ámbito de aplicación
4.1.1. Objeto
4.1.2. Ámbito de aplicación material
4.1.3. Ámbito de aplicación territorial
4.2. Principios en el Reglamento (UE) 2016/679, de 27 de abril
Sumario
4.2.1. Principios relativos al tratamiento
4.2.2. Licitud del tratamiento
4.2.3. Condiciones para el consentimiento
4.2.4. Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información
4.2.5. Tratamiento de categorías especiales de datos personales
4.2.6. Tratamiento de datos personales relativos a condenas e infracciones penales
4.2.7. Tratamiento que no requiere identificación
4.3. Derechos del interesado en el Reglamento (UE) 2016/679, de 27 de abril
4.3.1. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado
4.3.2. Información que deberá facilitarse cuando los datos personales se obtengan del interesado
4.3.3. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del inte- resado
4.3.4. Derecho de acceso del interesado
4.3.5. Derecho de rectificación
4.3.6. Derecho de supresión: el «derecho al olvido»
4.3.7. Derecho a la limitación del tratamiento
4.3.8. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limi- tación del tratamiento
4.3.9. Derecho a la portabilidad de los datos
4.3.10. Derecho de oposición
4.3.11. Decisiones individuales automatizadas, incluida la elaboración de perfiles
4.3.12. Limitaciones
4.3.13. Otros derechos: reclamación, tutela judicial e indemnización
5. Obligaciones del responsable del tratamiento y encargado del tratamiento
5.1. Obligaciones generales
5.1.1. Responsabilidad del responsable del tratamiento
5.1.2. Protección de datos desde el diseño y por defecto
5.1.3. Corresponsables del tratamiento
5.1.4. Representantes de responsables o encargados del tratamiento no establecidos en la Unión
5.1.5. Encargado del tratamiento
5.1.6. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento
5.1.7. Registro de las actividades de tratamiento
5.1.8. Cooperación con la autoridad de control
5.2. Seguridad de los datos personales
5.2.1. Seguridad del tratamiento. El análisis de riesgo
5.2.2. Notificación de una violación de la seguridad de los datos personales a la autoridad de control
5.2.3. Comunicación de una violación de la seguridad de los datos personales al interesado
5.3. Evaluación de impacto relativa a la protección de datos y consulta previa
5.3.1. Evaluación de impacto relativa a la protección de datos
5.3.2. Consulta previa
5.4. El delegado de protección de datos
6. El delegado de protección de datos en las Administraciones públicas
Sumario
7. La Agencia Española de Protección de Datos
7.1. La Agencia Española de Protección de Datos
7.2. Estructura orgánica
7.2.1. El Director de la AEPD
7.2.2. El Consejo Consultivo
7.2.3. El Registro General de Protección de Datos
7.3. Funciones de la AEPD
Sumario
La protección de datos. Régimen jurídico. El Reglamento (UE) 2016/679, de
27 de abril, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos. Principios y derechos. Obligaciones. El delegado de protección de
datos en las Administraciones públicas. La Agencia Española de
Protección de Datos
1. LA PROTECCIÓN DE DATOS
La protección de las personas físicas en relación con el tratamiento de datos personales es un de- recho fundamental protegido por el artículo 18.4 de la Constitución española. De esta manera, nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos de ca- rácter personal cuando dispuso que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Se hacía así eco de los trabajos desarrollados desde finales de la década de 1960 en el Consejo de Europa y de las pocas disposiciones legales adoptadas en países de nuestro entorno. Nuestros constituyentes tomaron, en este caso, el ejemplo de la Constitución portuguesa, solo 2 años anterior a la española.
Poco tiempo después de la aprobación de la Constitución de 1978, se produjeron dos hitos impor- tantes en la evolución y reconocimiento expreso de este derecho.
Desde el punto de vista jurisprudencial, la Sentencia del Tribunal Constitucional de la República Federal Alemana de 15 de diciembre de 1983 en la que, en un asunto sobre interpretaciones de las obli- gaciones que imponía la Ley del censo alemana a sus ciudadanos, reconoció el derecho a la autodeter- minación informativa o derecho a la protección de datos personales.
Desde el punto de vista normativo, la entrada en vigor el 1 de octubre de 1985 del Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, primer texto internacional sobre la materia. El Convenio, ratificado por Espa- ña el 27 de enero de 1984, reconoce el derecho a la intimidad y a la protección de datos respectivamente.
Volviendo al ámbito interno, una primera interpretación del artículo 18.4 de la Constitución llevó a considerar este derecho como una especificación del derecho a la intimidad, pero el Tribunal Constitu- cional ha interpretado que se trata de un derecho independiente, aunque obviamente estrechamente rela- cionado con aquel (SSTC 254/1993, de 20 de julio y 290/2000, de 30 de noviembre). El Alto Tribunal además señaló la vinculación directa de este derecho para los poderes públicos sin necesidad de desa- rrollo normativo (STC 254/1993).
13 ‒ 1
En concreto, la STC 94/1988 señala que nos encontramos ante un derecho fundamental a la pro- tección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos per- sonales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distin- tos a aquel que justificó su obtención.
Este derecho se halla estrechamente vinculado con la libertad ideológica, pues evidentemente el al-
macenamiento y la utilización de datos informáticos puede suponer un riesgo para aquella, no solamente por lo que se refiere a «datos sensibles», entre los que se encuentran los de carácter ideológico o religio- so sobre los cuales, según indica el artículo 16 de la Constitución, nadie estará obligado a declarar, sino también por su posible utilización ajena a las finalidades para los que fueron recabados (SSTC 11/98, de 13 de enero; 44 y 45/1999, de 22 de marzo, entre otras, en relación con la libertad sindical), o la in- clusión de datos sin conocimiento del afectado (STC 202/1999, de 8 de noviembre). Otro riesgo puede provenir por efectuarse accesos indebidos a ficheros ajenos (STC 144/1999, de 22 de julio, en torno a una indebida utilización por parte de una Junta Electoral de Zona de datos incluidos en el Registro Cen- tral de Penados y Rebeldes).
Finalmente, el Tribunal Constitucional proclamó de manera taxativa en su Sentencia 292/2000 que
el derecho a la protección de datos es un verdadero derecho fundamental, autónomo y claramente dife- renciado de los demás que se garantizan en el mismo artículo 18 de la Constitución española: «persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado».
1.1. CONCRECIÓN Y DESARROLLO LEGISLATIVO DEL DERECHO FUNDA- MENTAL
DE PROTECCIÓN DE LAS PERSONAS FÍSICAS EN RELACIÓN CON EL TRATAMIENTO DE DATOS PERSONALES
A nivel de la Unión Europea, el derecho a la protección de datos de carácter personal se recoge en
el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea; y en el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea. Anteriormente, a nivel europeo, se había adoptado la Directiva 95/46/CE, cuyo objeto era procurar que la garantía del derecho a la protección de datos de ca- rácter personal no supusiese un obstáculo a la libre circulación de los datos en el seno de la Unión, esta- bleciendo así un espacio común de garantía del derecho que, al propio tiempo, asegurase que, en caso de transferencia internacional de los datos, su tratamiento en el país de destino estuviese protegido por sal- vaguardas adecuadas a las previstas en la propia directiva. Posteriormente, se aprobó la Directiva 97/63/ CE de protección de datos personales en las comunicaciones electrónicas.
Con el cambio de milenio se intensificaron los impulsos tendentes a lograr una regulación más uni-
forme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más glo- balizada. Así, se fueron adoptando en distintas instancias internacionales propuestas para la reforma del marco vigente. Y en este marco la Comisión lanzó el 4 de noviembre de 2010 su Comunicación titula- da «Un enfoque global de la protección de los datos personales en la Unión Europea», que constituye el germen de la posterior reforma del marco de la Unión Europea. Al propio tiempo, el Tribunal de Justi- cia de la Unión ha venido adoptando a lo largo de los últimos años una jurisprudencia que resulta fun- damental en su interpretación.
El último hito en esta evolución tuvo lugar con la adopción del Reglamento (UE) 2016/679 del Par-
lamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en
13 ‒ 2
lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) y por el que se deroga, entre otras, la Directiva 95/46/CE.
El Reglamento general (UE) 2016/679 de protección de datos entró en vigor el 25 de mayo de 2016,
si bien, debido a su complejidad, el mismo será de aplicación a partir del 25 de mayo de 2018.
En España, la concreción y desarrollo del derecho fundamental de protección de las personas físicas
en relación con el tratamiento de datos personales tuvo lugar en sus orígenes mediante la aprobación de la Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos de carác- ter personal, conocida como LORTAD. Esta norma fue reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos de carácter personal, a fin de trasponer a nuestro ordenamiento jurídico la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, re- lativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, mencionada anteriormente. Esta Ley Orgánica supuso un segundo hito en la evolución de la regulación del derecho fundamental a la protección de datos en España y se complementó con la aprobación de su reglamento ejecutivo por Real Decreto 1720/2007, de 21 de di- ciembre, y con una cada vez más abundante jurisprudencia procedente de los órganos de la jurisdicción contencioso-administrativa.
A partir del 25 de mayo de 2018, la normativa aplicable será directamente el Reglamento general
(UE) 2016/679 de protección de datos, al no requerir transposición alguna.
Con el fin de adaptar la normativa interna a este Reglamento, en la actualidad es objeto de trami-
tación en las Cortes Generales una nueva Ley de protección de datos que sustituirá a la Ley Orgánica 5/1999, de 15 de diciembre. Téngase en cuenta en todo caso que la nueva Ley deberá tener un carácter meramente complementario y no podrá invadir el ámbito regulatorio del Reglamento so pena de incurrir en infracción del derecho comunitario.
2. RÉGIMEN JURÍDICO. LEY ORGÁNICA 15/1999, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y SU REGLAMENTO DE DESARROLLO APROBADO POR REAL DECRETO 1720/2007, DE 21 DE DICIEMBRE
Tal y como se ha señalado anteriormente, hasta el 24 de mayo de 2018 la protección de datos de ca- rácter personal se regula en la Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos de carác- ter personal (LOPD) y en su reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD).
A continuación se analizan algunos de los aspectos principales del régimen jurídico recogido en
ambas normas. Previamente, y siguiendo la misma sistemática que la normativa vigente, se incluyen al- gunas definiciones y aclaraciones con el fin de facilitar la correcta comprensión de las cuestiones que serán analizadas posteriormente.
• Datos de carácter personal: cualquier información concerniente a personas físicas identifica-
das o identificables. La LOPD regula el tratamiento de cualquier tipo de dato personal con independencia de que este pertenezca o no a la vida privada del titular, si bien, a algunos datos –los calificados como especialmente protegidos– les dará un tratamiento especial.
13 ‒ 3
• Fichero: conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su crea- ción, almacenamiento, organización y acceso.
Atendiendo a la naturaleza de su titularidad, estos pueden ser de titularidad privada o pú- blica (de los que sean responsables los órganos constitucionales o con relevancia constitu- cional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finali- dad sea el ejercicio de potestades de derecho público).
Conforme al proceso de almacenamiento elegido, los ficheros podrán ser automatizados o no automatizados.
• Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatiza- do, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
• Responsable del fichero o tratamiento: persona física o jurídica, pública o privada, u órgano administrativo que solo o conjuntamente con otros decide sobre la finalidad, el contenido y el uso del tratamiento de datos.
• Encargado del fichero o tratamiento: persona física o jurídica, pública o privada, u órgano administrativo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable fichero o tratamiento como consecuencia de una relación jurídica que le vincu- la con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
• Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cual- quier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación
De acuerdo con lo establecido en la LOPD, únicamente tienen la consideración de fuentes de acceso público: el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales que contengan únicamente determinados datos, los diarios y boletines oficiales y los medios de comunicación.
Para más información y detalle se puede consultar el artículo 3 de la LOPD y el artículo 5 del RLOPD.
2.1. ÁMBITO DE APLICACIÓN DE LA LOPD
2.1.1. Objetivo
La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico que los haga
susceptibles de tratamiento –automatizado o no– y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Teniendo en cuenta lo anterior, se excluye expresamente de su ámbito objetivo de aplicación los tra-
tamientos de datos referidos a personas jurídicas y los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.
Asimismo, y aunque contengan datos personales relativos a personas físicas, no se aplicará la LOPD
y el RLOPD a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente
13 ‒ 4
personales o domésticas; a los ficheros sometidos a la normativa sobre protección de materias clasifica- das; a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. Tampoco se aplicará a los datos referidos a personas fallecidas, aunque, en este caso, las per- sonas a ellas vinculadas –por consanguinidad o afinidad– podrán solicitar que sean cancelados.
Finalmente, y para terminar de delimitar el ámbito de aplicación objetivo de la norma, se establece
que se regirán por sus disposiciones específicas, los ficheros regulados por la legislación de régimen electoral; los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación es- tatal o autonómica sobre la función estadística pública; los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas; los derivados del Registro Civil y del Registro Central de penados y rebeldes; así como los procedentes de imágenes y sonidos obtenidos mediante la utili- zación de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.
2.1.2. Ámbito de aplicación territorial
Respecto al ámbito de aplicación territorial, se establece en la LOPD que la misma resultará de aplicación:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de
un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de apli- cación la legislación española en aplicación de normas de derecho internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Euro- pea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
2.2. PRINCIPIOS GENERALES DE LA PROTECCIÓN DE DATOS EN LA LOPD
La LOPD regula en su título II (arts. 4-12) los principios generales de la protección de datos en Es-
paña y que, por tanto, deberán ser respetados por todo responsable de un fichero o tratamiento.
De acuerdo con la doctrina, y sin perjuicio de que a continuación se relacionen todos ellos, hay tres principios que constituyen el eje principal de la protección de datos: información, consentimiento y fi- nalidad.
2.2.1. Calidad de los datos
Los datos de carácter personal deberán cumplir las siguientes características: ser adecuados, perti- nentes, no excesivos, y tratados de forma leal y lícita en relación con el ámbito y finalidades legítimas para las que se hayan recabado, lo cual implica que:
• Los datos obtenidos no podrán usarse para finalidades incompatibles –distintas– para las que
fueron recogidos (no se considerará incompatible su tratamiento posterior con fines histó- ricos, estadísticos o científicos).
13 ‒ 5
• Los datos deberán ser exactos y puestos al día, respondiendo con veracidad a la situación actual del interesado. Es decir, no podrán. permanecer en el fichero por un tiempo superior a la finalidad para la que se obtuvieron, salvo ciertas excepciones (mantenimiento por va- lores históricos, científicos o estadísticos y el periodo de bloqueo de datos que se analizará más adelante en relación con el derecho de cancelación). Deberán ser cancelados o susti- tuidos, de oficio, sin son inexactos, innecesarios o no pertinentes.
Se establece expresamente que se prohíbe la recogida de datos por medios fraudulentos, desleales
o ilícitos. 2.2.2. Derecho de información en la recogida de datos
El deber de información al afectado, previo al tratamiento de sus datos de carácter personal, es uno
de los principios fundamentales sobre los que se asienta la LOPD, distinguiéndose según la información haya sido aportada por el interesado o no.
De acuerdo con el artículo 5 de la LOPD, en el momento de la recogida de los datospersonales se
deberá informar al interesado de modo expreso, preciso e inequívoco de las siguientes circunstancias:
• Del carácter obligatorio o facultativo de su respuesta a las preguntas que le seanplanteadas.
• De las consecuencias de la obtención de los datos o de la negativa asuministrarlos.
• De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (los denominados derechos ARCO).
• De la identidad o dirección del responsable del tratamiento o, en su caso, de surepresentan- te, en el caso de que el responsable del tratamiento no esté establecidoen el territorio de la Unión Europea y utilice en el tratamiento medios situados enterritorio español.
Cuando los datos de carácter personal no hayan sido recabados del interesado, este deberá ser in-
formado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, den- tro de los 3 meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad: del contenido del tratamiento, de la procedencia de los datos, de la existencia del fiche- ro, de la posibilidad de ejercitar los derechos ARCO y de la identidad del responsable del tratamiento.
Este principio –deber de información– únicamente queda excepcionado si se da alguna de las si-
guientes circunstancias:
• Cuando lo establezca expresamente una ley.
• Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
• Cuando la información al interesado resulte imposible o exija esfuerzosdesproporcionados, a criterio de la Agencia Española de Protección de Datos, enconsideración del número de interesados, la antigüedad de los datos y las posiblesmedidas compensatorias.
• Cuando los datos procedan de fuentes accesibles al público y se destinen a laactividad de publicidad o prospección comercial, aunque en este último caso, en cada comunicación que se dirija al interesado resultará necesario comunicarle cierta información: origen de los datos, identidad del responsable del tratamiento y derechos que le asisten.
13 ‒ 6
2.2.3. Consentimiento del afectado
Define la LOPD el consentimiento del afectado como toda manifestación de voluntad, libre, inequí- voca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
El principio del consentimiento es el pilar central que enmarca la protección de datos. Así, siguiendo
el artículo 6 de la LOPD, como regla general, puede afirmarse que todo tratamiento de datos de carácter personal requiere el consentimiento inequívoco del interesado.
Este consentimiento se podrá otorgar en cualquiera de las formas admisibles en derecho. Salvo para
aquellos casos en que la LOPD prevé que el consentimiento ha de otorgarse expresamente, puede esta- blecerse de forma tácita (en este caso, para que se considere inequívoco será preciso otorgar al afecta- do un plazo de 30 días para que pueda tener claramente conocimiento de que su omisión de oponerse al tratamiento implica su consentimiento al mismo). Por otra parte, el consentimiento podrá revocarse en cualquier momento por causa justificada, sin que se atribuyan efectos retroactivos a dicha revocación.
Este principio también tiene un régimen de excepciones, así, no es necesario el consentimiento del
interesado para el tratamiento de datos de carácter personal:
• Cuando una Ley disponga otra cosa.
• Cuando se recojan para el ejercicio de las funciones propias de las Administraciones pú- blicas.
• Cuando se refieran a personas vinculadas por una relación negocial, laboral, administrativa o un contrato o precontrato siempre que sean necesarios para el mantenimiento de las rela- ciones o para el cumplimiento del mismo, o para proteger su interés vital.
• Que el tratamiento sea necesario para la protección de un interés vital delinteresado (pre- vención o diagnóstico médico, prestación de asistenciasanitaria o tratamientos médicos o la gestión de servicios sanitarios).
• Cuando los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y li- bertades fundamentales del interesado.
En estos supuestos, y salvo que una norma expresamente lo prohíba, el interesado podrá oponerse
al tratamiento.
El RLOPD, por su parte, incluye dos nuevas excepciones: cuando el tratamiento o cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o cesionario o cuando sean necesarios para el cumplimiento de un deber jurídico, en ambos casos amparados por una norma con rango de Ley o de derecho comunitario.
En el tratamiento de datos especialmente protegidos, la Ley exige una serie de garantías adiciona-
les, tal y como se analizará a continuación.
Por su parte, el RLOPD regula en su artículo 13 el consentimiento para el tratamiento de datos de menores de edad.
13 ‒ 7
2.2.4. Datos especialmente protegidos
El nivel de protección máxima lo establece la Ley para los datos referentes a ideología, afilia-
ción sindical, religión y creencias (art. 7.2 de la LOPD). Nadie podrá ser obligado a declarar sobre estos datos. Solo con el consentimiento expreso y por escrito podrán ser objeto de tratamiento, sien- do obligatorio advertir al interesado sobre su derecho a no prestar su consentimiento (derivado del art. 16 de la CE).
Para el tratamiento o cesión de datos relativos a origen racial, salud o vida sexual (art. 7.3 de la
LOPD) se necesitará el consentimiento expreso o que así lo disponga una ley.
Se podrán tratar, no obstante, los datos anteriores, si resulta necesario para el diagnóstico médico o la gestión de un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. Igualmente, cuando sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapa- citado para dar su consentimiento.
La LOPD establece además la prohibición de crear o mantener ficheros con la finalidad exclusiva
de almacenar datos que revelen la ideología, religión, creencias, origen racial o vida sexual. 2.2.5. Seguridad de los datos
Conforme al artículo 9 de la LOPD, el responsable del fichero y, en su caso, el encargado del tra-
tamiento, deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no au- torizado. Disponer de políticas de seguridad supone garantizar la integridad, disponibilidad y confiden- cialidad de los datos.
Las medidas de seguridad que ha de implementar el responsable del fichero o tratamiento podrán
ser de nivel básico, medio o alto en función del tipo de datos de carácter personal que se traten y de otras circunstancias en los términos establecidos en los artículos 89 y siguientes del RLOPD. Estas medidas se recogerán en el denominado documento de seguridad que será de obligado cumplimiento para el per- sonal con acceso a los sistemas de información.
2.2.6. Deber de secreto
Sobre la materia de protección de datos personales rige un principio general de secreto. En conse-
cuencia, el artículo 10 de la LOPD establece que tanto el responsable del fichero como aquellos que in- tervengan en cualquier fase del tratamiento de los datos, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos. Estas obligaciones subsisten incluso después de finalizar las re- laciones con el titular del fichero o, en su caso, con el responsable del mismo.
2.2.7. Comunicación o cesión de datos
Los artículos 11 de la LOPD y 10 del RLOPD establecen como norma general que los datos de ca-
rácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento inequívoco. Este consentimiento podrá ser revocado.
13 ‒ 8
No obstante lo anterior, no será preciso el consentimiento para la cesión de los datos:
• Cuando la cesión esté autorizada en una Ley.
• Cuando se trate de datos recogidos en fuentes accesibles al público.
• La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo o Tri- bunal de Cuentas –o instituciones autonómicas análogas–, al Ministerio Fiscal o a los jueces o tribunales y se realice en el ámbito de las funciones que la ley les atribuya expresamente.
• La cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento de los datos con fines históricos, estadísticos o científicos; cuando los datos de carácter perso- nal hayan sido recogidos o elaborados por una Administración pública con destino a otra; o cuando la comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias.
• Cuando tratándose de datos relativos a la salud, sea necesario para solucionar una urgencia o realizar estudios epidemiológicos en los términos establecidos en la legislación sanitaria.
No se considerará comunicación o cesión de datos el acceso de un tercero a los datos cuando dicho
acceso sea necesario para la prestación de un servicio al responsable del tratamiento (art. 12 de la LOPD).
2.3. DERECHOS DE LAS PERSONAS EN LA LOPD
Como complemento a los principios analizados, la LOPD establece una serie de derechos del titular
de los datos, que representan la concreción individual de los principios enunciados.
Dentro de los derechos incluidos en los artículos 13 a 19 de la LOPD deben distinguirse dos tipos de derechos:
• Los derechos que constituyen, de acuerdo con la doctrina del Tribunal Constitucional, el
contenido esencial del derecho fundamental a la protección de datos. Estos derechos son los denominados derechos ARCO: acceso, rectificación, cancelación y oposición;
• El derecho a la impugnación de valoraciones, el derecho a indemnización y el derecho de consulta al Registro General de Protección de Datos.
En relación con el ejercicio de los derechos ARCO hay que tener en cuenta quese trata de derechos
personalísimos –solo podrán ser ejercitados por su titular o representantes–, gratuitos e independientes. Y que transcurrido el plazo sin que de forma expresa se responda a la solicitud de ejercicio de estos de- rechos, o bien cuando la resolución no sea conforme con lo solicitado, el interesado podrá interponer la reclamación de tutela de derechos ante la Agencia Española de Protección de Datos prevista en el artí- culo 18 de la LOPD.
2.3.1. Derecho de acceso
Este derecho, regulado en el artículo 15 de la LOPD y 27 al 30 del RLOPD consiste en solicitar y obtener información sobre datos de carácter personal (origen, cesiones, usos y finalidades) que pudieran tener los responsables de ficheros o tratamientos.
13 ‒ 9
El derecho de acceso se ejercerá mediante petición o solicitud dirigida al responsable del fichero, el cual deberá resolver en el plazo de un mes. En el caso de que la resolución sea estimatoria, se producirá el acceso efectivo en el plazo de 10 días desde su notificación.
Podrá ejercitarse este derecho cada 12 meses, salvo que se acredite un interés legítimo al efecto.
2.3.2. Derecho de rectificación y cancelación
Conforme al artículo 16 de la LOPD y 31 al 33 del RLOPD, el titular de los datos podrá ejercitar
estos derechos cuando los datos sean inexactos o incompletos o cuando el tratamiento no se ajuste a lo dispuesto en la LOPD (en particular, cuando tales datos resulten inadecuados o excesivos). Sin perjuicio de la obligación que tiene el responsable del fichero de corregir datos incompletos o inexactos en cum- plimiento del principio de calidad de datos analizado anteriormente.
El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado –cuando proceda– en el plazo de 10 días.
El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecua- dos o excesivos, sin perjuicio del deber de bloqueo conforme establece la normativa vigente en la materia.
A este respecto, la normativa vigente establece que las entidades afectadas deberán proceder al blo- queo de todos aquellos datos de carácter personal incluidos en sus sistemas de información que hayan dejado de ser necesarios para el fin que fueron recabados y proceder a su cancelación definitiva –supre- sión– una vez que se cumplan los plazos de prescripción derivados de las obligaciones o responsabi- lidades nacidas del tratamiento; quedando a disposición de las Administraciones públicas y tribunales durante el plazo de prescripción previsto para la exigencia de responsabilidades nacidas del tratamiento de los datos. Transcurrido dicho plazo, deberán suprimirse.
Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que este, también en el plazo de 10 días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar o cancelar los datos.
2.3.3. Derecho de oposición
Este derecho viene regulado en el artículo 6.4, 17 y 30.4 de la LOPD y 34 a 36 del RLOPD y con-
siste en la potestad que tiene el afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo:
a) Cuando no sea necesario su consentimiento para el tratamiento, el interesado se podrá opo-
ner al tratamiento de los datos, siempre que la Ley no disponga lo contrario, cuando exis- tan motivos fundados y legítimos relativos a una concreta situación personal que se harán constar en la solicitud.
b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publi- cidad y prospección comercial.
c) Cuando el tratamiento tenga por finalidad la adopción de una decisión con efectos jurídicos sobre el interesado o que le afecte de manera significativa, referida a un tratamiento automa- tizado de datos destinado a evaluar determinados aspectos de su personalidad (rendimiento laboral, crédito, fiabilidad o conducta).
13 ‒ 10
El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de 10 días a contar desde la recepción de la solicitud.
2.3.4. Otros derechos: Consulta, reclamación de tutela de los derechos ARCO, im- pugnación de valoraciones e indemnización
Junto a los derechos citados anteriormente, existen otros derechos que no se ejercitan ante el res-
ponsable del fichero o tratamiento, estos son:
• El derecho de consulta (pública y gratuita), que se ejercita ante el Registro General de la
Agencia Española de Protección de Datos, permitiendo saber quién puede haber tratado nuestros datos, sus finalidades, así como la identidad del responsable del fichero (art. 14 de la LOPD).
• El derecho de impugnación de valoraciones. Así, en virtud de lo establecido en el artículo 13 de la LOPD, el interesado podrá impugnar aquellas decisiones que tengan efectos jurí- dicos y cuya base sea únicamente un tratamiento de datos de carácter personal que ofrezca una definición de sus características o de su personalidad.
• La reclamación de tutela de los derechos ARCO ante la autoridad de control, en los supues- tos de denegación total o parcial del ejercicio de esos derechos. La autoridad de control, Agencia Española de Protección de Datos o, en su caso, del organismo competente de cada comunidad autónoma, deberá asegurarse de la procedencia o improcedencia de la denega- ción, debiendo dictar resolución expresa al efecto en el plazo de 6 meses.
Finalmente, la LOPD regula en su artículo 19 el derecho de indemnización,que consiste en el de-
recho a ser indemnizados por los daños y perjuicios producidos por el responsable o encargado del tratamiento de datos como consecuencia del incumplimiento de la LOPD; aplicándose previamente la legislación en materia de responsabilidad administrativa, en el caso de ficheros de titularidad pública. En el supuesto de ficheros de titularidad privada la acción se ejercitará ante los órganos de la jurisdic- ción ordinaria.
2.4. OBLIGACIONES
Sobre el responsable del fichero recaen las principales obligaciones establecidas por la LOPD, a
quién le corresponde velar por el cumplimiento de la Ley en su organización. Entre dichas obligaciones cabe destacar las siguientes:
• Creación, modificación y supresión de ficheros: con identificación del responsable, del fi-
chero, finalidades y usos previstos, sistema de tratamiento empleado, tipología de datos, medidas de seguridad, el encargado del tratamiento y los destinatarios de cesiones y trans- ferencias internacionales. En el caso de las Administraciones Públicas solo podrán hacerse por medio de disposición general publicada en el Boletín Oficial del Estado o diario oficial correspondiente (art. 20 de la LOPD).
• Notificación e inscripción de ficheros ante el Registro General de Protección de Datos.
• Informar a los titulares previamente a la recogida de sus datos (art. 5 de la LOPD) y recabar su consentimiento.
13 ‒ 11
• Implementación de medidas de seguridad técnicas y organizativas (por niveles según tipo de datos) recogidas en el documento de seguridad.
• Asegurarse de que los datos sean adecuados, veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad que justificó su recogida.
• Garantizar el cumplimiento de los deberes de confidencialidad y seguridad.
• Facilitar y garantizar el ejercicio de los derechos ARCO.
• Asegurar que en sus relaciones con terceros (prestadores de servicios), cumplan con la LOPD.
3. EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL, RELATIVO A LA PROTEC- CIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Y A LA LIBRE CIRCULACIÓN DE ESTOS DATOS
La aprobación del Reglamento (UE) 2016/679, de 27 de abril,relativo a la protección de las perso-
nas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos –RGPD) responde a la necesidad de armonizar las diferen- tes regulaciones estatales en esta materia dado que eran muy dispares y ello influía en el tratamiento de la protección de los datos personales por parte de los poderes públicos, pero sobre todo en el sector privado que venía demandando desde hace tiempo una seguridad jurídica equivalente dentro de toda la Unión.
Si bien los Reglamentos europeos gozan de aplicación directa, se ha concedido a los países miem-
bros un periodo de 2 años para su aplicación debido a su complejidad. Así, si bien el Reglamento gene- ral de protección de datos entró en vigor el 25 de mayo de 2016, el mismo será de aplicación directa a partir del 25 de mayo de 2018.
A continuación, se relacionan algunos de las características del régimen jurídico previsto en este
Reglamento, así como algunas de las principales novedades que incorpora el mismo:
1. En cuanto al ámbito de aplicación, el RGPD se aplicará como hasta ahora a responsables o
encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a respon- sables y encargados no establecidos en la Unión Europea siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.
Ello permite que el RGPD sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organiza- ciones deberán nombrar, con carácter general, un representante en la Unión Europea, que actuará como punto de contacto con las autoridades de control y con los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionar- se a los interesados entre la información relativa a los tratamientos de sus datos personales. Esta novedad supone una garantía adicional a los ciudadanos europeos.
Asimismo, queda bien definido que el Reglamento no será de aplicación a los datos de las personas jurídicas. También queda comprendido en esta exclusión el supuesto de que la per-
13 ‒ 12
sona jurídica contenga los nombres de una o más personas físicas (por ejemplo, Martín y Pérez Asociados, SL). Si bien hay que determinar la finalidad de los tratamientos de datos: si a través de la dirección de una persona jurídica y los datos de sus socios incorporados a su denominación, se llegara a una persona física estaríamos hablando de tratamiento de datos personales.
2. Por lo que respecta a la transparencia, lealtad, licitud, consentimiento y categorías especia- les de datos, la regulación es parecida a la que se recoge en la LOPD, si bien con algunas especialidades, destacando, entre ellas, las relativas al consentimiento. El RGPD pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es inequívoco, el RGPD requiere que haya una de- claración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. No será posible, por tanto, el consentimiento tácito o por omisión, que permite la LOPD.
Además, el RGPD prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más es- tricto, ya que el consentimiento no podrá entenderse como concedido implícitamente me- diante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.
El RGPD establece que la edad en la que los menores pueden prestar por sí mismos su con- sentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, per- mite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por de- bajo de esa edad, es necesario el consentimiento de padres o tutores.
Se hace un especial hincapié en que cualquier información que se deba facilitar a los inte- resados se haga en formaconcisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro, sencillo y adaptado a los mismos y, de forma muy especial, cuando dicha información se dirija a los niños (la LOPD solo exige que la información se presente de modo expreso, preciso e inequívoco).
Finalmente, en lo relativo a los datos especialmente protegidos, el RGPD recoge de manera expresa e individualizada dos nuevas categorías: datos genéticos y datos biométricos.
3. El RGPD introduce nuevos derechos para los interesados, como el derecho al olvido –en el que se trata de adaptar a la actual sociedad digital global el tradicional derecho de cancela- ción– y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, Sentencia del TJUE, asunto Google vs. España que reconoció por primera vez el derecho al olvido recogido ahora en el RGPD, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a in- formaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
En este caso, el responsable de dicha publicación, además de suprimirlos de sus propios sis- temas, adoptará todas las medidas razonablespara informar a los terceros que estén tratando
13 ‒ 13
dichos datos de que deben suprimir cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar re- cuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.
Junto a los derechos mencionados, en el capítulo III –consagrado a los derechos de las per- sonas– se regulan los siguientes: Transparencia (art. 12), Información (arts. 13 y 14), Ac- ceso (art. 15), Rectificación (art. 16), Limitación del tratamiento (art. 18), y Oposición (art. 21 y, en lo relativo a decisiones individualizas, art. 22).
4. Dos elementos de carácter general constituyen la mayor innovación del RGPDpara los res- ponsables y, en su caso, encargados, y se proyectan sobre todas las obligaciones de las or- ganizaciones: el principio de responsabilidad proactiva y el enfoque de riesgo.
Para lo cual, el RGPD introduce los siguientes mecanismos: protección de datos desde el diseño y por defecto, medidas de seguridad, análisis de riesgos, notificación de violaciones de seguridad de los datos, evaluación de impacto sobre la protección de datos,registro de actividades de tratamiento de datos y, finalmente, la figura del delegado de protección de datos.
a) Protección de datos desde el diseño y por defecto. La protección de datos desde el di-
seño exige al responsable, que implante desde los primeros momentos de concepción de un nuevo sistema de información, las medidas y procedimientos técnicos y orga- nizativos apropiados para garantizar su conformidad con la normativa de protección de datos y, así, garantizar los derechos y libertades de las personas cuyos datos serán tratados.
Igualmente, se deberá garantizar que, por defecto, solo se traten los datos personales estrictamente imprescindibles para la finalidad o finalidades legítimas del tratamiento y que no se conserven más allá del tiempo mínimo necesario para conseguir dichas finalidades y, en particular, se garantizará que, también por defecto, los datos perso- nales no sean accesibles a un número indeterminado de personas.
b) En el apartado de medidas de seguridad, la novedad más llamativa es que se deja al criterio del responsable o encargado del tratamiento el establecimiento de las medi- das técnicas y organizativas necesarias. Para ello se establece la obligatoriedad de llevar a cabo un análisis de riesgos de seguridad para determinar las medidas que se deben de implantar.
Desaparece, por tanto, la clasificación obligatoria de los tres niveles de seguridad bá- sicos, medio y alto que están vigentes en España, dejando al libre criterio del respon- sable la adopción de las medidas.
A este respecto la Comisión Europea se reserva la posibilidad de establecer y espe- cificar criterios y condiciones aplicables a las medidas de seguridad.
c) Se establece la obligatoriedad denotificar las violaciones de la seguridad de los datos personales –comúnmente conocidas como quiebras de seguridad– a la autoridad de control en un plazo máximo de 72 horas desde que se tiene conocimiento de las mis- mas. Asimismo, en determinados supuestos –los que entrañen un alto riesgo para los derechos o libertades de los interesados– también se deberán notificar a estos últimos.
13 ‒ 14
d) También se introduce la obligación de llevar a cabo una evaluación de impacto rela- tiva a la protección de datos cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturale- za, alcance o fines.
Si la evaluación de impacto indica que es probable que el tratamiento de datos per- sonales de que se trate entrañe un elevado nivel de riesgo específicos para los de- rechos y libertades de los interesados, será obligatorio consultar a la autoridad de control independiente competente en materia de protección de datos, para garanti- zar la conformidad del mismo con la normativa de protección de datos y, así, ate- nuar los riesgos detectados. La autoridad de control de protección de datos también podrá determinar la obligatoriedad de que se proceda a consultarle previamente, en aquellas operaciones que considere potencialmente peligrosas para la privacidad de las personas. Para ello, establecerá y hará pública una lista detallando los trata- mientos de datos personales sometidos a este control previo.
e) Finalmente, también son un reflejo de la responsabilidad proactiva la obligatoriedad de documentar adecuadamente las operaciones de tratamiento de datos personales- desaparece, por tanto, la necesidad de declaración de los ficheros de datos a las au- toridades de control (en el caso de España, la Agencia Española de Protección de Datos) que recogía la LOPD y la regulación de la figura del delegado de protección de datos independiente cuya designación será obligatoria, entre otras organizaciones, en las Administraciones públicas.
5. Se agrava el régimen sancionador y además se aplica sin distinción a los responsables y en-
cargados de tratamiento.
6. Creación del Comité Europeo de Protección de Datos. Al Comité, que actuará con plena independencia en el desempeño de sus funciones, le corresponde garantizar la aplicación coherente del RGPD, para lo cual emitirá dictámenes, directrices, recomendaciones y bue- nas prácticas en los términos establecidos en el RGPD. Además, le corresponde asesorar a la Comisión en materia de protección de datos.
4. PRINCIPOS Y DERECHOS EN EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL
NOTA: En el anexo se recoge un glosario de términos que reproduce el contenido del artículo 4 del RGPD y que se recomien-
da consultar a efectos de una correcta comprensión del régimen jurídico recogido en esta norma.
4.1. ÁMBITO DE APLICACIÓN
Antes de pasar a analizar los principios y derechos recogidos en el Reglamento (UE) 2016/679, de
27 de abril (RGPD) resulta necesario determinar su objeto y ámbito de aplicación.
4.1.1. Objeto
El RGPD:
13 ‒ 15
• Establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
• Protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por
motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
4.1.2. Ámbito de aplicación material
El RGPD se aplica al tratamiento total o parcialmente automatizado de datos personales, así como
al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Queda excluido el tratamiento de datos personales:
a) En el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de
la Unión.
b) Por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE.
c) Efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
d) Por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
4.1.3. Ámbito de aplicación territorial
El RGPD se aplica:
• Al tratamiento de datos personales en el contexto de las actividades de un establecimien-
to del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
• Al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente
de si a estos se les requieres su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
También resulta de aplicación al tratamiento de datos personales por parte de un responsable es-
tablecido en un lugar, fuera de la Unión Europea, en el que el derecho de los Estados miembros sea de aplicación en virtud del derecho internacional público.
13 ‒ 16
4.2. PRINCIPIOS EN EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL
En los artículos 5 a 11 del RGPD se precisan los principios o reglas a los que debe ser sometido el
tratamiento, recogida y el contenido de los datos personales.
4.2.1. Principios relativos al tratamiento (art. 5)
En virtud de este principio, los datos personales serán:
a) Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad
y transparencia»).
b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormen- te de manera incompatible con dichos fines(el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finali- dad»).
c) Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»).
d) Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con res- pecto a los fines para los que se tratan («exactitud»).
e) Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales. También, en este caso, se permite su conservación durante períodos más largo con fines de interés pú- blico, fines de investigación científica o histórica o fines estadísticos («limitación del plazo de conservación»).
f) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, des- trucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas («in- tegridad y confidencialidad»).
El responsable del tratamiento será responsable del cumplimiento de los principios relativos al tra-
tamiento y capaz de demostrarlo («responsabilidad proactiva»).
4.2.2. Licitud del tratamiento (art. 6)
El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o
varios fines específicos.
b) El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
c) El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al res- ponsable del tratamiento.
13 ‒ 17
d) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
e) El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
f) El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no preva- lezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dis- puesto en este apartado no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
El RGPD mantiene, por tanto, el principio ya recogido en la Directiva 95/46 de que todo tratamien-
to de datos necesita apoyarse en una base jurídica que lo legitime, recogiendo las mismas bases jurídicas que contenía la Directiva y la Ley 15/1999: Consentimiento, relación contractual, intereses vitales del interesado o de otras personas, obligación legal para el responsable, interés público o ejercicio de poderes públicos, e intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
4.2.3. Condiciones para el consentimiento (art. 7)
El RGPD define el consentimiento del interesado como toda manifestación de voluntad, libre, es-
pecífica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de los datos personales que le conciernen.
Cuando el tratamiento se base en el consentimiento del interesado, el responsable debe ser capaz de
demostrar que aquel consintió el tratamiento de sus datos personales.
Si el consentimiento se da en el contexto de una declaración escrita que también se refiera a otros asun- tos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos.
El consentimiento podrá ser revocado por el interesado. La retirada del consentimiento no tiene
efectos retroactivos. 4.2.4. Condiciones aplicables al consentimiento del niño en relación con los servi-
cios de la sociedad de la información (art. 8)
En relación con la oferta directa de servicios de la sociedad de la información a menores, el trata- miento de los datos personales se considerará lícito si el menor que presta el consentimiento tiene como mínimo 16 años. Si fuese menor de 16 años, tal tratamiento únicamente se considerará lícito si el con- sentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta
no sea inferior a 13 años. 4.2.5. Tratamiento de categorías especiales de datos personales (art. 9)
Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opi-
niones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de
13 ‒ 18
datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
No obstante, el RGPD contempla varias excepciones, así, será posible el tratamiento de estos datos
cuando concurran diferentes circunstancias recogidas en el artículo 9, entre ellas:
• Si el interesado dio su consentimiento explícito para el tratamiento de dichos datos para
fines concretos salvo que la normativa de la Unión Europea o de los Estados miembros lo prohíba.
• Si el tratamiento es preciso en el ámbito laboral y de la seguridad y protección social; o para la protección de intereses vitales del interesado o de terceros.
• Si se refiere a datos que el interesado ha hecho públicos intencionadamente.
• Si el tratamiento es necesario por razones de un interés público esencial, de acuerdo con la normativa de la Unión Europea o de los Estados miembros, para fines de medicina preven- tiva o laboral, evaluación de la capacidad laboral de trabajadores, tratamiento sanitario o social, la salud pública; fines de archivo de interés público, investigación científica o histó- rica o de estadística, entre otros.
4.2.6. Tratamiento de datos personales relativos a condenas e infracciones penales (art. 10)
El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de segu-
ridad solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice la normativa de la Unión Europea o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.
4.2.7. Tratamiento que no requiere identificación (art. 11)
Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el RGPD.
4.3. DERECHOS DEL INTERESADO EN EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL
El RGPD consagra su capítulo III (arts. 12-23) a la regulación de los derechos de los interesados.
En el artículo 12 se establecen las obligaciones generales que deberá observar el responsable del
tratamiento en el ejercicio de los derechos reconocidos al interesado.
A continuación, se regulan los distintos derechos: Transparencia (art. 12), Información (arts. 13 y 14), Acceso (art. 15), Rectificación (art. 16), Supresión o derecho al olvido (art. 17), Limitación del tra- tamiento (art. 18), Portabilidad de datos (art. 20) y Oposición (art. 21 y , en lo relativo a decisiones in- dividualizas, art. 22).
13 ‒ 19
Finalmente, este capítulo se cierra con el artículo 23, el cual permite que, a través de medidas le- gislativas y por las causas tasadas en dicho artículo, se puedan establecer limitaciones al alcance de los derechos reconocidos a los interesados.
Ahora bien, la regulación de los derechos de los interesados no se agota en dicho capítulo. Así, en
el capítulo VIII (arts. 77-84) se pone a disposición de los interesados mecanismos de reclamación ante la autoridad de control y de tutela judicial contra una autoridad de control, además de reconocerles el derecho a ser indemnizados por el responsable o encargado del tratamiento por los daños y perjuicios sufridos como consecuencia de la infracción del RGPD.
Finalmente, téngase en cuenta el carácter hibrido de algunos principios y obligaciones, en la medi-
da que los mismos constituyen a su vez obligaciones para el responsable y/o encargado del tratamiento y correlativamente derechos para los interesados como, por ejemplo, en el caso de las notificaciones de violaciones de seguridad (art. 34).
4.3.1. Transparencia de la información, comunicación y modalidades de ejercicio de
los derechos del interesado (art. 12)
En este artículo se recogen un conjunto de obligaciones que deberá observar el responsable del tra- tamiento en relación con los derechos reconocidos al interesado.
En lo relativo a la información y comunicaciones dirigidas al interesado, en cumplimiento de los ar-
tículos 13 y 14, 15 a 22, y 34, se exige al responsable que adopte las medidas oportunas para garantizar que sea concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la informa- ción podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.
Se establece, además, en el apartado f) de este artículo, que la información que deberá facilitarse a
los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos norma- lizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una ade- cuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.
En lo relativo al ejercicio de los derechos que el RGPD reconoce al interesado en sus artículos 15
a 22, el responsable deberá:
• Facilitar al interesado el ejercicio de esos derechos.
• Cuando el interesado ejercite cualquiera de esos derechos, el responsable le facilitará la infor- mación relativa a sus actuaciones en el plazo de un mes a partir de la recepción de la solicitud. Este plazo podrá prorrogase 2 meses más, en atención a la complejidad y número de solicitu- des. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el in- teresado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
• Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
13 ‒ 20
La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito.
Ahora bien, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente
debido a su carácter repetitivo, el responsable del tratamiento podrá cobrar un canon o negarse a actuar respecto a la solicitud. El responsable del tratamiento soportará la cara de demostrar el carácter mani- fiestamente infundado o excesivo de la solicitud.
4.3.2. Información que deberá facilitarse cuando los datos personales se obtengan del interesado (art. 13)
De acuerdo con el apartado 1 del artículo 13 del RGPD, el responsable del tratamiento, en el mo-
mento en que se obtengan los datos personales, deberán informar al interesado de:
a) La identidad y datos de contacto del responsable y, en su caso, del representante
b) De existir esta figura,de los datos de contacto del delegado de protección de datos.
c) Los fines y base jurídica del tratamiento.
d) Los destinatarios o categorías de destinatarios de los datos personales en su caso.
e) Los intereses legítimos del responsable o de un tercero, si de conformidad con el artículo 6.1f), el tratamiento se basa en ellos.
f) En su caso, de su intención de transferir datos personales a un tercer país u organización in- ternacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para ob- tener una copia de estas o al hecho de que se hayan prestado.
Además de la información mencionada en el apartado 1 del artículo 13, se establece en el apartado
2 que el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los
criterios utilizados para determinar este plazo.
b) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su trata- miento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
c) Si el tratamiento se basa en el consentimiento, su derecho a revocarlo en cualquier momen- to, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
d) El derecho a presentar una reclamación ante una autoridad de control.
e) Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos per- sonales y está informado de las posibles consecuencias de que no facilitar tales datos.
f) La existencia de decisiones automatizas, incluida la elaboración de perfiles, así como sobre la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
13 ‒ 21
Lo previsto en este artículo no será aplicable cuando y en la medida en que el interesado ya dispon- ga de esta información.
4.3.3. Información que deberá facilitarse cuando los datos personales no se hayan
obtenido del interesado (art. 14)
Asimismo, si los datos no se han obtenido del interesado será necesario facilitarle cierta informa- ción, en un determinado plazo. Esta información coincide con la información prevista en el artículo 13.1 salvo el apartado d) –es decir, con la información a facilitar si los datos personales se recaban directamente del interesado– debiendo, además, informarle de las categorías de datos personales de que se trate.
Asimismo, para garantizar un tratamiento de datos leal y transparente, el responsable deberá pro-
porcionarle la información relacionada en el subepígrafe anterior para el mismo fin (art. 13.2), y además informarle sobre la fuente de la que procedan los datos personales y, en su caso, si proceden de fuentes de acceso público.
El responsable del tratamiento facilitará la información anterior:
a) Dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro
de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.
b) Si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado.
c) Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
Finalmente, también se recogen al final de este artículo, aquellos supuestos en que no habrá que fa-
cilitar esta información interesado (el interesado ya tenga la información, la comunicación resulte impo- sible o un esfuerzo desproporcionado, en particular para el tratamiento de datos con fines de archivo en interés público, fines de investigación o fines estadísticos, etc.).
4.3.4. Derecho de acceso del interesado (art. 15)
El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están
tratando o no datos personales que le conciernen y, en tal caso, tendrá derecho de acceso a los datos per- sonales –copia de los datos personales objeto de tratamiento– y a la siguiente información:
a) Los fines del tratamiento; categorías de datos personales de que se traten y de las posibles
comunicaciones de datos y sus destinatarios (en particular, destinatarios en terceros países u organizaciones internacionales).
b) De ser posible, el plazo de conservación de los datos. De no serlo, los criterios para deter- minar este plazo.
c) La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
d) El derecho a presentar una reclamación ante la autoridad de control;
13 ‒ 22
e) Si se produce una transferencia internacional de datos, recibir información de las garantías adecuadas.
f) De la existencia de decisiones automatizadas (incluyendo perfiles), la lógica aplicada y con- secuencias de este tratamiento.
Cuando se transfieran datos personales a un tercer país o a una organización internacional, el inte-
resado tendrá derecho a ser informado de las garantías adecuadas.
El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable ba- sado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato elec- trónico de uso común.
4.3.5. Derecho de rectificación (art. 16)
En el ejercicio de este derecho, el interesado tendrá derecho:
• A obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos
personales inexactos que le conciernan.
• Teniendo en cuenta los fines del tratamiento, a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
4.3.6. Derecho de supresión: el «derecho al olvido» (art. 17)
Este derecho es una novedad introducida por el RGPD, si bien, supone la evolución y adaptación del derecho de cancelación recogido en la normativa anterior.
En virtud del mismo, y de acuerdo con lo establecido en el apartado 1 del artículo 17, el interesado
tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, cuando concurra alguna de las circunstancias siguientes:
a) Los datos personales ya no sean necesarios en relación con los fines para los que fueron
recogidos o tratados de otro modo.
b) En el caso de que el tratamiento se base únicamente en el consentimiento del interesado – artículo 6.1 a) o artículo 9.2.a) -, cuando el interesado lo retire.
c) El interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no preva- lezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2 (En el artículo 21 se regula el derecho de oposición, en concreto, en su apartado 2, cuanto el tratamiento tenga por objeto la mercadotecnia di- recta).
d) Los datos personales hayan sido tratados ilícitamente.
e) Los datos personales deban suprimirse para el cumplimiento de una obligación legal esta- blecida en el derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
13 ‒ 23
f) Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (consentimiento de menores en relación con los servicios de la sociedad de la información).
Por su parte, se establece en el apartado 2 de este artículo que cuando haya hecho públicos los datos
personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el res- ponsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adop- tará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
Son excepciones a este derecho y no procederá, por tanto, la supresión de datos cuando el trata-
miento sea necesario:
a) Para ejercer el derecho a la libertad de expresión e información.
b) Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impues- ta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejer- cicio de poderes públicos conferidos al responsable.
c) Por razones de interés público en el ámbito de la salud pública de conformidad con el ar- tículo 9, apartado 2, letras h) e i), y apartado 3.
d) Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento.
e) Para la formulación, el ejercicio o la defensa de reclamaciones. 4.3.7. Derecho a la limitación del tratamiento (art. 18)
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento
de los datos cuando se cumpla alguna de las condiciones siguientes:
a) El interesado impugne la exactitud de los datos personales, durante un plazo que permita al
responsable verificar la exactitud de los mismos;
b) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
c) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el in- teresado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) El interesado se haya opuesto al tratamiento –haya ejercitado el derecho de oposición pre- visto en el art. 21– mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
Cuando el tratamiento de datos personales se haya limitado, dichos datos solo podrán ser objeto de
tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formu- lación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.
13 ‒ 24
Todo interesado que haya obtenido la limitación del tratamiento, será informado por el responsable antes del levantamiento de dicha limitación.
4.3.8. Obligación de notificación relativa a la rectificación o supresión de datos per- sonales o la limitación del tratamiento (art. 19)
El responsable del tratamiento comunicará cualquier rectificación, supresión de datos personales o
limitación del tratamiento a cada uno de los destinatarios a los que se hayan comunicado los datos per- sonales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al in- teresado acerca de dichos destinatarios, si este así lo solicita.
4.3.9. Derecho a la portabilidad de los datos (art. 20)
Junto con el derecho al olvido, es otra de las novedades más importantes, en lo relativo a los dere- chos de los interesados, introducidas por el RGPD.
El mismo implica que el interesado tendrá derecho a recibir los datos personales que le incumban,
que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectu- ra mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) El tratamiento esté basado en el consentimiento o en un contrato con arreglo al artículo 6.1 b).
b) El tratamiento se efectúe por medios automatizados.
El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable
a responsable cuando sea técnicamente posible.
4.3.10. Derecho de oposición (art. 21)
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f) (el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento o que el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño) incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa (convencer al
cliente para el consumo), el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacio- nada con la citada mercadotecnia. En este caso, ejercido el derecho de oposición por el interesado, los datos personales dejarán de ser tratados para dichos fines.
13 ‒ 25
Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por moti- vos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
4.3.11. Decisiones individuales automatizadas, incluida la elaboración de perfiles
(art. 22)
Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamien- to automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte sig- nificativamente de modo similar.
No será posible el ejercicio de ese derecho, si la decisión:
a) Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un res-
ponsable del tratamiento.
b) Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al res- ponsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
c) Se basa en el consentimiento explícito del interesado. 4.3.12. Limitaciones (art. 23)
El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del
tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los dere- chos establecidos en los artículos 12 a 22 y el artículo 34 (notificación de violaciones de seguridad al in- teresado), así como en el artículo 5 (principios relativos al tratamiento), cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
a) La seguridad del Estado.
b) La defensa.
c) La seguridad pública.
d) La prevención, investigación, detección o enjuiciamiento de infracciones penales o la eje- cución de sanciones penales, incluida la protección frente a amenazas a la seguridad públi- ca y su prevención;
e) Otros objetivos importantes de interés público general de la Unión o de un Estado miem- bro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social.
f) La protección de la independencia judicial y de los procedimientos judiciales.
g) La prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas.
13 ‒ 26
h) Una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmen- te, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g) seguridad del Estado, objetivos de interés público de la Unión o de los Estados miembros e infracciones de normas deontológicas).
i) La protección del interesado o de los derechos y libertades de otros.
j) La ejecución de demandas civiles.
Las medidas legislativas adoptadas deberán recoger las disposiciones específicas previstas en el
apartado 2 de artículo 23.
4.3.13. Otros derechos: reclamación, tutela judicial e indemnización (capítulo VIII del RGPD)
Tal y como se ha indicado al inicio de este epígrafe, la regulación de los derechos no se agota en
el capítulo III.
Así, en el capítulo VIII (arts. 77 a 84) se recogen distintos derechos, distinguiendo entre los dere- chos reconocidos a los interesados (en los términos que el RGPD define interesado en su artículo 4.1) y los derechos reconocidos, en general, a las personas.
Los derechos reservados a los interesados son:
• El derecho a presentar una reclamación ante una autoridad de control (art. 77), al margen
de otros recursos o acciones judiciales, si considera que el tratamiento de datos personales que le conciernen infringe el RGPD.
• Derecho a la tutela judicial efectiva contra una autoridad de control (art. 78), bien contra las decisiones jurídicamente vinculantes dictadas por esta autoridad, bien porque no dé curso a una reclamación o no sea informado en el plazo de 3 meses sobre el curso o resultado de la reclamación mencionada anteriormente (reclamación del art. 77).
• El derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento (art. 79), al margen de otros recursos o acciones judiciales, incluida la reclamación regula- da en el artículo 77, cuando el interesado considere que sus derechos en virtud del RGPD han sido vulnerados como consecuencia de un tratamiento de sus datos personales.
Finalmente, el RGPD reconoce con carácter general a las personas el derecho a la tutela judicial
efectiva contra una autoridad de control anteriormente mencionado (art. 78) y el derecho a la indemniza- ción y responsabilidad (art. 82). En virtud de este último derecho, toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios su- fridos en los términos establecidos en el artículo 82.
5. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO Y ENCARGADO
DEL TRATAMIENTO
Se encuentran reguladas en el capítulo IV (arts. 24 a 39) del RGPD. Siguiendo la estructura en sec-
ciones de este capítulo, se pueden distinguir 4 categorías de obligaciones:
13 ‒ 27
1. Generales.
2. Relativas a la seguridad de los datos personales.
3. Relativas a la evaluación de impacto y consulta previa.
4. Relativas al delegado de protección de datos.
5.1. OBLIGACIONES GENERALES
5.1.1. Responsabilidad del responsable del tratamiento (art. 24)
Se recoge la obligación general de que, en atención a la naturaleza, fines del tratamiento y riesgos
probables para los derechos y libertades de las personas físicas, el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamien- to es conforme con el presente RGPD. Estas medidas se revisarán y actualizarán cuando sea necesario.
Para demostrar el cumplimiento de sus obligaciones, el responsable podrá utilizar la adhesión
a códigos de conducta o mecanismos de certificación, que cumplan los requisitos establecidos en el RGPD.
5.1.2. Protección de datos desde el diseño y por defecto (art. 25)
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, con-
texto y fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seu- donimización o la minimización de datos, e integrará las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del RGPD y proteger los derechos de los interesados.
El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras
a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
5.1.3. Corresponsables del tratamiento (art. 26)
Cuando 2 o más responsables determinen conjuntamente los objetivos y los medios del tratamiento
serán considerados corresponsables del tratamiento. Los corresponsables determinarán sus responsabili- dades respectivas en el cumplimiento de las obligaciones impuestas por el RGPD, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el derecho de la Unión o de los Estados miembros que se les aplique a ellos.
Independientemente de los términos del acuerdo, los interesados podrán ejercer los derechos que
les reconoce el RGPD frente a, y en contra de, cada uno de los responsables.
13 ‒ 28
5.1.4. Representantes de responsables o encargados del tratamiento no establecidos
en la Unión (art. 27)
Cuando sea de aplicación el artículo 3, apartado 2 (tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas la oferta de bienes o servicios o con el control de su com- portamiento), el responsable o el encargado del tratamiento designará por escrito un representante en la Unión. Se regulan supuestos de no aplicación.
5.1.5. Encargado del tratamiento (art. 28)
Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente RGPD y garantice la protección de los derechos del interesado.
El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, es-
pecífica o general, del responsable. En este último caso, el encargado informará al responsable de cual- quier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al derecho
de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable. El contenido del contrato o acto jurídico se ajustará a lo establecido en el artículo 28.2 del RGPD.
5.1.6. Tratamiento bajo la autoridad del responsable o del encargado del tratamien- to (art. 29)
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del en-
cargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del res- ponsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.
5.1.7. Registro de las actividades de tratamiento (art. 30)
Cada responsable y, en su caso, su representante, llevarán un registro de las actividades de trata- miento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada en el artículo 30 del RGPD.
Están exentas las empresas y organizaciones que empleen a menos de 250 trabajadores, a menos que
el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas o infracciones penales.
5.1.8. Cooperación con la autoridad de control (art. 31)
El responsable y el encargado del tratamiento y, en su caso, sus representantes cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones.
13 ‒ 29
5.2. SEGURIDAD DE LOS DATOS PERSONALES
5.2.1. Seguridad del tratamiento. El análisis de riesgo (art. 32)
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el
contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los de- rechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán me- didas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia per-
manentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rá- pida en caso de incidente físico o técnico.
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que
presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comuni- cación o acceso no autorizados a dichos datos.
El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier per-
sona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en vir- tud del Derecho de la Unión o de los Estados miembros.
5.2.2. Notificación de una violación de la seguridad de los datos personales a la au-
toridad de control (art. 33)
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la no-
tificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las vio-
laciones de la seguridad de los datos personales de las que tenga conocimiento.
El responsable del tratamiento documentará cualquier violación de la seguridad. Dicha docu-
mentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presen- te artículo.
13 ‒ 30
5.2.3. Comunicación de una violación de la seguridad de los datos personales al in-
teresado (art. 34)
Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto ries-
go para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
La comunicación al interesado no será necesaria en los siguientes casos:
a) El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas
apropiadas y estas medidas se han aplicado a los datos personales afectados por la viola- ción de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
b) El responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado.
c) Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comu- nicación pública o una medida semejante por la que se informe de manera igualmente efec- tiva a los interesados.
5.3. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Y CONSULTA PREVIA
5.3.1. Evaluación de impacto relativa a la protección de datos (art. 35)
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su
naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las perso- nas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha
sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos. La autoridad de control co- municará esas listas alComité Europeo de Protección de Datos.
La evaluación deberá incluir como mínimo:
a) Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del
tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
c) Una evaluación de los riesgos para los derechos y libertades de los interesados.
13 ‒ 31
d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformi- dad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
5.3.2. Consulta previa (art. 36)
El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una
evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tra- tamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.
Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado
anterior podría infringir el RGPD, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58, entre ellos, prohibir el tratamiento.
Dicho plazo podrá prorrogarse 6 semanas, en función de la complejidad del tratamiento previsto. La
autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación.
Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información so-
licitada a los fines de la consulta.
5.4. EL DELEGADO DE PROTECCIÓN DE DATOS
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno
de los elementos claves del RGPD y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las autoridades de control. Así, al delegado de protección de datos, que actuará de forma independiente, se le atribuyen una serie de funcio- nes reguladas en el artículo 39, entre las que destacan informar y asesorar, así como supervisar el cum- plimiento del RGPD por parte del responsable o encargado. El delegado de protección de datos podrá ser interno o externo, persona física o persona jurídica, especializada en esta materia.
La designación de un delegado de protección de datos por el responsable y el encargado del trata-
miento será obligatoria en los siguientes casos:
a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que
actúen en ejercicio de su función judicial.
b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación ha- bitual y sistemática de interesados a gran escala.
c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Un grupo empresarial podrá nombrar un único delegado siempre que sea fácilmente accesible desde
cada establecimiento.
13 ‒ 32
En el caso de los organismos públicos, se podrá asimismo designar un único delegado, en función de su estructura organizativa y tamaño.
En lo relativo a su designación, posición y funciones (reguladas en los arts. 37 a 39 del RGPD) tén-
gase en cuenta lo establecido en el siguiente epígrafe, en la medida que lo establecido en los mismos re- sulta de aplicación a todo delegado de protección de datos, independientemente del tipo de organización –pública o privada– en la que desarrolle sus funciones.
6. EL DELEGADO DE PROTECCIÓN DE DATOS EN LAS ADMINISTRACIONES PÚBLICAS
Tal y como se acaba de señalar, una de las grandes novedades que introduce el RGPD es la fi-
gura del delegado de protección de datos siendo obligatoria su designación cuando el tratamiento de protección de datos sea llevado a cabo por una autoridad u organismo público, excepto los tribuna- les que actúen en ejercicio de su función judicial. En función de la estructura organizativa y tamaño de la autoridad u organismo público, se podrá designar un único delegado para varias autoridades u organismos.
En relación con la designación del delegado de protección datos,el artículo 37 del RGPD estable-
ce lo siguiente:
1. Será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimien-
tos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las funciones contempladas en el artículo 39. El nivel de conoci- mientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento.
2. Podrá ser empleado por el responsable o el encargado del tratamiento –relación laboral– o desempeñar sus tareas sobre la base de un contrato de servicios.
3. La designación será para un mandato de 2 años, renovables. Durante su mandato, el dele- gado de protección de datos solo podrá ser destituido si deja de cumplir las condiciones re- queridas para el ejercicio de sus funciones.
El responsable o el encargado del tratamiento publicarán el nombre y los datos de contacto del de-
legado de protección de datos y lo comunicarán a la autoridad de control.
Los interesados podrán ponerse en contacto con el delegado de protección de datos en todo lo rela- tivo al tratamiento de sus datos de carácter personal y al ejercicio de sus derechos.
En el artículo 38 del RGPD se regula la posición del delegado de protección de datos. Así, en virtud
de lo establecido en dicho artículo, el responsable o encargado del tratamiento:
1. Garantizará que el delegado de protección de datos participe de forma adecuada y en su de-
bido momento en todas las cuestiones relativas a la protección de datos personales.
2. Respaldarán al delegado de protección de datos en el desempeño de sus tareas y facilitarán el personal, los locales, los equipamientos y cualesquiera otros recursos necesarios para el desempeño de sus funciones.
13 ‒ 33
3. Velarán porque el delegado de protección de datos no reciba ninguna instrucción en el ejer- cicio de sus funciones. El delegado de protección de datos rendirá cuentas al más alto nivel jerárquico.
4. Velarán porque cualesquiera otras funciones profesionales del delegado de protección de datos sean compatibles con sus funciones en calidad de delegado de protección de datos y no den lugar a conflictos de intereses (Cabe, por tanto, que el delegado desempeñe sus fun- ciones a tiempo parcial).
Por último, en el artículo 39 se regulan las funciones mínimas del delegado de protección de datos,
estableciendo lo siguiente:
a) Informar y asesorar al responsable o encargado y los empleados que realicen el tratamien-
to de las obligaciones que les incumben en virtud del RGPD y de cualquier otra normativa, nacional o de la Unión Europea, en materia de protección de datos. Supervisar el cumpli- miento de la normativa indicada.
b) Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de res- ponsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
d) Cooperar con la autoridad de control.
e) Actuar como punto de contacto de la autoridad de control para cuestiones relativas al trata- miento, y realizar consultas, en su caso, sobre cualquier otro asunto.
Con el objetivo de ofrecer seguridad y fiabilidad a las empresas y entidades que van a incorporar
esta figura a sus organizaciones, la Agencia Española de Protección de Datos ha desarrollado un esquema de certificación de los delegados de protección de datos. Ahora bien, esta certificación no es obligatoria para poder ejercer como delegado de protección de datos y se puede actuar como tal sin estar certificado bajo este o cualquier otro esquema.
7. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
La existencia de una autoridad independiente que vele por el derecho a la protección de datos está
prevista en el Convenio 108 del Consejo de Europa, de 1981, el primer texto internacional sobre la mate- ria, y obtiene su configuración más acabada en la Directiva 95/46/CE, relativa a la protección de las per- sonas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos: «La creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que res- pecta al tratamiento de datos personales» (Considerando 62 de la Directiva 95/46).
El artículo 28.1 de la Directiva prevé que «estas autoridades ejercerán las funciones que le son atri-
buidas con total independencia».
En España se adoptó el criterio organizativo y funcional propuesto en el Convenio 108 y que luego pasaría a ser un rasgo esencial del modelo europeo: la atribución de la función de velar por el cumpli- miento de la normativa de protección de datos a una autoridad independiente.
13 ‒ 34
Así, a través del título VI de la derogada 5/1992, de 29 de octubre, de regulación del tratamiento au- tomatizado de los datos de carácter personal (LORTAD), se reguló la creación de la Agencia Española de Protección de Datos como ente independiente, con presupuesto propio y plena autonomía funcional, encargada de velar por la máxima eficacia de sus disposiciones.
Mediante el Real Decreto 428/1993, de 26 de marzo, se aprobó el Estatuto de la Agencia Española
de Protección de Datos.
Actualmente existen, además, dos agencias autonómicas, la Autoridad Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos.
Las mismas ejercen las funciones de control respecto de los ficheros de datos de carácter personal
creados o gestionados por las comunidades autónomas y por la Administración local de su ámbito terri- torial. Los ficheros privados de estas comunidades autónomas son competencia de la Agencia Española de Protección de Datos.
7.1. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
La Agencia Española de Protección de Datos (AEPD) es la autoridad estatal de control independien-
te encargada de velar por el cumplimiento de la normativa sobre protección de datos. Garantiza y tutela el derecho fundamental a la protección de datos de carácter personal de los ciudadanos.
La agencia es un ente de derecho público, con personalidad jurídica propia y plena capacidad pú-
blica y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Se relaciona con el Gobierno a través del Ministerio de Justicia. Goza de la condición de Autoridad Administrativa Independiente, de conformidad con lo dispuesto en el artículo 84 De la Ley 40/2015, de régimen jurídico del sector público.
El marco normativo de la AEPD está constituido por las siguientes disposiciones:
• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
• Real Decreto 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la Ley Or- gánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
• Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Es- pañola de Protección de Datos.
• Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
7.2. ESTRUCTURA ORGÁNICA
La AEPD se estructura en los siguientes órganos:
1. El director.
2. El Consejo Consultivo.
3. El Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General como órganos jerárquicamente dependientes del director de la agencia.
13 ‒ 35
7.2.1. El Director de la AEPD
El director de la AEPD dirige la Agencia y ostenta su representación. Será nombrado, de entre quie-
nes componen el Consejo Consultivo, mediante Real Decreto a propuesta del Ministro de Justicia, por un periodo de 4 años.
Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción algu-
na en el desempeño de aquellas.
En todo caso, el director deberá oír al Consejo Consultivo en aquellas propuestas que este le reali- ce en el ejercicio de sus funciones.
El director de la AEPD solo cesará antes de la expiración de su mandato, a petición propia o por
separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso.
El director de la AEPD tendrá la consideración de alto cargo.
7.2.2. El Consejo Consultivo
El director de la AEPD estará asesorado por un Consejo Consultivo compuesto por los siguientes
miembros:
• Un diputado, propuesto por el Congreso de los Diputados.
• Un senador, propuesto por el Senado.
• Un representante de la Administración Central, designado por el Gobierno.
• Un representante de la Administración local, propuesto por la Federación Española de Mu- nicipios y Provincias.
• Un miembro de la Real Academia de la Historia, propuesto por la misma.
• Un experto en la materia, propuesto por el Consejo Superior de Universidades.
• Un representante de los usuarios y consumidores, seleccionado del modo que se prevea re- glamentariamente.
• Un representante de cada comunidad autónoma que haya creado una agencia de protección de datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la respectiva comunidad autónoma.
• Un representante del sector de ficheros privados, para cuya propuesta se seguirá el proce- dimiento que se regule reglamentariamente.
El Consejo Consultivo emitirá informe en todas las cuestiones que le someta el director de la AEPD
y podrá formular propuestas en temas relacionados con las materias de competencia de esta. 7.2.3. El Registro General de Protección de Datos
El Registro General de Protección de Datos es un órgano integrado en la AEPD al que corresponde
velar por la publicidad de la existencia de los ficheros y tratamientos de datos de carácter personal, con
13 ‒ 36
el fin de hacer posible el ejercicio de los derechos que la normativa en materia de protección de datos, reconoce a los titulares de esos datos.
• Los ficheros de las Administraciones públicas.
• Los ficheros de titularidad privada.
• Las autorizaciones de transferencias internacionales de datos de carácter personal con des- tino a países que no presten un nivel de protección equiparable al que presta la LOPD a que se refiere el art. 33.1 de la citada Ley.
• Los códigos tipo a que se refiere el artículo 32 de la LOPD.
• Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.
7.3. FUNCIONES DE LA AEPD
La AEPD está encargada de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos (ARCO).
A continuación, se describen sucintamente las funciones de la Agencia agrupadas por materias según
los actos/actores involucrados:
1. En relación con los interesados:
• Atender a sus peticiones y reclamaciones (en particular, la reclamación de tutela de los de-
rechos ARCO).
• Informar de los derechos reconocidos en la normativa sobre protección de datos.
• Promover campañas de difusión a través de los medios.
• Velar por la publicidad de los ficheros de datos de carácter personal.
2. En relación con quienes tratan datos (responsables, encargados, etc.):
• Emitir las autorizaciones previstas en la normativa sobre protección de datos.
• Requerir medidas de corrección.
• Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos.
• Ejercer la potestad sancionadora en los términos previstos en la normativa sobre protección de datos.
• Recabar de los responsables de los ficheros la ayuda e información que precise para el ejer- cicio de sus funciones.
• Autorizar las transferencias internacionales de datos.
3. En la elaboración de normas:
• Informar preceptivamente los Proyectos de normas de desarrollo de la Ley Orgánica de Pro-
tección de Datos.
13 ‒ 37
• Informar los Proyectos de normas que incidan en materia de protección de datos.
• Dictar las instrucciones y recomendaciones precisas para adecuar los tratamientos automa- tizados a los principios de la Ley Orgánica de Protección de Datos.
• Dictar recomendaciones de aplicación de las disposiciones legales y reglamentarias en ma- teria de seguridad de los datos y control de acceso a los ficheros.
4. En materia de telecomunicaciones:
• Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunica-
ciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas rea- lizadas a través de correo electrónico o medios de comunicación electrónica equivalente (spam).
• Recibir las notificaciones de las eventuales quiebras de seguridad que se produzcan en los sistemas de los proveedores de servicios de comunicaciones electrónicas y que puedan afec- tar a datos personales.
5. Otras funciones:
• Cooperación con diversos organismos internacionales y con los órganos de la Unión Euro-
pea en materia de protección de datos.
• Representación de España en los foros internacionales en la materia.
• Control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública.
• Elaboración de una memoria anual, que es presentada por el Director de la Agencia ante las Cortes Generales.
Por su parte, la regulación de las autoridades de control en el Reglamento europeo de protección de
datos (RGPD) se recoge en el capítulo VI.
Con el fin de adaptar la actividad de la AEPD a este Reglamento, hay un proyecto de nuevo estatu- to de la Agencia en tramitación, a la espera de la aprobación de la nueva normativa nacional en materia de protección de datos.
ANEXO
Glosario Reglamento (UE) 2016/679, de 27 de abril (RGPD)
Este glosario reproduce el contenido del artículo 4 del RGPD.
A efectos del Reglamento se entenderá por:
1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda de- terminarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
13 ‒ 38
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, regis- tro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utiliza- ción, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
3) «limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin
de limitar su tratamiento en el futuro;
4) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consis- tente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económi- ca, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;
5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuir-
se a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos persona- les no se atribuyan a una persona física identificada o identificable;
6) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios de-
terminados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el respon- sable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, ser-
vicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
9) «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;
10) «tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del intere-
sado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;
11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e
inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmati- va, el tratamiento de datos personales que le conciernen;
12) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasio-
ne la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
13 ‒ 39
13) «datos genéticos»: datos personales relativos a las características genéticas heredadas o adqui- ridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;
14) «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específi-
co, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
15) «datos relativos a la salud»: datos personales relativos a la salud física o mental de una perso-
na física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su es- tado de salud;
16) «establecimiento principal»:
a) En lo que se refiere a un responsable del tratamiento con establecimientos en más de un Es-
tado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del respon- sable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales deci- siones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;
b) En lo que se refiere a un encargado del tratamiento con establecimientos en más de un Es- tado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;
17) «representante»: persona física o jurídica establecida en la Unión que, habiendo sido designa-
da por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Re- glamento;
18) «empresa»: persona física o jurídica dedicada a una actividad económica, independientemente
de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una activi- dad económica;
19) «grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas
controladas;
20) «normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una activi- dad económica conjunta;
21) «autoridad de control»: la autoridad pública independiente establecida por un Estado miembro
con arreglo a lo dispuesto en el artículo 51;
22) «autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales debido a que:
13 ‒ 40
a) El responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control;
b) Los interesados que residen en el Estado miembro de esa autoridad de control se ven sustan- cialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o
c) Se ha presentado una reclamación ante esa autoridad de control;
23) «tratamiento transfronterizo»:
a) El tratamiento de datos personales realizado en el contexto de las actividades de estableci-
mientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o
b) El tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;
24) «objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o
no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de accio- nes previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamen- tales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;
25) «servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo
1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo;
26) «organización internacional»: una organización internacional y sus entes subordinados de De- recho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más paí- ses o en virtud de tal acuerdo.
13 ‒ 41