Protección de datos
Marginales

Marginales | Protección de datos

Ver Indice
»
119

datos

Última revisión:08-07-2022

El Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE), conocido como «Reglamento General de Protección de Datos» o  RGPD, entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena comenzó el 25 de mayo de 2018.Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (RGPD)1. Disposiciones generalesArtículos 1 a 4 del RGPD1.1. ObjetoArtículo 1 del RGPD1.2. Ámbito de aplicación materialArtículo 2 del RGPD1.3. Ámbito territorialArtículo 3 del RGPD1.4. DefinicionesArtículo 4 del RGPD2. PrincipiosArtículos 5 a 11 del RGPD2.1. Principios relativos al tratamientoArtículo 5 del RGPD2.2. Licitud del tratamientoArtículo 6 del RGPD2.3. Condiciones para el consentimientoArtículo 7 del RGPD2.4. Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la informaciónArtículo 8 del RGPD2.5. Tratamiento de categorías especiales de datos personalesArtículo 9 del RGPD2.6. Tratamiento de datos personales relativos a condenas e infracciones penalesArtículo 10 del RGPD2.7. Tratamiento que no requiere identificaciónArtículo 11 del RGPD3. Derechos del interesadoArtículos 12 a 23 del RGPD3.1. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesadoArtículo 12 del RGPD3.2. Información que deberá facilitarse cuando los datos personales se obtengan del interesadoArtículo 13 del RGPD3.3. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesadoArtículo 14 del RGPD3.4. Derecho de acceso del interesadoArtículo 15 del RGPD3.5. Derecho de rectificaciónArtículo 16 del RGPD3.6. Derecho de supresión («el derecho al olvido»)Artículo 17 del RGPD3.7. Derecho a la limitación del tratamientoArtículo 18 del RGPD3.8. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamientoArtículo 19 del RGPD3.9. Derecho a la portabilidad de los datosArtículo 20 del RGPD3.10. Derecho de oposiciónArtículo 21 del RGPD3.11. Decisiones individuales automatizadas, incluida la elaboración de perfilesArtículo 22 del RGPD3.12. LimitacionesArtículo 23 del RGPD4. Responsable del tratamiento y encargado del tratamientoArtículos 24 a 43 del RGPD4.1. Responsabilidad del responsable del tratamientoArtículo 24 del RGPD4.2. Protección de datos desde el diseño y por defectoArtículo 25 del RGPD4.3. Corresponsables del tratamientoArtículo 26 del RGPD4.4. Representantes de responsables o encargados del tratamiento no establecidos en la UniónArtículo 27 del RGPD4.5. Encargado del tratamientoArtículo 28 del RGPD4.6. Tratamiento bajo la autoridad del responsable o del encargado del tratamientoArtículo 29 del RGPD4.7. Registro de las actividades de tratamientoArtículo 30 del RGPD4.8. Cooperación con la autoridad de controlArtículo 31 del RGPD4.9. Seguridad del tratamientoArtículo 32 del RGPD4.10. Notificación de una violación de la seguridad de los datos personales a la autoridad de controlArtículo 33 del RGPD4.11. Comunicación de una violación de la seguridad de los datos personales al interesadoArtículo 34 del RGPD4.12. Evaluación de impacto relativa a la protección de datosArtículo 35 del RGPD4.13. Consulta previaArtículo 36 del RGPD4.14. Designación del delegado de protección de datosArtículo 37 del RGPD4.15. Posición del delegado de protección de datosArtículo 38 del RGPD4.16. Funciones del delegado de protección de datosArtículo 39 del RGPD4.17.Códigos de conductaArtículo 40 del RGPD4.18. Supervisión de códigos de conducta aprobadosArtículo 41 del RGPD4.19. CertificaciónArtículo 42 del RGPD4.20. Organismo de certificaciónArtículo 43 del RGPD5. Transferencias de datos personales a terceros países u organizaciones internacionalesArtículos 44 a 50 del RGPD5.1. Principio general de las transferenciasArtículo 44 del RGPD5.2. Transferencias basadas en una decisión de adecuaciónArtículo 45 del RGPD5.3. Transferencias mediante garantías adecuadasArtículo 46 del RGPD5.4. Normas corporativas vinculantesArtículo 47 del RGPD5.5. Transferencias o comunicaciones no autorizadas por el Derecho de la UniónArtículo 48 del RGPD5.6. Excepciones para situaciones específicasArtículo 49 del RGPD5.7. Cooperación internacional en el ámbito de la protección de datos personalesArtículo 50 del RGPD6. Autoridades de control independientesArtículos 51 a 59 del RGPD6.1. Autoridad de controlArtículo 51 del RGPD6.2. IndependenciaArtículo 52 del RGPD6.3. Condiciones generales aplicables a los miembros de la autoridad de controlArtículo 53 del RGPD6.4. Normas relativas al establecimiento de la autoridad de controlArtículo 54 del RGPD6.5. CompetenciaArtículo 55 del RGPD6.6. Competencia de la autoridad de control principalArtículo 56 del RGPD6.7. FuncionesArtículo 57 del RGPD6.8. PoderesArtículo 58 del RGPD6.9. Informe de actividadArtículo 59 del RGPD7. Cooperación y coherenciaArtículos 60 a 76 del RGPD7.1. Cooperación entre la autoridad de control principal y las demás autoridades de control interesadasArtículo 60 del RGPD7.2. Asistencia mutuaArtículo 61 del RGPD7.3. Operaciones conjuntas de las autoridades de controlArtículo 62 del RGPD7.4. Mecanismo de coherenciaArtículo 63 del RGPD7.5. Dictamen del ComitéArtículo 64 del RGPD7.6. Resolución de conflictos por el ComitéArtículo 65 del RGPD7.7. Procedimiento de urgenciaArtículo 66 del RGPD7.8. Intercambio de informaciónArtículo 67 del RGPD7.9. Comité Europeo de Protección de DatosArtículo 68 del RGPD7.10. IndependenciaArtículo 69 del RGPD7.11. Funciones del ComitéArtículo 70 del RGPD7.12. InformesArtículo 71 del RGPD7.13. ProcedimientoArtículo 72 del RGPD7.14. PresidenciaArtículo 73 del RGPD7.15. Funciones del presidenteArtículo 74 del RGPD7.16. SecretaríaArtículo 75 del RGPD7.17. ConfidencialidadArtículo 76 del RGPD8. Recursos, responsabilidad y sancionesArtículos 77 a 84 del RGPD8.1. Derecho a presentar una reclamación ante una autoridad de controlArtículo 77 del RGPD8.2. Derecho a la tutela judicial efectiva contra una autoridad de controlArtículo 78 del RGPD8.3. Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamientoArtículo 79 del RGPD8.4. Representación de los interesadosArtículo 80 del RGPD8.5. Suspensión de los procedimientosArtículo 81 del RGPD8.6. Derecho a indemnización y responsabilidadArtículo 82 del RGPD8.7. Condiciones generales para la imposición de multas administrativasArtículo 83 del RGPD8.8. SancionesArtículo 84 del RGPD9. Disposiciones relativas a situaciones específicas de tratamientoArtículos 85 a 91 del RGPD9.1. Tratamiento y libertad de expresión y de informaciónArtículo 85 del RGPD9.2. Tratamiento y acceso del público a documentos oficialesArtículo 86 del RGPD9.3. Tratamiento del número nacional de identificaciónArtículo 87 del RGPD9.4. Tratamiento en el ámbito laboralArtículo 88 del RGPD9.5. Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticosArtículo 89 del RGPD9.6.  Obligaciones de secretoArtículo 90 del RGPD9.7. Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosasArtículo 91 del RGPD10. Actos delegados y actos de ejecuciónArtículos 92 a 93 del RGPD10.1. Ejercicio de la delegaciónArtículo 92 del RGPD10. Procedimiento de comitéArtículo 93 del RGPD11. Disposiciones finalesArtículos 94 a 99 del RGPD11.1. Derogación de la Directiva 95/46/CEArtículo 94 del RGPD11.2. Relación con la Directiva 2002/58/CEArtículo 95 del RGPD11.3. Relación con acuerdos celebrados anteriormenteArtículo 96 del RGPD11.4. Informes de la ComisiónArtículo 97 del RGPD11.5. Revisión de otros actos jurídicos de la Unión en materia de protección de datosArtículo 98 del RGPD11.6. Entrada en vigor y aplicaciónArtículo 99 del RGPD

datos

Última revisión:14-09-2022

El 7 de diciembre de 2018 entró en vigor la normativa que transpone al derecho español el Reglamento General de Protección de Datos de la Unión Europea y que amplía algunas de las lagunas o preceptos indeterminados, en concreto, la denominada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, también denominada LOPDGDD.Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales1. Disposiciones generalesArtículos 1 a 3 de la LOPDGDD1.1. Objeto Artículo 1 de la LOPDGDD1.2. Ámbito de aplicaciónArtículo 2 de la LOPDGDD1.3. Datos de las personas fallecidasArtículo 3 de la LOPDGDD2. Principios de protección de datosArtículos 4 a 10 de la LOPDGDD2.1. Exactitud de los datosArtículo 4 de la LOPDGDD2.2. Deber de confidencialidadArtículo 5 de la LOPDGDD2.3. Tratamiento basado en el consentimiento del afectadoArtículo 6 de la LOPDGDD2.4. Consentimiento de los menores de edadArtículo 7 de la LOPDGDD2.5. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicosArtículo 8 de la LOPDGDD2.6. Categorías especiales de datosArtículo 9 de la LOPDGDD2.7. Tratamiento de datos de naturaleza penal Artículo 10 de la LOPDGDD3. Derechos de las personasArtículos 11 a 18 de la LOPDGDD3.1. Transparencia e información al afectadoArtículo 11 de la LOPDGDD3.2. Disposiciones generales sobre ejercicio de los derechosArtículo 12 de la LOPDGDD3.3. Derecho de accesoArtículo 13 de la LOPDGDD3.4. Derecho de rectificaciónArtículo 14 de la LOPDGDD3.5. Derecho de supresiónArtículo 15 de la LOPDGDD3.6. Derecho a la limitación del tratamientoArtículo 16 de la LOPDGDD3.7. Derecho a la portabilidadArtículo 17 de la LOPDGDD3.8. Derecho de oposiciónArtículo 18 de la LOPDGDD4. Disposiciones aplicables a tratamientos concretosArtículos 19 a 27 de la LOPDGDD4.1. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberalesArtículo 19 de la LOPDGDD4.2. Sistemas de información crediticiaArtículo 20 de la LOPDGDD4.3. Tratamientos relacionados con la realización de determinadas operaciones mercantilesArtículo 21 de la LOPDGDD4.4. Tratamientos con fines de videovigilanciaArtículo 22 de la LOPDGDD4.5. Sistemas de exclusión publicitariaArtículo 23 de la LOPDGDD4.6. Sistemas de información de denuncias internasArtículo 24 de la LOPDGDD4.7. Tratamiento de datos en el ámbito de la función estadística públicaArtículo 25 de la LOPDGDD4.8. Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones PúblicasArtículo 26 de la LOPDGDD4.9. Tratamiento de datos relativos a infracciones y sanciones administrativasArtículo 27 de la LOPDGDD5. Responsable y encargado del tratamientoArtículos 28 a 39 de la LOPDGDD5.1. Obligaciones generales del responsable y encargado del tratamientoArtículo 28 de la LOPDGDD5.2. Supuestos de corresponsabilidad en el tratamientoArtículo 29 de la LOPDGDD5.3. Representantes de los responsables o encargados del tratamiento no establecidos en la Unión EuropeaArtículo 30 de la LOPDGDD5.4. Registro de las actividades de tratamientoArtículo 31 de la LOPDGDD5.5. Bloqueo de los datosArtículo 32 de la LOPDGDD5.6. Encargado del tratamientoArtículo 33 de la LOPDGDD5.7. Designación de un delegado de protección de datosArtículo 34 de la LOPDGDD5.8. Cualificación del delegado de protección de datosArtículo 35 de la LOPDGDD5.9. Posición del delegado de protección de datosArtículo 36 de la LOPDGDD5.10. Intervención del delegado de protección en caso de reclamación ante las autoridades de protección de datosArtículo 37 de la LOPDGDD5.11. Códigos de conductaArtículo 38 de la LOPDGDD5.12. Acreditación de instituciones de certificaciónArtículo 39 de la LOPDGDD6. Transferencias internacionales de datosArtículos 40 a 43 de la LOPDGDD6.1. Régimen de las transferencias internacionales de datosArtículo 40 de la LOPDGDD6.2. Supuestos de adopción por la Agencia Española de Protección de DatosArtículo 41 de la LOPDGDD6.3. Supuestos sometidos a autorización previa de las autoridades de protección de datosArtículo 42 de la LOPDGDD6.4. Supuestos sometidos a información previa a la autoridad de protección de datos competenteArtículo 43 de la LOPDGDD7. Autoridades de protección de datosArtículos 44 a 62 de la LOPDGDD7.1. Disposiciones generalesArtículo 44 de la LOPDGDD7.2. Régimen jurídicoArtículo 45 de la LOPDGDD7.3. Régimen económico presupuestario y de personalArtículo 46 de la LOPDGDD7.4. Funciones y potestades de la Agencia Española de Protección de DatosArtículo 47 de la LOPDGDD7.5. La Presidencia de la Agencia Española de Protección de DatosArtículo 48 de la LOPDGDD7.6. Consejo Consultivo de la Agencia Española de Protección de DatosArtículo 49 de la LOPDGDD7.7. PublicidadArtículo 50 de la LOPDGDD7.8. Ámbito y personal competenteArtículo 51 de la LOPDGDD7.9. Deber de colaboraciónArtículo 52 de la LOPDGDD7.10. Alcance de la actividad de investigaciónArtículo 53 de la LOPDGDD7.11. Planes de auditoríaArtículo 54 de la LOPDGDD7.12. Potestades de regulación. Circulares de la Agencia Española de Protección de DatosArtículo 55 de la LOPDGDD7.13. Acción exteriorArtículo 56 de la LOPDGDD7.14. Autoridades autonómicas de protección de datosArtículo 57 de la LOPDGDD7.15. Cooperación institucionalArtículo 58 de la LOPDGDD7.16. Tratamientos contrarios al Reglamento (UE) 2016/679Artículo 59 de la LOPDGDD7.17. Coordinación en caso de emisión de dictamen por el Comité Europeo de Protección de DatosArtículo 60 de la LOPDGDD7.18. Intervención en caso de tratamientos transfronterizosArtículo 61 de la LOPDGDD7.19. Coordinación en caso de resolución de conflictos por el Comité Europeo de Protección de DatosArtículo 62 de la LOPDGDD8. Procedimientos en caso de posible vulneración de la normativa de protección de datosArtículos 63 a 69 de la LOPDGDD8.1. Régimen jurídicoArtículo 63 de la LOPDGDD8.2. Forma de iniciación del procedimiento y duraciónArtículo 64 de la LOPDGDD8.3. Admisión a trámite de las reclamacionesArtículo 65 de la LOPDGDD8.4. Determinación del alcance territorialArtículo 66 de la LOPDGDD8.5. Actuaciones previas de investigaciónArtículo 67 de la LOPDGDD8.6. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadoraArtículo 68 de la LOPDGDD8.7. Medidas provisionales y de garantía de los derechosArtículo 69 de la LOPDGDD9. Régimen sancionadorArtículos 70 a 78 de la LOPDGDD9.1. Sujetos responsablesArtículo 70 de la LOPDGDD9.1. InfraccionesArtículo 71 de la LOPDGDD9.1. Infracciones consideradas muy gravesArtículo 72 de la LOPDGDD9.1. Infracciones consideradas gravesArtículo 73 de la LOPDGDD9.1. Infracciones consideradas levesArtículo 74 de la LOPDGDD9.1. Interrupción de la prescripción de la infracciónArtículo 75 de la LOPDGDD9.1. Sanciones y medidas correctivasArtículo 76 de la LOPDGDD9.1. Régimen aplicable a determinadas categorías de responsables o encargados del tratamientoArtículo 77 de la LOPDGDD9.1. Prescripción de las sancionesArtículo 78 de la LOPDGDD10.  Garantía de los derechos digitalesArtículos 79 a 97 de la LOPDGDD10.1. Los derechos en la Era digitalArtículo 79 de la LOPDGDD10.2. Derecho a la neutralidad de InternetArtículo 80 de la LOPDGDD10.3. Derecho de acceso universal a InternetArtículo 81 de la LOPDGDD10.4. Derecho a la seguridad digitalArtículo 82 de la LOPDGDD10.5. Derecho a la educación digitalArtículo 83 de la LOPDGDD10.6. Protección de los menores en InternetArtículo 84 de la LOPDGDD10.7. Derecho de rectificación en InternetArtículo 85 de la LOPDGDD10.8.  Derecho a la actualización de informaciones en medios de comunicación digitalesArtículo 86 de la LOPDGDD10.9. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboralArtículo 87 de la LOPDGDD10.10. Derecho a la desconexión digital en el ámbito laboralArtículo 88 de la LOPDGDD10.11. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y grabación de sonidos en el trabajoArtículo 89 de la LOPDGDD10.12. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboralArtículo 90 de la LOPDGDD10.13. Derechos digitales en la negociación colectivaArtículo 91 de la LOPDGDD10.14. Protección de datos de los menores en InternetArtículo 92 de la LOPDGDD10.15. Derecho al olvido en búsquedas de InternetArtículo 93 de la LOPDGDD10.16. Derecho al olvido en servicios de redes sociales y servicios equivalentesArtículo 94 de la LOPDGDD10.17. Derecho de portabilidad en servicios de redes sociales y servicios equivalentesArtículo 95 de la LOPDGDD10.18. Derecho al testamento digitalArtículo 96 de la LOPDGDD10.19. Políticas de impulso de los derechos digitalesArtículo 97 de la LOPDGDDDisposiciones AdicionalesD.A. 1.ª a 22.ª de la LOPDGDD1. Medidas de seguridad en el ámbito del sector públicoD.A. 1.ª de la LOPDGDD2. Protección de datos y transparencia y acceso a la información públicaD.A. 2.ª de la LOPDGDD3. Cómputo de plazosD.A. 3.ª de la LOPDGDD4. Procedimiento en relación con las competencias atribuidas a la AEPD por otras leyesD.A. 4.ª de la LOPDGDD5.  Autorización judicial en relación con decisiones de la CE en materia de transferencia internacional de datosD.A. 5.ª de la LOPDGDD6.  Incorporación de deudas a sistemas de información crediticiaD.A. 6.ª de la LOPDGDD7.  Identificación de interesados en notificaciones por medio de anuncios y publicaciones de actos administrativosD.A. 7.ª de la LOPDGDD8. Potestad de verificación de las Administraciones PúblicasD.A. 8.ª de la LOPDGDD9. Tratamiento de datos personales en relación con la notificación de incidentes de seguridadD.A. 9.ª de la LOPDGDD10. Comunicaciones de datos por los sujetos enumerados en el artículo 77.1.D.A. 10.ª de la LOPDGDD11. Privacidad en las comunicaciones electrónicasD.A. 11.ª de la LOPDGDD12. Disposiciones específicas aplicables a los tratamientos de los registros de personal del sector públicoD.A. 12.ª de la LOPDGDD13. Transferencias internacionales de datos tributariosD.A. 13.ª de la LOPDGDD14.  Normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CED.A. 14.ª de la LOPDGDD15. Requerimiento de información por parte de la Comisión Nacional del Mercado de ValoresD.A. 15.ª de la LOPDGDD16. Prácticas agresivas en materia de protección de datosD.A. 16.ª de la LOPDGDD17. Tratamientos de datos de saludD.A. 17.ª de la LOPDGDD18. Criterios de seguridadD.A. 18.ª de la LOPDGDD19. Derechos de los menores ante InternetD.A. 19.ª de la LOPDGDD20. Especialidades del régimen jurídico de la Agencia Española de Protección de DatosD.A. 20.ª de la LOPDGDD21.  Educación digitalD.A. 21.ª de la LOPDGDD22. Acceso a los archivos públicos y eclesiásticosD.A. 22.ª de la LOPDGDDDisposiciones transitorias D.T. 1.ª a 6.ª de la LOPDGDD1. Estatuto de la Agencia Española de Protección de DatosD.T. 1.ª de la LOPDGDD2. Códigos tipo inscritos en las autoridades de protección de datos conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter PersonalD.T. 2.ª de la LOPDGDD3. Régimen transitorio de los procedimientosD.T. 3.ª de la LOPDGDD4. Tratamientos sometidos a la Directiva (UE) 2016/680D.T. 4.ª de la LOPDGDD5. Contratos de encargado del tratamientoD.T. 5.ª de la LOPDGDD6. Reutilización con fines de investigación en materia de salud y biomédica de datos personales recogidos con anterioridad a la entrada en vigor de esta ley orgánicaD.T. 6.ª de la LOPDGDDDisposición derogatoria únicaD.T. Única de la LOPDGDDDisposiciones finalesD.F. 1.ª a 16.ª de la LOPDGDD1. Naturaleza de la presente leyD.F. 1.ª de la LOPDGDD2. Título competencialD.F. 2.ª de la LOPDGDD3. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral GeneralD.F. 3.ª de la LOPDGDD4. Modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder JudicialD.F. 4.ª de la LOPDGDD5. Modificación de la Ley 14/1986, de 25 de abril, General de SanidadD.F. 5.ª de la LOPDGDD6. Modificación de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativaD.F. 6.ª de la LOPDGDD7. Modificación de la Ley 1/2000, de 7 de enero, de Enjuiciamiento CivilD.F. 7.ª de la LOPDGDD8. Modificación de la Ley Orgánica 6/2001, de 21 de diciembre, de UniversidadesD.F. 8.ª de la LOPDGDD9. Modificación de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínicaD.F. 9.ª de la LOPDGDD10. Modificación de la Ley Orgánica 2/2006, de 3 de mayo, de EducaciónD.F. 10.ª de la LOPDGDD11. Modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobiernoD.F. 11.ª de la LOPDGDD12. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones PúblicasD.F. 12.ª de la LOPDGDD13. Modificación del texto refundido de la Ley del Estatuto de los TrabajadoresD.F. 13.ª de la LOPDGDD14. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado PúblicoD.F. 14.ª de la LOPDGDD15. Desarrollo normativoD.F. 15.ª de la LOPDGDD16. Entrada en vigorD.F. 16.ª de la LOPDGDD 

datos

Última revisión:26-08-2022

Artículo 2 de la LOPDGDD«1. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.2. Esta ley orgánica no será de aplicación:a) A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3.c) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas.3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica. Se encuentran en esta situación, entre otros, los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general, los tratamientos realizados en el ámbito de instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables.5. El tratamiento de datos llevado a cabo con ocasión de la tramitación por el Ministerio Fiscal de los procesos de los que sea competente, así como el realizado con esos fines dentro de la gestión de la Oficina Fiscal, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal, la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y de las normas procesales que le sean aplicables».A TENER EN CUENTA. La LOPDGDD se ha visto modificada por la publicación de la Ley Orgánica de protección de datos personales tratados en casos de infracciones y sanciones penales (LO 7/2020, de 26 de mayo) publicada en el BOE del 27 de mayo de 2021, entrando en vigor el 16 de junio de 2021. En concreto, se introducen modificaciones en los artículos 2, 44 y disposición adicional 15.ª de la LOPDGDD.Así, será de aplicación a cualquier tratamiento total o parcialmente automatizado de datos personales, o al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, lo dispuesto en las siguientes disposiciones de la LOPDGDD:Título I. Disposiciones generales (artículos 1 a 3 de la LOPDGDD).Título II. Principios de protección de datos (artículos 4 a 10 de la LOPDGDD).Título III. Derecho de las personas (artículo 11 a 18 de la LOPDGDD).Título IV. Disposiciones aplicables a tratamiento concretos (artículos 19 a 27 de la LOPDGDD).Título V. Responsable y encargado del tratamiento (artículos 28 a 39 de la LOPDGDD).Título VI. Transferencias internacionales de datos (artículos 40 a 43 de la LOPDGDD).Título VII. Autoridades de protección de datos (artículo 44 a 62 de la LOPDGDD).Título VIII. Procedimientos en caso de posible vulneración de la normativa de protección de datos (artículos 63 a 69 de la LOPDGDD).Título IX. Régimen sancionador (artículos 70 a 78 de la LOPDGDD)..Título X. Garantía de los derechos digitales (artículos 89 a 94 de la LOPDGDD):Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.Derechos digitales en la negociación colectiva.Protección de datos de los menores en Internet.Derecho al olvido en búsquedas de Internet.Derecho al olvido en servicios de redes sociales y servicios equivalentes.Por el contrario, la LOPDGDD no se aplicará a las siguientes materias:a) Tratamientos excluidos del ámbito de aplicación del RGPD por el apartado segundo de su artículo 2. Estos son:«2. El presente Reglamento no se aplica al tratamiento de datos personales:a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención». Todo ello, sin perjuicio de lo establecido en los apartados 3 y 4 del artículo 2 del RGPD, de manera que:«3. El Reglamento (CE) n.º 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.º 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15».A tenor de lo anterior, la Sala de lo Contencioso de la Audiencia Nacional, rec. 1825/2015, de 15 de diciembre de 2017, ECLI:ES:AN:2017:5089, manifiesta que:«(...) para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo etc.) tenga la consideración de tratamiento de datos sujeto al sistema de protección de la LOPD es necesario, según criterio reiterado de la Sala, que dichos datos estén contenidos o destinados a ser contenidos en un fichero, esto es, en un conjunto estructurado u organizado de datos con arreglo a criterios determinados. Si no es así el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la citada LOPD, no será un "tratamiento de datos personales" según el concepto normativo que la citada Ley proporciona».Además, en relación a la protección de datos en el ámbito profesional, la sentencia de la Audiencia Nacional, rec. 615/2017, de 22 de marzo de 2019, ECLI:ES:AN:2019:999, declara que:«No puede concluirse, por tanto, que los empresarios individuales y profesionales estén en su conjunto excluidos del ámbito de protección de la LOPD, sino que se hace necesario diferenciar (y la línea divisoria es confusa y difusa) cuando un dato del empresario o profesional, se refiere a la vida privada de la persona y cuando a la empresa o profesión, pues solo en el primer caso cabe aplicar la protección de la LO 15/1999. Labor de diferenciación que puede basarse en dos criterios distintos y complementarios: Uno, el criterio objetivo de la clase y la naturaleza de los datos tratados, según estén en conexión y se refieran a una esfera (la íntima y personal) o a otra (la profesional) de la actividad. Otro, el de la finalidad del tratamiento y circunstancias en que éste se desarrolla, criterio éste que operaría en aquellos casos en que alguno de los datos profesionales coincida con los particulares (por ej. coincidencia de domicilio privado con el de la empresa, o cuando no se pueda acreditar si una deuda es de la empresa o si es personal del interesado)». (Referida a la antigua LOPD).En este mismo sentido, podemos resaltar la sentencia de la Audiencia Nacional, n.º 201/2015, de 28 abril, ECLI:ES:AN:2015:1843.A TENER EN CUENTA.  La Comisión presentará, si procede, propuestas legislativas para modificar otros actos jurídicos de la Unión en materia de protección de datos personales, a fin de garantizar la protección uniforme y coherente de las personas físicas en relación con el tratamiento. Se tratará en particular de las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento por parte de las instituciones, órganos, y organismos de la Unión y a la libre circulación de tales datos (artículo 98 del RGPD).CUESTIONES 1. ¿Qué es un fichero?Según el apartado sexto del artículo 4 del RGPD, un fichero es un «todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica».Además, el Tribunal Supremo en su sentencia, rec. 6031/2007, de 19 de septiembre de 2008, ECLI:ES:TS:2008:464, fija una doctrina interpretativa del concepto «fichero», de manera que:«La redacción de esa Directiva, por lo que se refiere a la definición de ficheros en los términos expuestos, no presenta ninguna duda interpretativa, como tampoco lo hace el citado art. 3.b) de la LO 15/99. No está de más en todo caso destacar que en la redacción inicial de la LO 5/92, en concreto en su Exposición de Motivos, se establecía que "la Ley se nuclea en torno a lo que convencionalmente se denominan ficheros de datos" y que es la existencia de unos ficheros, y la utilización que de ellos pudiera hacerse, la que justifica la necesidad de la nueva frontera de la intimidad y del honor, añadiendo que la Ley concibe los ficheros desde una perspectiva dinámica de tal forma que los concibe no sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles si llegasen a conectarse entre sí, de configurar el perfil personal a que antes se refiere dicha Exposición de Motivos». (Referida a la antigua LOPD).2. ¿A qué se refiere el tratamiento automatizado?El considerando 15 del RGPD dispone que: «la protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento».Asimismo, el considerando 71 del mismo texto legal establece que: «el interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento automatizado de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar».En concreto, la elaboración de perfiles se entiende como «toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física» (artículo 4.4 del RGPD).También se estipula el tratamiento automatizado en los siguientes preceptos del RGPD:- Decisiones individuales automatizadas, incluida la elaboración de perfiles (artículo 22 del RGPD).- Evaluación de impacto relativa a la protección de datos (artículo 35 del RGPD).- Normas corporativas vinculantes (artículo 47 del RGPD).3. ¿Cuáles son las normas relativas a la responsabilidad de los prestadores de servicios intermediarios?Los preceptos dedicados a la responsabilidad de los prestadores de servicios intermediarios son los artículos 12 a 15 de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico):- Mera transmisión (artículo 12 de la Directiva 2000/31/CE).- Memoria tampón Caching (artículo 13 de la Directiva 2000/31/CE).- Alojamiento de datos (artículo 14 de la Directiva 2000/31/CE).- Inexistencia de obligación general de supervisión (artículo 15 de la Directiva 2000/31/CE).b) Tratamientos de datos de personas fallecidas, sin perjuicio de lo regulado en el artículo 3 de la LOPDGDD, es decir:«1. Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.2. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión.Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos».CUESTIÓN¿Qué sucede en el caso del fallecimiento de menores y de personas con discapacidad?Según la LOPDGDD, en el caso de que se produzca el deceso de un menor de edad, las facultades de acceso, rectificación o supresión de los datos personales:«(...) podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada».Asimismo, en el caso de fallecimiento de personas con discapacidad, los citados derechos podrán ejercerse por (artículo 3.3 de la LOPDGDD):- Sus representantes legales.- El Ministerio Fiscal.- Quienes hubiesen sido designados para ejercer funciones de apoyo. c) Tratamientos sometidos a la normativa sobre protección de materias clasificadas.Por otra parte, los tratamientos «a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica».Ejemplo de lo anterior son, entre otros, los siguientes:Tratamientos realizados al amparo de la legislación orgánica del régimen electoral general.Tratamientos realizados en el ámbito de instituciones penitenciarias.Tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.CUESTIÓN¿Qué normativa se aplicará al tratamiento de datos llevado a cabo en la gestión de procesos por las instancias judiciales?Según el apartado cuarto del artículo 2 de la LOPDGDD:«4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables».

datos

Última revisión:26-08-2022

Ámbito de aplicación material del RGPDArtículo 2 del RGPD«1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.2. El presente Reglamento no se aplica al tratamiento de datos personales:a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.3. El Reglamento (CE) n.º 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.º 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15».En síntesis, el RGPD es de aplicación al tratamiento total o parcialmente automatizado de datos personales y al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.Sin embargo, no se aplicará al tratamiento de datos personales efectuados:En el ejercicio de una actividad no incluida en la esfera de aplicación del derecho de la Unión Europea.Por los Estados miembros cuando ejerciten actividades del capítulo 2 del título V del Tratado de la Unión Europea.Por una persona física que esté ejerciendo actividades únicamente personales o domésticas.Por autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales.CUESTIÓN¿Cuáles son las actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE?Las actividades del capítulo II del título V del Tratado de la Unión Europea son las relativas a las disposiciones específicas sobre política exterior y de seguridad común (artículos 23 a 46).Ámbito de aplicación territorial del RGPDArtículo 3 del RGPD«1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, ob) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público». Es decir, el RGPD se aplica a los siguientes supuestos de tratamiento de datos personales:En el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.En el caso de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:Oferta de bienes o servicios a dichos interesados en la Unión.Control de su comportamiento.En el caso de que el responsable, aun no estando establecido en la Unión, esté en un lugar donde el derecho de los Estados miembros sea de aplicación en virtud del derecho internacional público.Si bien, el considerando 24 del RGPD entiende que el tratamiento de datos personales de los interesados que se encuentran en la Unión por un responsable o encargado no establecido en la Unión tiene que ser objeto del citado reglamento cuando «(...) esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes».No obstante, a estos efectos, el considerando 23 del referido texto legal especifica que para resolver si el responsable o encargado del tratamiento ofrece bienes o servicios a interesados que se encuentran en la Unión, debe determinarse si «(...) es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión».CUESTIONES1. ¿A qué se refiere el RGPD con el término «establecimiento»?En el considerando 22 de la RGPD se precisa que el establecimiento:«(...) implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto».2. ¿Qué se entiende por bienes o servicios?Según el Diccionario del Español Jurídico de la RAE:- Bien: cosa que puede ser susceptible de apropiación. Se incluyen todas las cosas o elementos patrimoniales, corporales e incorporales, susceptibles de adquisición y transmisión.- Servicios: prestación que satisface alguna necesidad humana y que no consiste en la producción de bienes materiales.Además, se refieren a los citados conceptos en los siguientes artículos del RGPD:- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del RGPD).- Evaluación de impacto relativa a la protección de datos (artículo 35 del RGPD).3. ¿Qué actividades se comprenden dentro de la expresión «actividades personales o domésticas»?El reglamento que nos ocupa en su considerando 18 expone que «(...) no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas».

datos

Última revisión:15-09-2022

Objeto de la LOPDGDDArtículo 1 de la LOPDGDD«La presente ley orgánica tiene por objeto:a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.b) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución».En suma, los fines de la LOPDGDD son:Adaptar el ordenamiento jurídico español a la norma europea.Proteger los derechos digitales de los ciudadanos.Ya en el preámbulo de la citada LO se manifiesta que la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el apartado cuarto del artículo 18 de nuestra Carta Magna, así:«(...) nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales cuando dispuso que "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". Se hacía así eco de los trabajos desarrollados desde finales de la década de 1960 en el Consejo de Europa y de las pocas disposiciones legales adoptadas en países de nuestro entorno».También el Tribunal Constitucional señala en su sentencia n.º 94/1998, de 4 de mayo, ECLI:ES:TC:1998:94, que:«(...) el art. 18.4 C.E. incorpora un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad. La garantía de la intimidad adopta hoy un entendimiento positivo que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada libertad informática es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención».Y, posteriormente, en su sentencia n.º 292/2000, de 30 de noviembre, ECLI:ES:TC:2000:292, considera que «(...) el derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información. Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin».Objeto del RGPDArtículo 1 del RGPD«1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales».Partimos de la premisa, como señala el considerando cuarto de RGPD, de que el tratamiento de datos personales «debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad».A este respecto, se aplicará el RGPD a la protección de las personas físicas en lo concerniente a:Tratamiento de datos personales.Normas relativas a la libre circulación de datos.Ahora bien, la libre circulación de datos personales en la Unión Europea no podrá ser sometida a restricciones ni limitaciones por causas relacionadas con la protección de las personas físicas en lo que se refiere al tratamiento de datos personales.A TENER EN CUENTA. La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales (considerando 6 del RGPD).CUESTIÓN¿En qué consiste la libre circulación de los datos personales?El apartado 24 del artículo 4 del RGPD se refiere a la misma en la definición de objeción pertinente y motivada:«(...) la objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión».También se refiere a la libre circulación de datos personales, los siguientes artículos del RGPD:- El artículo 35 del RGPD que regula la evaluación de impacto relativa a la protección de datos.- El artículo 51 del RGPD que regula la autoridad de control.

datos

Última revisión:14-09-2022

A efectos del RGPD, se entenderá por: 1) Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.2) Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.3) Limitación del tratamiento: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.4) Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.5) Seudonimización: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.6) Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.7) Responsable del tratamiento o responsable: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el derecho de la Unión o de los Estados miembros.8) Encargado del tratamiento o encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.9) Destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el derecho de la Unión o de los Estados miembros. El tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento.10) Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.11) Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.12) Violación de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.13) Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.14) Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.15) Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.16) Establecimiento principal:a) En lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso, el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal.b) En lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al RGPD.17) Representante: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del RGPD.18) Empresa: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica.19) Grupo empresarial: grupo constituido por una empresa que ejerce el control y sus empresas controladas.20) Normas corporativas vinculantes: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.21) Autoridad de control: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51.22) Autoridad de control interesada: la autoridad de control a la que afecta el tratamiento de datos personales debido a que:a) El responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control.b) Los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento.c) Se ha presentado una reclamación ante esa autoridad de control.23) Tratamiento transfronterizo:a) El tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro.b) El tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro.24) Objeción pertinente y motivada: la objeción a una propuesta de decisión sobre la existencia o no de infracción del RGPD, o sobre la conformidad con el mismo de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión.25) Servicio de la sociedad de la información: todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19).26) Organización internacional: una organización internacional y sus entes subordinados de derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.     

datos

Última revisión:26-08-2022

Responsabilidad proactiva del responsable del tratamiento en el RGPDArtículo 5 del RGPD«1. Los datos personales serán:a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales ("limitación de la finalidad");c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan ("exactitud");e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado ("limitación del plazo de conservación");f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ("integridad y confidencialidad").2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo ("responsabilidad proactiva")».En lo que nos ocupa, el responsable del tratamiento de datos será responsable del cumplimiento de lo regulado en el apartado primero del artículo 5 del RGPD y, además, tendrá que ser capaz de demostrarlo.A TENER EN CUENTA. Tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida (considerando 85 del RGPD).CUESTIONES1. ¿Qué principios se regulan en el apartado primero del artículo 5 del RGPD?El art. 5 del RGPD hace referencia a los siguientes principios:- Principio de licitud, lealtad y transparencia.- Principio de limitación de la finalidad.- Principio de minimización de datos.- Principio de exactitud.- Principio de limitación del plazo de conservación.- Principio de integridad y confidencialidad.2. ¿Cuáles son las obligaciones generales del responsable del tratamiento y encargado del tratamiento?Las obligaciones generales del responsable y encargado del tratamiento se encuentran en las siguientes normas del RGPD:- Responsabilidad del responsable del tratamiento (artículo 24 del RGPD).- Protección de datos desde el diseño y por defecto (artículo 25 del RGPD).- Corresponsables del tratamiento (artículo 26 del RGPD).- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del RGPD).- Encargado del tratamiento (artículo 28 del RGPD).- Tratamiento bajo la autoridad del responsable o del encargado del tratamiento (artículo 29 del RGPD).- Registro de las actividades de tratamiento (artículo 30 del RGPD).- Cooperación con la autoridad de control (artículo 31 del RGPD).En concreto, el apartado primero del artículo 24 del RGPD establece que el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD, estimando diversos factores como:- La naturaleza del tratamiento.- El ámbito del tratamiento.- El contexto del tratamiento.- Los fines del tratamiento.- Los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.Ahora bien, dichas medidas se revisarán y actualizarán cuando sea necesario.3. ¿Qué función de las encomendadas al delegado de protección de datos (DPD) se refiere al control de cumplimiento del RGPD?En virtud de lo dispuesto en el artículo 39.1.b) del RGPD, el DPD deberá dentro de las funciones mínimas que tiene encomendadas:«b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes».Además, con respecto a las funciones de la referida figura de control, las Directrices sobre delegados de protección de datos (DPD) del grupo de trabajo sobre protección de datos del artículo 29, recogidas en la página web de la Agencia Española de Protección de Datos (AEPD), aclaran lo siguiente: «4.1. Supervisión de la observancia del RGPDEl artículo 39, apartado 1, letra b), encomienda a los DPD, entre otras obligaciones, la de supervisar la observancia del RGPD. El considerando 97 especifica además que, "al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda" del DPD. Como parte de esas obligaciones de supervisión de la observancia, los DPD pueden, en particular:- Recabar información para determinar las actividades de tratamiento;- Analizar y comprobar la conformidad con la normativa de las actividades de tratamiento;- Informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento.Supervisar la observancia no significa que el DPD sea personalmente responsable de cualquier caso de inobservancia. El RGPD establece claramente que es el responsable y no el DPD quien está obligado a aplicar "medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento" (artículo 24, apartado 1). El cumplimiento de las normas en materia de protección de datos es responsabilidad corporativa del responsable del tratamiento, no del DPD».Medidas de responsabilidad activa de la LOPDGDDArtículo 28.1 de la LOPDGDD«1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento».En suma, los responsables y encargados del tratamiento de datos, sin perjuicio de lo dispuesto en los artículos 24 y 25 del RGPD, acordarán las medidas técnicas y organizativas apropiadas para garantizar y acreditar que el tratamiento es conforme a las siguientes normas:RGPD.LOPDGDD.Normas de desarrollo.Legislación sectorial aplicable.Asimismo valorarán si es pertinente realizar una evaluación de impacto en la protección de datos y la consulta previa de la sección tercera del capítulo cuarto del RGPD.CUESTIÓN¿Qué deberes de los responsables y encargados del tratamiento regulan los artículos 24 y 25 del RGPD?Los arts. 24 y 25 del RGPD regulan lo siguiente:- Responsabilidad del responsable del tratamiento (artículo 24 del RGPD).- Protección de datos desde el diseño y por defecto (artículo 25 del RGPD).Artículo 28.2 de la LOPDGDD«2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación».Es decir, para la adopción de las referidas medidas, los responsables y encargados del tratamiento considerarán los posibles peligros derivados de los siguientes casos:Situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.Privación de derechos y libertades de los afectados o pudiese impedirles el ejercicio de control sobre sus datos personales.Tratamiento no meramente incidental o accesorio de las categorías especiales de datos o de los datos relacionados con la comisión de infracciones administrativas.Evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos (rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, solvencia financiera, localización o sus movimientos).Tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad (menores de edad y personas con discapacidad).Tratamiento masivo con un gran número de afectados o comporte la recogida de una gran cantidad de datos personales.Datos personales objeto de transferencia ordinaria a terceros Estados u organizaciones internacionales con un nivel de protección no adecuado. Otros que a criterio del responsable o del encargado del tratamiento pudieran ser relevantes, en concreto, los regulados en códigos de conducta y estándares definidos por esquemas de certificación.CUESTIÓN¿A qué categorías de datos se refieren los artículos 9 y 10 del RGPD y de la LOPDGDD?Los referidos artículos se refieren a las siguientes categorías de datos:- Categorías especiales de datos (artículo 9 de la LOPDGDD).- Tratamiento de datos de naturaleza penal (artículo 10 de la LOPDGDD).- Tratamiento de categorías especiales de datos personales (artículo 9 del RGPD).- Tratamiento de datos personales relativos a condenas e infracciones penales (artículo 10 del RGPD).A este respecto, la Guía del Reglamento General de Protección de datos para responsables del tratamiento de la Agencia Española de Protección de datos (AEPD) enumera las siguientes medidas de responsabilidad activa:Análisis de riesgo.Registro de actividades de tratamiento.Protección de datos desde el diseño y por defecto.Medidas de seguridad.Notificación de «violaciones de seguridad de los datos».Evaluación de impacto sobre la protección de datos.Delegado de protección de datos. 

datos

Última revisión:25-05-2022

Tal y como indica el considerando 40 del RGPD para que el tratamiento de datos sea considerado lícito se requiere que:«Los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato».Además, el artículo 6 del mismo texto legal recoge que el tratamiento será lícito cuando se cumpla al menos una de las siguientes condiciones:Consentimiento del interesado para uno o varios fines.El tratamiento sea necesario para la ejecución de un contrato o para la aplicación a petición de este de medidas precontractuales.El tratamiento sea necesario para proteger intereses vitales del interesado o de otras personas.El tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable.El tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.El tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsables o por un tercero.A TENER EN CUENTA. Se considera infracción muy grave el tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del RGPD [artículo 72.1.b) de la LOPDGDD]. 

datos

Última revisión:25-05-2022

Artículo 13 del RGPD«1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;b) los datos de contacto del delegado de protección de datos, en su caso;c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;d) el derecho a presentar una reclamación ante una autoridad de control;e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;f) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información».En suma, el responsable del tratamiento, en el momento en el que se obtengan los datos personales, facilitará al interesado la siguiente información:Identidad, datos de contacto del responsable, y si fuera el caso, de su representante.En su caso, datos de contacto del delegado de protección de datos.Fines del tratamiento a que se destinan los datos personales y la base jurídica del mismo.Si el tratamiento se basa en el artículo 6.1. f) del RGPD, los intereses legítimos del responsable o de un tercero.En su caso, destinatarios o categorías de destinatarios de los datos personales.En su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión.En el caso de las transferencias indicadas en los artículos 46, 47, o el párrafo segundo del artículo 49.1 del RGPD, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.CUESTIONES1. ¿A qué tratamiento se refiere el artículo 6.1.f) del RGPD?El citado artículo del RGPD indica que «el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño».2. ¿Cuáles son las transferencias indicadas en el artículo 13.1.f) del RGPD?El mencionado precepto hace referencia a las siguientes transferencias:- Transferencias mediante garantías adecuadas (artículo 46 del RGPD).- Normas corporativas vinculantes (artículo 47 del RGPD).- Excepciones para situaciones específicas (párrafo segundo del artículo 49.1 del RGPD).Además de lo citado con anterioridad, el responsable del tratamiento también facilitará al interesado la siguiente información, para garantizar un tratamiento leal y transparente:Plazo de conservación de los datos personales, o si no es posible, los criterios empleados para determinarlo.La existencia del derecho a solicitar al responsable del tratamiento el acceso, rectificación, supresión, limitación, o a su oposición al tratamiento, así como del derecho a la portabilidad de los datos personales.Derecho a retirar el consentimiento, cuando el tratamiento se base en el artículo 6.1.a) o en el artículo 9.2.a) del RGPD.Derecho a presentar una reclamación ante una autoridad de control.Si es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si está obligado a aportar datos personales, y a su vez, está informado de las consecuencias de no facilitarlos.Existencia de decisiones automatizadas, incluso la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4 del RGPD, y, en estos supuestos, información significativa sobre la lógica aplicada, importancia y las consecuencias previstas de dicho tratamiento para el interesado.Además, si el responsable del tratamiento planea un tratamiento posterior de datos personales para un fin distinto para el que se hubieren recogido, facilitará al interesado, con anterioridad al referido tratamiento, información sobre ese otro fin y la información adicional oportuna según lo dispuesto en el artículo 13.2 del RGPD.Sin embargo, no será aplicable lo dispuesto en el artículo 13, apartados 1, 2 y 3, del RGPD a los casos en los que el interesado ya posea la información relacionada.A tenor de lo anterior, el considerando 60 de la misma norma destaca que los principios de tratamiento leal y transparente requieren que:«(...) se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente».CUESTIÓN¿Qué tratamiento podrá considerarse lícito a tenor de lo establecido en el artículo 6.1.a) del RGPD ?Se considera lícito el tratamiento en el que interesado da su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos [artículo 6.1.a) del RGPD]. Si bien está prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. No obstante, no se aplicará lo anterior, cuando el interesado da su consentimiento de forma explícita para el tratamiento de datos personales con uno o más de los fines especificados, excepto cuando el derecho de la Unión Europea o de los Estados miembros disponga que la citada prohibición no puede ser levantada a instancia del interesado [artículo 9.2.a) del RGPD].

datos

Última revisión:25-05-2022

 Artículo 14 del RGPD«1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;b) los datos de contacto del delegado de protección de datos, en su caso;c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;d) las categorías de datos personales de que se trate;e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;e) el derecho a presentar una reclamación ante una autoridad de control;f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, oc) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:a) el interesado ya disponga de la información;b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, od) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza legal».En consecuencia, el responsable del tratamiento, cuando los datos personales no se hayan obtenido del interesado, le facilitará la siguiente información:Identidad y datos de contacto del responsable y, en su caso, de su representante.En su caso, los datos de contacto del delegado de protección de datos.Fines del tratamiento a que se destinan los datos personales y base jurídica de los mismos.Categorías de datos personales que sean tratados.En su caso, los destinatarios o las categorías de destinatarios de los datos personales.En su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.Asimismo, además de lo anterior, el responsable del tratamiento suministrará al interesado la siguiente información: El plazo de conservación de los datos personales, o si no fuera posible, de los criterios empleados para determinarlo.Si el tratamiento se basa en el artículo 6.1.f) del RGPD, los intereses legítimos del tratamiento o de un tercero.La existencia del derecho a solicitar al responsable el acceso, la rectificación o la supresión de los datos personales del interesado, o la limitación y la oposición al tratamiento, así como el derecho a la portabilidad de los datos.Si el tratamiento está basado en el artículo 6 [letra a) del apartado 1] o en el artículo 9 [letra a) del apartado 2] del RGPD, la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada.La existencia del derecho a presentar una reclamación ante una autoridad de control.La fuente de los datos personales y, en su caso, si proceden de fuentes de acceso público.La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, del RGPD, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.Además, el responsable del tratamiento de datos suministrará la información relacionada, en los siguientes momentos:a) Dentro de un plazo razonable, desde la obtención de los datos personales, y a más tardar dentro de un mes.b) En el momento de la primera comunicación al interesado.c) En el momento en que los datos personales sean comunicados por primera vez.No obstante, si el responsable del tratamiento planea el tratamiento posterior de los datos personales para un fin, que no sea para el que lo obtuvieron, facilitará al interesado, antes del citado tratamiento, información sobre el otro fin y cualquier otra información oportuna de la referida con anterioridad.Ahora bien, no serán aplicables los preceptos explicados en este punto, cuando:a) El interesado ya esté informado.b) La comunicación de la citada información resulte imposible o suponga un esfuerzo desproporcionado.c) La comunicación esté prevista por el derecho de la Unión Europea o de los Estados miembros.d) Si los datos personales tienen carácter confidencial sobre la base de una obligación de secreto profesional.A mayor abundamiento, la Guía para el cumplimiento del deber de informar de la Agencia Española de Protección de datos (AEPD) aclara diversas cuestiones prácticas de interés, en concreto, destacamos la relacionada con la llamada «información por capas», así:«Para hacer compatible la mayor exigencia de información que introduce el RGPD y la concisión y comprensión en la forma de presentarla, desde las Autoridades de Protección de Datos se recomienda adoptar un modelo de información por capas o niveles.El enfoque de información multinivel consiste en lo siguiente:- presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos.- remitir a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.El conjunto de las informaciones requeridas por el RGPD pueden agruparse en unos determinados epígrafes, a los efectos de su organización y presentación, especialmente en cuanto a la información a presentar, de forma resumida, en la primera capa o nivel.Se recomienda presentar siempre los cinco primeros epígrafes ("Responsable", "Finalidad", "Legitimación", "Destinatarios" y "Derechos"), añadiendo el epígrafe "Procedencia" únicamente cuando los datos no procedan del propio interesado.Es importante destacar que este enfoque multinivel se introduce con la finalidad, por un lado, de facilitar la tarea del Responsable del Tratamiento a la hora de diseñar sus procedimientos y formularios, y por otro, de conseguir que las personas interesadas obtengan la información más relevante de forma rápida y simplificada, pero sin que ello suponga ningún menoscabo de los principios de licitud, lealtad y transparencia que establece el RGPD».