1.

Principios generales de protección de datos de carácter

personal

Los avances de la técnica se han acelerado en los últimos tiempos. Actualmente, el uso de la

informática permite tratar gran cantidad de datos relativos a las personas físicas, pudiendo llegar a

conocer aspectos relacionados con las mismas que suponen una intromisión en su intimidad. Los

ordenamientos jurídicos no pueden permanecer insensibles ante la eventualidad de usos perversos

de las posibilidades tecnológicas, en detrimento de espacios que deben quedar reservados a la

intimidad personal.

Esta tensión entre tecnología, especialmente en el campo de la informática, e intimidad de las

personas apela a una actuación legislativa que procure un equilibrio satisfactorio entre dos bienes

dignos de protección jurídica. Por un lado, no es bueno para la sociedad poner freno al desarrollo

tecnológico, cuyas potencialidades son inmensas y deben contribuir a un mayor bienestar de la

comunidad; pero, por otro, los ciudadanos tienen derecho a que se les proteja su intimidad personal,

evitando que las posibilidades que ofrece la tecnología informática actual reduzcan aquélla más allá

de lo deseable. Para ello es preciso limitar el uso de la informática y, de este modo, garantizar el

honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Es

éste un mandato que el artículo 18.4 de la Constitución impone al legislador, y que éste recoge en la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y garantía de

los derechos digitales.

Los principios que rigen la protección de los datos de carácter personal se encuentran recogidos

principalmente en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de

Carácter Personal y garantía de los derechos digitales, así como en el Real Decreto

1720/2007, de 21 de diciembre, el Reglamento (UE) 2016/679 del Parlamento Europeo y

del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo

que respecta al tratamiento de datos personales y a la libre circulación de estos datos,

debiendo tener en cuenta además el Manual de Protección de datos elaborado por la Agencia de

Protección de Datos en lo concerniente al tratamiento de los datos personales informatizados.

Los principios que regulan las políticas de protección de datos se centran principalmente en la

obtención de los datos, la información a facilitar al usuario a la hora de solicitar dichos datos y la
prestación de su consentimiento a la recogida y tratamiento.

Sin embargo, y como aparentemente pueda parecer a simple vista, los principios reguladores de la

protección de datos y la legislación que los plasma y regula no se limita a establecer los requisitos y

procedimiento que se deberá seguir a la hora de tratar los datos facilitados, sino que regula

igualmente qué datos podrán recabarse en cada momento en virtud del servicio que se requiera,

estableciendo niveles de protección diferentes según la naturaleza de los datos.

Es fácilmente comprensible el que no se adoptarán las mismas medidas si recabamos el domicilio y

nombre completo del afectado que si le requerimos para que nos facilite datos acerca de sus

tendencias sexuales.

Así, podremos observar que los datos relativos a la ideología o creencias del afectado gozarán de un

nivel de protección máximo, protección que deberá garantizar el profesional que los obtenga

mediante la incorporación de diversas medidas de seguridad y procedimientos muy estrictos.

En el caso concreto de los datos ideológicos, el afectado tendrá derecho a no manifestarse al

respecto, sin que le pueda compeler a ello (salvo que sea el propio afectado el que de su

consentimiento de forma expresa y por escrito).

Por otra parte, los datos relativos a la raza, sexualidad, historial médico, etc. también gozan de un

nivel de protección elevado, debiendo tener en cuenta que no podrán elaborarse ficheros o archivos

dirigidos en exclusiva a recabar información de este tipo.

No obstante, sobre todo dato personal facilitado, sea de la naturaleza que sea, y de forma general e

independiente a los fines que tenga su obtención, se deberán observar una serie de medidas:

De seguridad y destinadas a evitar su pérdida, extravío, alteración, sustracción o acceso no

autorizado.

Mantenimiento del deber de secreto y confidencialidad.

Designación del responsable del fichero y personal que intervenga en su tratamiento y

encargado de garantizar que se llevan a cabo las revisiones pertinentes en los sistemas de

tratamiento de datos (independientemente del titular del fichero, en general la mercantil o el

profesional).
2. Normativa europea recogida en la directiva 95/46/CE

Anteriormente, era la Directiva 95/46/CE el texto de referencia, a escala europea, en materia de

protección de datos personales. Contaba con un marco regulador destinado a establecer un

equilibrio entre un nivel elevado de protección de la vida privada de las personas y la libre

circulación de datos personales dentro de la Unión Europea (UE). Con ese objeto, la Directiva fijaba

límites estrictos para la recogida y utilización de los datos personales y solicitaba la creación, en

cada Estado miembro, de un organismo nacional independiente encargado de la protección de los

mencionados datos.

El día 25 de mayo de 2016 entró en vigor el nuevo Reglamento de la Unión Europea 2016/679

del Parlamento Europeo y el Consejo, relativo a la protección de las personas físicas en lo que se

respecta al tratamiento de datos personales y a la libre circulación de estos datos y se convierte en

el texto de referencia, a escala europea, en materia de protección de datos personales, derogando la

Directiva 95/46/CE (Reglamento general de protección de datos). Este nuevo reglamento no

comenzó a aplicarse hasta el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46/CE, como

la normativa que la traspone seguían siendo plenamente válidas y aplicables.

El objetivo de este período desde la entrada en vigor hasta su aplicación, era permitir que los

Estados miembros de la Unión Europea, Instituciones Europeas y organizaciones que tratan datos,

fuesen adaptándose hasta el momento de su aplicación.

El Reglamento es una normativa directamente aplicable, que no requiere de normas internas de

trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello,

los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas

nacionales, como venía sucediendo hasta ahora con la Directiva 95/46.

Una vez analizado el marco jurídico de nuestro país, y analizado en profundidad todo el sistema

articulado en torno a la protección de datos veremos las novedades que se introducen con la

aplicación de este Reglamento.

El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016, pero se

aplica desde el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento, deben

adecuar el tratamiento de datos personales que realizan a lo previsto en el citado Reglamento.

El Reglamento, a diferencia de la Directiva 95/46/CE, es directamente aplicable, no necesita ser

transpuesto al ordenamiento jurídico español. A pesar de ello el legislador, como hemos visto, ha

redactado la nueva LOPD regulando a nivel nacional todos los aspectos del título europeo.

Veamos los aspectos más importantes de este nuevo Reglamento:

Delimitación del Reglamento UE 2016/679

Si hacemos una lectura exhaustiva del artículo 2 del Reglamento de Protección de Datos, el cual nos

delimita el ámbito material del mismo, podemos comprobar que coincide sustancialmente con el de

la Directiva 95/46/CE (Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre

de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos

personales y a la libre circulación de estos datos); no obstante, el Reglamento incluye ciertos

matices, como pueden ser la redefinición de las excepciones, aunque manteniéndose su esencia, o

ciertas cuestiones referentes al ámbito material de la Directiva, refiriéndose a las redes sociales,

cuestión no contemplada en la Directiva debido a que cuando ésta se aprobó no se había producido

un gran desarrollo en este ámbito.

Hemos de delimitar por lo tanto, el ámbito material o de aplicación del Reglamento para poder

comprobar si se puede aplicar o no esta norma, ya que es una cuestión que se ha de tener en cuenta

a priori para poder estudiar el supuesto de hecho concreto al que nos queramos referir.

El primer apartado del artículo 2 del Reglamento establece que “El presente Reglamento se aplica al

tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no

automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.

El Reglamento tiene por objeto garantizar y proteger el derecho fundamental de las

personas físicas a la protección de datos.

Este artículo 2.1 del Reglamento nos proporciona una definición positiva sobre cuál es el ámbito de

aplicación de la norma en general, y posteriormente enumera una serie de exclusiones, son

excepciones a la norma, y por tanto hay que interpretarlas de forma restrictiva.

En cuanto a la definición positiva, el artículo 2.1 del Reglamento nos dice que es de aplicación a:
 Los tratamientos total o parcialmente automatizados, y a

Los tratamientos no automatizados de datos personales que se contengan en un fichero o en un

futuro vayan a estarlo.

Podemos comprobar una vez realizada la lectura de este artículo, que el ámbito de aplicación

material del Reglamento 2016/679 coincide con el de la antigua Directiva 95/46.

Dentro del ámbito de aplicación material definido por el Reglamento se produce una acotación del

mismo refiriéndose a: datos personales, tratamiento y fichero.

Por tanto, para comprender y estudiar pormenorizadamente el Reglamento es necesario hacer

alusión a cada uno de estos conceptos clave.

Exclusiones del ámbito de aplicación material

El apartado segundo del artículo 2 del Reglamento enumera en forma de excepciones, numerus

clausus, a qué tratamientos de datos no les son de aplicación las previsiones contempladas en el

Reglamento.

A) Actividades fuera del ámbito de aplicación del Derecho de la Unión

La letra a) del apartado 2 del artículo 2 del Reglamento reza así:

“El presente Reglamento no se aplica al tratamiento de datos personales: a) en el ejercicio de una

actividad no comprendida en el ámbito de aplicación del Derecho de la Unión”.

Esta primera excepción alude a los tratamientos de datos que sean necesarios para la consecución

de una actividad no comprendida en el ámbito de aplicación del Derecho de la UE.

Por tanto, si en el Derecho Originario de la UE no posee competencias para tratar una determinada

materia, a los tratamientos de datos que se puedan desarrollar para la realización de esa materia no

les puede ser de aplicación el Reglamento.

El Reglamento sólo se puede aplicar a todas las actividades relacionadas con el tratamiento de datos

personales, en relación con actividades en las que la UE posea competencias sobre las que puede

regular.
B) Actividades de política exterior y de seguridad común realizadas por los Estados

Miembros

El punto b) del apartado 2 del artículo 2 del Reglamento recoge que:

“El presente Reglamento no se aplica al tratamiento de datos personales: b) por parte de los Estados

miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2

del título V del TUE”.

El Reglamento se refiere a la PESC (Política Exterior y de Seguridad Común: art. 24.1 TUE (“la

competencia de la Unión en materia de política exterior y seguridad común abarcará todos los

ámbitos de la política exterior y todas las cuestiones relativas a la seguridad de la Unión, incluida la

definición progresiva de una política común de defensa que podrá conducir a una defensa común”)

cuando hace alusión a esta excepción, si bien es cierto que no alude, y por tanto sí están dentro del

ámbito de aplicación material de dicho Reglamento, otras actividades que sean llevadas a cabo en el

desarrollo de la actividad exterior de la UE, inmersas en el capítulo 1 del título V del TUE.

Podemos delimitar los ámbitos materiales de la PESC dos sentidos:

En sentido negativo: en ningún caso podrán formar parte del ámbito material de la PESC los

ámbitos de acción exterior que han sido atribuidos a la Unión como políticas de la acción

exterior de las competencias.

En sentido positivo: sólo cuando se produce un consenso de los Estados sobre la existencia de

asuntos o cuestiones de política exterior que ofrecen un interés general o común, ese asunto o

cuestión pasa a formar parte de la PESC.

C) Actividades personales o domésticas

La letra c) del punto 2 del artículo 2 del Reglamento nos dice que:

“El presente Reglamento no se aplica al tratamiento de datos personales: c) efectuado por una

persona física en el ejercicio de actividades exclusivamente personales o domésticas”.

Esta salvedad la conocemos como “excepción doméstica” y ya la recogía la Directiva 95/46 y en la

legislación estatal española (LOPD y RLOPD).

El Considerando 18 del Reglamento nos dice que éste no es de aplicación “al tratamiento de datos

de carácter personal por una persona física en el curso de una actividad exclusivamente personal o

doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial”, incluyendo

además que “entre las actividades personales o domésticas cabe incluir la correspondencia y la

llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea

realizada en el contexto de las citadas actividades”.No obstante, el presente Reglamento se aplica a

los responsables o encargados del tratamiento que proporcionen los medios para tratar datos

personales relacionados con tales actividades personales o domésticas.

Resulta de especial interés la consulta de la STJUE, asunto C-212/13.

Añadir que, cuando queremos discernir si las actividades son personales o domésticas y no lo son, el

TJUE se ha pronunciado en varias ocasiones, afirmando que cuando el número de contactos que

puedan tener acceso a la información es infinito, esta salvedad no se aplicaría, a no ser que el

usuario en cuestión decidiese con total autonomía si difundir y hacer pública la información que le

concierne (STJUE Lindqvist, C-101/01 en la que interpreta de manera restrictiva esta exclusión; y

STJUE Satamedia, C-73/07 en la que alude al tratamiento de datos desarrollados por una empresa).

D) Actividades de persecución de infracciones penales

La cuarta excepción viene recogida en la letra d) del apartado segundo del artículo 2 del

Reglamento:

“El presente Reglamento no se aplica al tratamiento de datos personales: d) por parte de las

autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de

infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a

amenazas a la seguridad pública y su prevención”.

Esta excepción se puede tratar en la línea del artículo 1 de la Directiva 2016/680 que se analizará

con más detalle al tratar lo relacionado con la legitimidad en el tratamiento de los datos. Este

artículo 1 de la Directiva 2016/680 recoge que esta es de aplicación a la protección de las personas

físicas en lo que concierne al tratamiento de los datos personales por parte de las autoridades

competentes con fines de prevención, investigación o ejecución de sanciones penales, mencionando

algunos de los que recoge.

Hemos de aclarar respecto a esta salvedad que, cuando les sea encomendado a las autoridades

competentes por parte de los Estados ciertas funciones que, precisamente no se realicen con fines

de persecución de infracciones penales, al tratamiento de los datos con esos objetivos, sí que se les

aplicará el Reglamento.

Mención especial merece el artículo 87 del Reglamento, el cual recoge el tratamiento del número

nacional de identificación o DNI, el cual reza de la siguiente manera: “Los Estados miembros podrán

determinar adicionalmente las condiciones específicas para el tratamiento de un número nacional de

identificación o cualquier otro medio de identificación de carácter general. En ese caso, el número

nacional de identificación o cualquier otro medio de identificación de carácter general se utilizará

únicamente con las garantías adecuadas para los derechos y las libertades del interesado con

arreglo al presente Reglamento”; haciendo alusión al tratamiento realizado por la Policía Nacional y

otros cuerpos.

Una vez analizado el ámbito de aplicación material del Reglamento UE 2016/679 vamos a pasar al

análisis de su ámbito de aplicación territorial, con el fin de conocer el alcance de aplicación de este

Reglamento Comunitario.

Para hacernos eco de la extensión territorial a la que se aplica dicho Reglamento del que venimos

hablando es importante conocer la STJUE de 13 de mayo de 2014, asunto Google Spain, en la que el

Tribunal contestó en los epígrafes 42 a 61 de la Sentencia. El Tribunal consideró que el legislador de

la UE quiso evitar que una persona se quedase aislada de la protección que garantizaba la Directiva

95/46/CE, por ello, para impedir que se pudiese soslayar la aplicación de dicha norma, instauró un

ámbito de aplicación territorial bastante extenso.

Este asunto Google Spain muestra con claridad las permutas que se estaban produciendo en la

sociedad; cambios devenidos por el desarrollo tecnológico producido en la misma, y que habían

hecho que la Directiva 95/46 se quedase en la más absoluta obsolescencia y produjese una cierta

inseguridad jurídica. También se habían producido cambios en el Derecho originario de la UE, ya

que años más tarde de la promulgación de la Directiva 95/46 se aprobaron los Tratados de Lisboa,

Niza y Ámsterdam. Además, el TFUE tiene inmerso en su articulado de aplicación general el derecho

de protección de datos de carácter general a toda persona que le inmiscuyan.

El artículo 3 del presente Reglamento establece:

“1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las

actividades de un establecimiento del responsable o del encargado de la Unión, independientemente

de que el tratamiento tenga lugar en la Unión o no”.

Este apartado considera que el Reglamento se aplica al tratamiento de datos cuando el

establecimiento del responsable o del encargado esté ubicado en la Unión, aunque ese tratamiento

de los datos personales no se produzca in situ. La Jurisprudencia del TJUE se ha pronunciado en

diversas ocasiones respecto al tema de ofrecer un concepto bastante amplio de establecimiento; así,

"establecimiento en la unión implica el ejercicio efectivo y real de una actividad mediante una

instalación estable, y que la forma jurídica de dicho establecimiento, sea una simple sucursal o una

empresa filial con personalidad jurídica, no es un factor determinante”(SSTJUE, Google Spain y

Google, C-131/12, apartado 54; Weltimmo, C-230/14, apartado 28).

En esta línea jurisprudencial, el Considerando 22 del Reglamento recoge la siguiente definición de

establecimiento: “Un establecimiento implica el ejercicio de manera efectiva y real de una actividad

a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una

sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto”.

Por tanto, podemos concluir a este respecto que el TJUE no examina el establecimiento en sí, sino

que exige que el tratamiento de los datos personales se produzca en el ámbito de las actividades de

dicho establecimiento.

“2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que se

encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando

las actividades de tratamiento estén relacionadas con:

a) La oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos

se les requiere su pago, o

b) El control de su comportamiento, en la medida en que este tenga lugar en la Unión”.

Este precepto recoge la aplicación del Reglamento en caso de que el tratamiento de los datos

personales de interesados que se encuentren en la Unión se realice por un responsable o encargado

que no esté establecido en la Unión. Pero en estos supuestos, para que sea de aplicación el acervo

comunitario es preceptivo que se cumplan dos condiciones recogidas en el Considerando 23:

Que el objeto del tratamiento sean datos personales de interesados que se encuentren en la Unión,

pues se trata de garantizar que las personas físicas no sean privadas de la protección a la que tienen

derecho en virtud del presente reglamento.

Que las actividades de tratamiento se refieran a un objeto determinado, que puede ser:

La oferta de bienes o servicios a dichos interesados (independientemente de si a estos se les

requiere su pago). Para determinar si dicho responsable o encargado ofrece bienes o servicios

a interesados que en encuentren en la Unión, debe determinarse si es evidente que el

responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios Estados

miembros. Son factores que permiten determinar esta intención que el sitio web del

responsable o encargado, o de su intermediario en la UE, use una lengua o una moneda

generalmente utilizada en uno o varios Estados miembros, con la posibilidad de ofrecer bienes

o servicios en esa lengua, además de la lengua generalmente utilizada en el tercer país donde

resida. O bien que el sitio web haga mención de clientes o usuarios que residen en la UE.

La observación del comportamiento de dichos interesados en la medida que este

comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una

actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las

personas físicas son objeto de un seguimiento, en internet, inclusive el potencial uso posterior

de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de

una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o

predecir sus preferencias personales, comportamientos y actitudes (Considerando 24).

Por su parte, el apartado 3 del artículo 3 nos dice que:

“3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable

que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea

de aplicación en virtud del Derecho Internacional Público”.

Este supuesto recoge la posibilidad de aplicación del Reglamento en caso de misión diplomática u

oficina consular de un Estado miembro (Considerando 25).

Definiciones del artículo 4 del Reglamento.

Entre las definiciones que el Reglamento recoge, consideramos 3 como principales:

1. Datos personales. Se refiere el Reglamento a “datos personales” en sus artículos 2.a), 3.a)

y 5.f) respectivamente como “toda información sobre una persona física identificada o

identificable considerando persona física identificable a toda persona cuya identidad pueda

determinarse, directa o indirectamente, en particular mediante un identificador”. Además,

delimita esta cuestión recogiendo que una persona física no se considerará identificable si

dicha identificación requiere plazos o actividades desproporcionados (Considerando 26). De

esta definición que nos aporta el Reglamento siguen quedando excluidas las personas jurídicas,

como recoge el Considerando 14. Asimismo, el Reglamento recoge los datos necesarios para

hacer identificable a una persona, a saber:

Un nombre;

un número de identificación;

datos de localización;

un identificador en línea;

uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica,

económica, cultural o social de dicha persona.

Para finalizar con dicha definición, hemos de mencionar que el Considerando 14 recoge que sólo

debe aplicarse dicha protección a las personas físicas, independientemente de su nacionalidad o

lugar de residencia, en relación con el tratamiento de sus datos personales y hasta su

fallecimiento; y no se protege a las personas fallecidas (Considerando 27), sin perjuicio de lo

establecido en el artículo 3 de la LOPD 3/2018.

2. Tratamiento. Para que los datos personales tal y como los acabamos de definir, sean objeto de

protección, deben ser a su vez, objeto de tratamiento. El Reglamento define tratamiento como

“cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de

datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro,

organización, estructuración, conservación, adaptación o modificación, extracción, consulta

utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso,
 cotejo o interconexión, limitación, supresión o destrucción”. Resulta de interés en este tema del

tratamiento de los datos personales la consulta de la STJUE, Gran Sala, Sentencia de 13 de mayo de

2014, asunto C-131/12.

3. Consentimiento. El Reglamento lo define como: “toda manifestación de voluntad libre

(Considerando 42), específica, informada, inequívoca, por la que el interesado acepta, ya sea

mediante una declaración o una clara acción afirmativa (Considerando 32), el tratamiento de datos

personales que le conciernen”.

Principios del reglamento

El Reglamento tiene como objetivo proteger los derechos y las libertades de las personas en lo que

respecta al tratamiento de datos personales, estableciendo principios de orientación para

determinar la licitud de dicho tratamiento. Dichos principios los podemos situar en el Capítulo II del

Reglamento bajo la denominación “Principios Relativos al Tratamiento”, dentro del cual se refieren a

que:

Artículo 5: Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y

transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de

manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento

ulterior de los datos personales con fines de archivo en interés público, fines de investigación

científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales

(«limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son

tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se

supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines

para los que se tratan («exactitud»);

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo

del necesario para los fines del tratamiento de los datos personales; los datos personales podrán
conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo

en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad

con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas

apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del

interesado («limitación del plazo de conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida

la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño

accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y

confidencialidad»).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado

1 y capaz de demostrarlo («responsabilidad proactiva»).

Derechos

Siguiendo con el articulado, el reglamento contempla una serie de derechos para los ciudadanos

europeos. Algunos de ellos ya estaban reflejados en la antigua LOPD española pero otros son

completamente nuevos.

De acceso: cuya finalidad es aportar una mayor transparencia en cuanto al uso de datos y que

los ciudadanos europeos tengan conocimiento sobre la utilización, por parte de las empresas,

de su información profesional. En el caso de que los usuarios lo pidiesen, las empresas que

operen en Europa estarán obligadas a aportarles una copia de los datos personales que sean

objeto de tratamiento.

De rectificación: los usuarios tendrán derecho a que se realicen modificaciones “sin dilación”

en datos inexactos, además de que se complete la información si esta se encontrase

incompleta.

Al olvido: a raíz de este derecho, los internautas comunitarios podrán exigir que se supriman

sus datos personales en determinados casos, por ejemplo se podrá exigir cuando los datos ya

no sean necesarios para la finalidad por lo que fueron recabados. No se aplicará cuando se

determine que debe prevalecer el derecho a la libertad de expresión e información o por

razones de interés público.

A la limitación del tratamiento: será posible solicitar esta limitación de los datos mientras
se comprueba la exactitud de la información en el caso de que haya sido impugnada su

veracidad o si el usuario se ha opuesto al tratamiento de los mismos, “mientras se verifica si los

motivos legítimos del responsable prevalecen sobre los del interesado”.

A la portabilidad: el objetivo de este derecho es facilitar libertad de decidir con qué empresa

acordar un servicio, eliminando los problemas que surgen a la hora de traspasar los datos de

una empresa a otra.

De oposición: es el derecho de los ciudadanos europeos de solicitar que no se traten sus datos

en ciertos casos.

A no ser objeto de decisiones individuales automatizadas: con este derecho se restringe

la posibilidad de que las empresas creen perfiles de usuarios tras recoger automáticamente los

datos personales para así elaborar predicciones sobre personas.

3. Normativa nacional recogida en el código penal, Ley
Orgánica para el Tratamiento Automatizado de Datos
(LORTAD), Ley Orgánica de Protección de Datos (LOPD) y
Reglamento de Desarrollo de La Ley Orgánica de Protección de
Datos (RD 1720/2007)

Vamos a ver las principales leyes de protección de datos a nivel nacional:

La aparición de la Constitución Española, como hemos dicho, supuso una nueva perspectiva en

cuanto a la defensa del derecho a la Protección de Datos, ya que se constituye como un derecho

fundamental recogido en el artículo 18 de la siguiente manera:

“1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del

titular o resolución judicial, salvo en caso de flagrante delito.

3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y

telefónicas, salvo resolución judicial.

4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar

de los ciudadanos y el pleno ejercicio de sus derechos”.

El derecho a la protección de datos también se encuentra protegido en vía penal. De esta manera, el

apartado segundo del artículo 197 del Código Penal tipifica que: “las mismas penas (penas de

prisión de uno a cuatro años y multa de doce a veinticuatro meses) se impondrán al que, sin estar

autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter

personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos,

electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales

penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a

quien los altere o utilice en perjuicio del titular de los datos o de un tercero”.

El mismo Código regula una agravante de este delito en su apartado quinto de la siguiente manera:

“igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter
personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima

fuere un menor de edad o una persona con discapacidad necesitada de especial protección, se

impondrán las penas previstas en su mitad superior”.

Debido a la gravedad de sus penas, la vía penal solo es aplicable en última ratio.

Pero la primera Ley española que reguló esta materia de forma específica fue la Ley

Orgánica 5/92 de Regulación del Tratamiento Automatizado de los Datos de Carácter

Personal de 29 de octubre (LORTAD), que fue derogada por la Ley Orgánica 15/1999 de 13

de diciembre de Protección de Datos de Carácter Personal, (LOPD), ya mencionada.

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

Garantía de los Derechos Digitales tiene también como objeto adaptar el derecho español al

establecido en el Reglamento General de Protección de Datos.

Esta Ley dispone facilidades para que los ciudadanos puedan ejercitar sus derechos al exigir, en

particular, que los medios para ello sean de fácil acceso. También regula el modo en que debe

realizarse la información a los usuarios sobre el tratamiento de sus datos, de forma específica en el

ámbito de internet.

Hemos mencionado la presencia en el Reglamento del derecho de acceso y de rectificación o

supresión, y precisamente en esta nueva redacción legislativa se introducen los mismos relacionados

también con la posibilidad de llevarlos a cabo por parte de quienes tuvieran vinculación con

personas fallecidas por razones familiares o de hecho y a sus sucesores, siempre y cuando el difunto

no lo hubiera prohibido.

Se fija en la edad de 14 años a partir de la cual se puede prestar consentimiento de manera

autónoma. Se garantiza también la formación del alumno en el uso seguro y adecuado de internet.

El texto regula también ese derecho al olvido mencionado en el Reglamento.

Respecto al ámbito laboral, se actualizan y refuerzan las garantías del derecho a la intimidad en

cuanto al uso de dispositivos, en el lugar de trabajo, de videovigilancia y de grabación de sonidos.

En cuanto a los sistemas de información crediticia, se reduce a 5 años el periodo máximo de

inclusión de las deudas y se exige un mínimo de 50 euros para la incorporación de las deudas a los
mismos. Anteriormente no se establecía cuantía mínima alguna.

El Real Decreto 1720/2007, que sucede al Real Decreto 994/1999, de medidas de seguridad

de los ficheros automatizados que contengan datos personales, supone una revisión enorme

que refleja el peso que esta materia ha ido adquiriendo con el tiempo. Si el anterior reglamento

constaba de 29 artículos, el actual consta de 158, de modo que este apartado. Por otra parte, hay

que destacar también el importante hecho de que a diferencia del anterior, regula también las

medidas aplicables a los ficheros en papel.

Una de las partes más relevantes del reglamento es aquella dedicada a las medidas de seguridad

aplicables a ficheros y tratamientos de ficheros automatizados y que se estructura en medidas de

seguridad de nivel básico, medio y alto. Esta parte abarca desde el artículo 80 al artículo 104.

En primer lugar el responsable del fichero o tratamiento debe elaborar el documento de

seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de

seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de

información.

Como veremos más adelante, el uso de ficheros se ha sustituido.

4. Identificación y registro de los ficheros con datos de carácter
personal utilizados por la organización

Con motivo de la aplicación del Reglamento General de Protección de Datos, que suprime la

obligación de notificar ficheros a la Agencia Española de Protección de Datos para su inscripción en

el Registro General de Protección de Datos, el día 14 de mayo de 2018 dejaron de estar operativos

los sistemas de notificación de ficheros tanto a través del formulario NOTA como a través del envío

de notificaciones en formato XML.

La obligación de notificar ficheros se sustituyó a partir del 25 de mayo de 2018 por elaborar un

registro de actividades de tratamiento que deberá contener la información señalada en el artículo 30

del citado Reglamento.

Elaboración de un Registro de Actividades de tratamiento

Esta adaptación al Reglamento va a suponer que cada organización deberá llevar un Registro de

Actividades de Tratamiento de acuerdo a lo que el Artículo 30 del RGPD detalla de la siguiente

manera: “cada responsable y, en su caso, su representante llevarán un registro de las actividades de

tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información

indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del

representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales,

incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización

internacional, incluida la identificación de dicho tercer país u organización internacional y, en el

caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la

documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad

a que se refiere el artículo 32, apartado 1”.

Como observamos, el apartado primero de este artículo dicta su contenido para el responsable de

tratamiento, en cambio, el apartado segundo detalla el contenido del Registro de Actividades que el

encargado de tratamiento debe llevar:

“a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta

del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del

delegado de protección de datos;

b) las categorías de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer país u organización internacional,

incluida la identificación de dicho tercer país u organización internacional y, en el caso de las

transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de

garantías adecuadas;

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad

a que se refiere el artículo 30, apartado 1”.

Cada organización, decidirá el nivel de segregación o agregación con el que se desea registrar el

tratamiento de datos personas que requiere su actividad. Deberán valorarse hasta qué punto la

segregación del tratamiento de los mismos se corresponde con sus finalidades. De igual forma, debe

ponderar la optimización de la gestión de la protección de los datos dentro de su gestión para que

sea útil, ágil, efectiva y permita el cumplimiento del objetivo que la legislación persigue.

Se ha dispuesto a disposición de todos los responsables de tratamiento, en el sector privado, una

herramienta de ayuda gratuita llamada FACILITA RGPD, dentro de la Agencia Española de

Protección de Datos (AEPD).

Para llevar a cabo la construcción de Registro de actividades, vamos a dividirlo en dos fases:

Revisión de los tratamientos de datos personales que la organización realiza.

 Revisión de las nuevas obligaciones que el RGPD impone al responsable del tratamiento y que

se deben incluir en el registro de actividades.

Para realizar esta elaboración puede ser útil construir el registro en torno a conjuntos estructurados

de datos, es decir, podemos volver la vista a los ficheros que la organización hubiera descrito con

anteriormente, comprobando de esta forma si esos tratamientos estaban recogidos en ellos, si el

nivel de detalle al que se hubiera llegado sigue siendo el adecuado o no y por ello se debe

modificar.

La AEPD ha dispuesto un servicio en su Sede electrónica que permite obtener una copia en formato

electrónico del contenido completo de la declaración de sus ficheros.

Son actividades que deben estar inclusas necesariamente en este Registro:

La atención a los derechos de las personas: es una actividad de tratamiento específica, ya que

se recogen los datos de carácter personal necesarios para poder atender los derechos de los

usuarios que se dirijan a la organización.

La notificación de una quiebra de seguridad de los datos personales a la autoridad de control y

a los interesados.

Además, el artículo 31.2 de esta Ley dispone que: “los sujetos enumerados en el artículo 77.1 de esta

ley orgánica harán público un inventario de sus actividades de tratamiento accesible por medios

electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE)

2016/679 y su base legal.” Los sujetos a los que se refiere el artículo 77.1 son:

“a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las

comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las

entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las

Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el

ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así

como los grupos políticos de las Corporaciones Locales".

Es importante mencionar que este Registro no es obligatorio para aquellas empresas que empleen

a menos de 250 trabajadores, a excepción de que el tratamiento de los datos pueda constituir un

riesgo para los derechos y libertades de los interesados, sean relativos a condenas e infracciones

penales o de manera ocasional, incluyese categorías especiales de datos personales como pueden

ser opiniones políticas, convicciones religiosas, afiliación sindical…

¿Qué ocurriría si nuestra entidad está obligada a realizar este Registro y no lo hace? Se

considera como infracción grave, tanto en el RGPD como en la nueva LOPDGG y las multas podrán

ascender hasta los 20 millones de euros o el 4% de la facturación anual.

5. Explicación de las medidas de seguridad para la protección
de los datos de carácter personal recogidas en el Real Decreto
1720/2007

Anteriormente se establecía un catálogo de medidas técnicas y organizativas para garantizar la

seguridad de los datos personales, organizándolas en niveles (básico, medio y alto).

A raíz de la nueva redacción del Reglamento, se han producido cambios en lo relativo s las medidas

de seguridad que deben ser aplicadas por los sujetos responsables del tratamiento de datos.

De entre sus principios rectores, el Reglamento establece el principio de integridad y

confidencialidad estableciendo que los datos personales serán “tratados de tal manera que se

garantice una seguridad adecuada de los datos personales, incluida la protección contra el

tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la

aplicación de medidas técnicas u organizativas apropiadas”.

El problema se encuentra en la norma no menciona un catálogo de medidas para garantizar el

cumplimiento de este principio por lo que, ¿cómo podemos aplicar adecuadamente las medidas de

seguridad?

La legislación actual se centra en la naturaleza de los datos para la definición de las medidas de

seguridad a implantar, pero el Reglamento se centra en los riesgos (artículo 32 RGPD: “teniendo en

cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los

fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y

libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas

técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”).

Para poder aplicar las medidas técnicas y organizativas que garanticen un nivel de seguridad

adecuado al riesgo, las organizaciones deberán llevar a cabo una adecuada gestión de riesgos. A

este respecto, la AEPD ha publicado una Guía práctica de análisis de riesgos en los

tratamientos de datos personales sujetos al RGPD, en la que se establece que se deberá

identificar las amenazas. Las amenazas las constituyen cualquier factor de riesgo con potencial para

provocar un daño o perjuicio a las personas sobre cuyos datos personales se realiza un tratamiento.
entrándonos en esta protección de datos, categorizamos las amenazas tres tipos:

Acceso ilegítimo a los datos.

Modificación no autorizada de los datos.

Eliminación de los datos.

Por lo tanto el riesgo sería la posibilidad de que se materialice una amenaza y sus consecuencias

negativas. ¿Cómo estimamos el nivel de riesgo? A través de dos factores:

La posibilidad de que se materialice.

El impacto que tendría para la privacidad de los interesados.

Cuando ya tenemos recocidos los riesgos, es necesario valora si necesitamos llevar a cabo llamada

Evaluación de Impacto en Protección de Datos (EIPD).

A través de la mencionada herramienta FACILITA, podremos identificar de forma sencilla si un

tratamiento implica un riesgo escaso o no.

6. Guía para la realización de la auditoría bienal obligatoria de
ley orgánica 15-1999 de protección de datos de carácter
personal

Con la normativa anterior, la LOPD, en los casos en los que durante el desarrollo de su actividad se

tratase datos de nivel de seguridad medio o alto, se exigía realizar una auditoría bienal obligatoria

por parte de una entidad externa a la empresa.

Tras la entrada en vigor de la nueva Ley de Protección de Datos, las auditorías como tal

desaparecen, y con ella los niveles de seguridad. Estas auditorías han sido sustituidas por una

Evaluación de Impacto en Protección de Datos, las cuales deben realizarse una sola vez.

La EIPD es una herramienta preventiva que debe llevar a cabo el responsable del tratamiento para

poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de

tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. De esta

forma, se determina el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las

medidas de control más adecuadas para reducirlo. El artículo 35 del reglamento establece que

cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su

naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las

personas físicas, será necesario llevar a cabo una EIPD antes de la puesta en marcha del

tratamiento.

El resultado de esta Evaluación se tendrá en cuenta, necesariamente, para tomar las decisiones

relacionadas con el cumplimiento de lo previsto en el Reglamento y la toma de decisión de la

viabilidad o no de llevar a cabo el tratamiento de los datos.

El resultado de esta Evaluación se tendrá en cuenta, necesariamente, para tomar las decisiones

relacionadas con el cumplimiento de lo previsto en el Reglamento y la toma de decisión de la

viabilidad o no de llevar a cabo el tratamiento de los datos.

Para realizar la Evaluación deberá incluir como mínimo, lo establecido en el artículo 35.7:

“a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del

tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del
tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con

respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el

apartado 1, y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y

mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el

presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de

otras personas afectadas”.

El contexto de la EIPD deberá describir el ciclo de vida de los datos y analizar la necesidad y

proporcionalidad del tratamiento.

Para la gestión de riesgo se deberá:

Identificar amenazas y riesgos.

Evaluarlos.

Tratarlos.

La Evaluación concluirá con un informe de conclusiones donde se documente el resultado obtenido

junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos

identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el

resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

Además es recomendable la existencia de un proceso de supervisión y revisión de la implantación

del nuevo tratamiento con el objetivo de garantizar el asentamiento de las medidas de control

descritas en el Plan de acción.

Recuerda

Cada Estado miembro designará una o varias autoridades públicas independientes encargadas

de controlar la aplicación en su territorio de las disposiciones adoptadas por los Estados

miembros en aplicación de la presente directiva.

Cada organización deberá llevar un Registro de Actividades de Tratamiento y cada

responsable y, en su caso, su representante llevarán un registro de las actividades de

tratamiento efectuadas bajo su responsabilidad.

Con la LOPD se exigía realizar una auditoría bienal obligatoria por parte de una entidad

externa a la empresa, pero tras la entrada en vigor de la nueva Ley de Protección de Datos, las

auditorías han sido sustituidas por una Evaluación de Impacto en Protección de Datos.

La EIPD es una herramienta preventiva que debe llevar a cabo el responsable del tratamiento

para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades

de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas.