LEY DE PROTECCIÓN

DE DATOS
Ley 3/2018 de 5 de diciembre de protección de datos
personales y garantía de derechos digitales
LOPDGDD
 ¿Qué es la LOPD?
• La Ley Orgánica de Protección de Datos de carácter personal afecta a todas PERSONAS, EMPRESAS
o ENTIDADES de CUALQUIER ÍNDOLE que guardan ficheros (ya sean en papel o en soporte
informático) con datos personales de personas físicas (clientes, empleados, proveedores, colaboradores, etc).
• Las obligaciones básicas establecidas por la LOPD se pueden sintetizar en:
• Datos de carácter personal pueden ser, apellidos y nombres, matriculas de coche, imágenes, y en general
cualquier dato que pueda IDENTIFICAR a una persona
• Proteger: La LOPD, establecen la obligación de establecer una serie de medidas de carácter técnico y
organizativo que garanticen la seguridad de los datos de carácter personal, medidas que habrán de
adoptarse / implementarse por la empresa o profesional que almacene estos datos. Entre estas medidas se
incluye la elaboración de un Documento de Seguridad en el que se detallarán los datos almacenados, las
medidas de seguridad adoptadas, así como las personas que tienen acceso a esos datos.
 HISTORIA de la LOPD
• Ley Orgánica 15/1999
• Real Decreto 1720/2007
• Creación de la Agencia Española de Protección de Datos
• Reglamento Europeo UE 2016/679
• 25 de Mayo de 2018. El CAOS
• Ley orgánica 3/2018 de 5 de diciembre
 La Agencia Española de Protección de Datos

• La Agencia Española de Protección de Datos, ​ creada en 1992, ​ es el

organismo público encargado de velar por el cumplimiento de la Ley
Orgánica de Protección de Datos de Carácter Personal en España.​ Tiene su
sede en Madrid y su ámbito de actuación se extiende al conjunto de España.
• Tipo: Autoridad administrativa independiente
• Empleados: 168 (2020)​
• Entidad superior: Comité europeo de protección de datos
 La Agencia Española de Protección de Datos

• Su principal función es velar por el cumplimiento de la legislación sobre

protección de datos y controlar su aplicación, en especial en lo relativo a los
derechos de información, acceso, rectificación, oposición y cancelación de
datos
• Derechos ARCO
• Agencia Independiente. Las denuncias se hacen directamente por parte de los
particulares de forma GRATUITA mediante la web www.aepd.es
La LOPDGDD o Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales regula
el tratamiento de datos de carácter personal en España

¿Qué derechos y obligaciones establece?

¿Cuáles son sus similitudes y diferencias con el RGPD?

•¿Cómo cumplir con la LOPDGDD 3/2018 (antigua LOPD 15/1999)?
• Registrar los tratamientos realizados en la empresa
• Deber de confidencialidad
• Consentimiento inequívoco
• Consentimiento de menores
• Obligación de dar más información
• Análisis de riesgos
• Comunicar los incidentes de seguridad
• Evaluaciones de impacto sobre la protección de datos
• Contratos de Encargado del Tratamiento
• Garantizar los derechos digitales
• Designar Delegado de Protección de Datos
•Novedades de la LOPDGDD que afectan a particulares y empresas
• Derecho a la desconexión digital en el ámbito laboral
• Derecho a la supresión
• Derecho al olvido en Internet
• Derecho a la cancelación
• Derecho al olvido en redes sociales
• Derecho a la educación digital y protección de menores>
• Derecho de acceso a Internet
• Derecho a la neutralidad de Internet
• Derecho al testamento digital
• Derecho a la portabilidad de los datos

•Régimen sancionador: infracciones y multas del

LOPDGDD
• Infracciones leves
• Infracciones graves
• Infracciones muy graves
 Registrar los tratamientos realizados en la empresa

¿Qué tipo de datos es necesario registrar y de qué manera?

La LOPDGDD obliga a los responsables del tratamiento o encargados a registrar la siguiente
información:
•Identidad y datos de contacto del responsable, de su representante y del Delegado de Protección
de Datos, si lo hubiera.

•Finalidad con la que se recogen los datos.

•Descripción de las categorías de interesados y de las categorías de datos.

•Si los datos van a ser cedidos a terceros, incluyendo si se trata de entidades internacionales.

•Plazos para la eliminación de la información.

•Descripción de las medidas técnicas y organizativas que se adoptarán para garantizar la seguridad
de la información.
 El registro de las actividades de tratamiento es
obligatorio para todas las empresas con más de 250
trabajadores.

También lo será para aquellas que cuenten con menos de

250 empleados, pero que manejen datos que pueden
suponer un riesgo para los derechos o libertades del individuo, o
traten categorías especiales de datos.

Si la empresa tiene designado un Delegado de Protección de

Datos, se le ha de comunicar cualquier modificación que se
realice en el registro.
Entidades que deben hacer públicas sus actividades de tratamiento por medios
electrónicos. Los sujetos obligados son los siguientes:

Tribunal Supremo, Audiencia Nacional, Tribunal Superior de Justicia, Audiencias Provinciales y Juzgados.

Órganos constitucionales e instituciones de las Comunidades Autónomas.

Administración General del Estado, Diputaciones Provinciales y Administraciones locales.

Organismos públicos dependientes de la Administración pública.

Autoridades Administrativas Independientes o AAI.

Banco de España.

Corporaciones de derecho público como Cámaras oficiales, Cofradías o Colegios Profesionales.

Fundaciones pertenecientes al sector público.

Universidades públicas

Consorcios.

Grupos parlamentarios de Cortes Generales y Asambleas.

 Deber de confidencialidad
El artículo 5 de la LOPDGDD hace referencia a la confidencialidad. Señala que los responsables del
tratamiento deben poner en marcha las medidas técnicas y organizativas necesarias para garantizar la máxima
seguridad de los datos.

Las medidas adoptadas deben incluir mecanismos para evitar el tratamiento ilícito o no autorizado de información
personal, y la protección frente a la pérdida o destrucción de datos.

Consentimiento inequívoco
El artículo 6 de la LOPDGDD 3/2018 se refiere a la obligación de obtener consentimiento para poder recabar,
almacenar y utilizar con cualquier fin los datos del interesado.
El consentimiento debe ser inequívoco.
Se considera consentimiento inequívoco aquella manifestación libre, voluntaria, informada y activa por parte
del interesado, mediante la cual acepta de forma explícita el tratamiento de sus datos mediante alguna acción
afirmativa, ya sea una firma, rellenar un formulario, o marcar una casilla de aceptación.
En caso de que se quiera obtener datos para su tratamiento con varias finalidades, el afectado deberá otorgar
consentimiento para todas ellas por separado.

No se podrá tratar los datos para otra finalidad distinta para la que el interesado prestó su consentimiento.
 Consentimiento de menores
Una de las cuestiones más delicadas de la protección de datos es cómo tratar la información de
los menores de edad.
En este caso, los menores solo podrán otorgar su consentimiento si tienen más de 14 años. Hay
excepciones en las que, aun teniendo más de 14 años, deberán estar presentes padres o tutores.

El consentimiento de los menores de 14 años deberá ser otorgado por aquellas personas
que posean la patria potestad o tutela del menor.

Obligación de dar más información

La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales
(LOPDGDD) también establece la obligación de informar al interesado sobre las vías de las
que dispone para ejercer sus derechos.

Nos referimos, por supuesto, a los derechos ARSULIPO, que en la normativa española sustituyen
a los tradicionales derechos ARCO.
 DERECHOS ARCO

derechos de acceso, rectificación, supresión,

limitación del tratamiento, portabilidad y
oposición.

¿Cómo reclamar?

¿Dónde reclamar?

Procedimientos y tiempos de respuesta

 DERECHOS ARCO
•Acceso: el interesado tiene derecho a obtener la confirmación del responsable sobre si se están tratando sus
datos y, en caso afirmativo, podrá acceder a dicha información.

•Rectificación: consiste en el derecho a solicitar que se modifiquen los datos personales inexactos o a que se
complete la información incompleta.

•Supresión: se puede solicitar la eliminación de aquellos datos que no hayan sido recabados por métodos lícitos o
que no se estén usando de acuerdo a la ley.

•Limitación del tratamiento: el responsable no debe eliminar los datos, pero no puede usarlos de la forma
habitual. La limitación se impone en caso de inexactitud de datos, tratamiento ilícito, o cuando los datos se necesitan
para reclamaciones.

•Portabilidad: se trata de la obligación del responsable de facilitar al interesado, por el medio que este solicite, de
cualesquiera datos que le hayan sido facilitados.

•Oposición: la persona objeto del tratamiento puede oponerse al mismo en caso de factores referentes a su propia
situación y elección personal. Por ejemplo, solicitar que sus datos no se utilicen para mercadotecnia directa o la
elaboración de perfiles.
 Análisis de riesgos
Los responsables o encargados han de realizar un análisis del riesgo que puede provocar el tratamiento
de determinados datos personales. Se considera que existen datos de alto riesgo en los siguientes
supuestos:
•Son susceptibles de provocar discriminación, usurpación de la identidad u otro tipo de fraudes.
•Podrían suponer pérdidas económicas, violación de la confidencialidad y un perjuicio para la reputación
de la persona.
•El tratamiento puede privar al interesado del ejercicio de sus derechos y libertades o hacerle perder el
control sobre su información personal.
•Cuando se tratan las categorías especiales de datos altamente sensibles de otras formas a las prevista
en la ley (debe hacerse de forma incidental, accesorio y con técnicas de anonimización).
•Información en la que se realiza una evaluación de las personas con el objetivo de elaborar perfiles.
•Tratamiento de datos de grupos de menores de edad o grupos especialmente vulnerables.
•En caso de que se lleve a cabo un tratamiento masivo de datos que afecte a gran número de personas.
•Aquellos datos que son cedidos a terceros países u organizaciones internacionales sobre las que no se
puede garantizar el nivel de protección adecuado.
•Otros supuesto que pudieran suponer un riesgo para los interesados a juicio del responsable,
encargado o DPO.
 Comunicar los incidentes de seguridad
La ley de protección de datos española adapta la normativa europea sobre la comunicación
de brechas de seguridad.

Por tanto, cualquier violación de la seguridad de los datos se debe comunicar a los afectados y a
la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.

Evaluaciones de impacto sobre la protección de

datos
Los responsables o, en su caso, encargados o delegado, deberán valorar si procede realizar
una evaluación del impacto que su tratamiento produce en la protección de datos de los
interesados.

En base a esta evaluación de impacto se decidirán las medidas técnicas y

organizativas apropiadas, tanto a la hora de elegir los medios de tratamiento como para la ejecución
del tratamiento en sí mismo.

Para ello, se tendrán en cuenta factores como el estado de la técnica, el coste de aplicación de dichas
técnicas, o la naturaleza, contexto y finalidad del tratamiento.
Contratos de Encargado del Tratamiento
El encargado del tratamiento es la persona que maneja los datos e información personal de
clientes, proveedores o prestadores de servicios de una empresa, a través de un contrato firmado
con los responsables del tratamiento.
Es decir, los responsables otorgan al encargado la potestad de realizar el tratamiento de datos en su
nombre.

Por tanto, el encargado del tratamiento puede acceder a todos aquellos datos personales que sean
necesarios para la prestación del servicio al responsable.
Los encargados del tratamiento no podrán utilizar los datos a los que acceden para sus propias
finalidades. En caso de hacerlo tendrían la consideración de responsables del tratamiento en
cualquier litigio.

Se recomienda que el encargado del tratamiento conserve aquellos datos de los cuales se pudieran
derivar responsabilidades en su relación con el responsable. Los datos guardados han de estar
debidamente bloqueados para que nadie más tenga acceso a ellos.
 Designar Delegado de Protección de Datos
El Delegado de Protección de Datos es una figura obligatoria solo en determinados casos. La
LOPDGDD es mucho más precisa en este sentido que el RGPD, y cita todas aquellas entidades que
han de contar con un DPO o DPD.
•Colegios Profesionales
•Centros docentes, incluyendo Universidades Públicas y privadas.
•Empresas de explotación de redes y destinadas a la prestación de servicios de comunicación electrónica.
•Prestadores de SSI (Servicios de la Sociedad de la Información) que elaboren perfiles de usuarios.
•Entidades financieras.
•Entidades de ordenación y supervisión de entidades de crédito.
•Compañías aseguradoras.
•Entidades reguladas por la normativa del Mercado de Valores.
•Empresas dedicadas a la comercialización y distribución de energía eléctrica o gas natural.
•Entidades dedicadas a la tutela de ficheros sobre solvencia patrimonial, o datos destinados a la prevención del
fraude, el blanqueo de capitales o la financiación del terrorismo.
•Empresas dedicadas a la realización de actividades comerciales o publicitarias que impliquen la elaboración de
perfiles de usuarios.
•Centros sanitarios, exceptuando a aquellos profesionales del sector que ejerzan su actividad a título individual.
•Compañías dedicadas a la realización y emisión de informes con datos de personas físicas.
•Operadores del sector del juego.
•Empresas de seguridad privada.
•Federaciones deportivas, cuando traten información relativa a menores de edad.
Novedades de la LOPDGDD que afectan a particulares y
empresas
 NUEVOS DERECHOS
ADQUIRIDOS POR LA LOPD GDD
Al ser miembros de la Unión Europea, hemos adquirido una serie de derechos, que debemos
cumplir como ciudadanos, empresas ubicadas en la UE y cualquier empresa extranjera que
quiera manejar datos de ciudadanos europeos.

FACEBOOK Y GOOGLE NO ESTÁN NADA

CONTENTOS
 Derecho a la desconexión digital en el ámbito laboral
Uno de los derechos que introduce la LOPDGDD es la desconexión digital. Ahora los trabajadores
tienen derechos a que no se requiera su presencia o actividad online por motivos de trabajo fuera de
su horario laboral. El objetivo de este derechos es garantizar que los trabajadores puedan disfrutar de
la intimidad personal y familiar, así como sus períodos de descanso, vacaciones o permisos.

Derecho a la supresión
Este derecho permite al interesado solicitar que se eliminen aquellos datos personales que le
conciernen. El responsable del tratamiento estará obligado a atender esta petición en los siguientes
casos:
•La información ya no resulta relevante para la finalidad con la que fue obtenida.
•El interesado ejerce su derecho a retirar el consentimiento.
•El interesado ejerce su derecho a oponerse al tratamiento, sin que existan otros motivos legítimos
para el tratamiento de dichos datos.
•Los datos hayan sido recabados o utilizados de forma ilícita.
•Se trata de datos de servicios de la sociedad de información relativos a niños menores de 16 años
que han sido obtenidos de forma ilícita (consentimiento de padres o tutores)
 Derecho al olvido en Internet

Una de las grandes novedades de la LOPDGDD es la plasmación por escrito del

derecho al olvido.
Este nuevo derecho permite al interesado solicitar que se eliminen de los criterios de
búsqueda de internet (en buscadores como Google) aquellos datos relativos a su persona que
estén desfasados, no se amolden a la realidad actual de la persona o perjudiquen su reputación.

Ojo, no hace falta que los datos sean falsos o inexactos. Pueden ser datos verídicos, pero
desfasados.

Por ejemplo, una persona que estuvo en la cárcel hace 5 años y quiere que ese dato desaparezca
de los motores de búsqueda porque está reformado y esa información le perjudica a la hora de
encontrar trabajo.
Sin embargo, hay que matizar que este derecho solo evita que se muestre información relativa a
determinados criterios de búsqueda. Sin embargo, no elimina la información, y es posible que
los datos sigan apareciendo si se utilizan otros criterios de búsqueda.
En definitiva, elimina la relación que existe en los buscadores entre el nombre de una
persona y los resultados de búsqueda que aparecen.
 Derecho a la cancelación
En realidad solo citamos el derecho a la cancelación porque es una especie de antecesor del derecho
de supresión. Este derecho, como decimos ya sustituido por el derecho a la supresión, simplemente
obligaba a cancelar o bloquear los datos, pero no a eliminarlos.

Derecho al olvido en redes sociales

El artículo 94 de la LOPDGDD se refiere al derecho al olvido en las redes sociales. En él se define el
derecho de cualquier persona a solicitar que se supriman los datos que hubiera facilitado para ser
publicados por servicios de las redes sociales o medios equivalentes.
El usuario también tiene derecho a solicitar la supresión de todos aquellos datos facilitados por
terceros que sean inadecuados, inexactos, o estén desactualizados respecto a la finalidad para la que
fueron recabados.
Otra razón por la que el interesado puede solicitar la eliminación de los datos es en caso de
circunstancias personales cuya importancia prevalece sobre el mantenimiento de datos del servicio.
En este sentido, los prestadores de servicios deben hacer especial hincapié en la eliminación de datos
de menores de edad.
 Derecho a la educación digital y protección de
menores>
La LOPDGDD también establece requisitos para que el sistema educativo garantice el acceso
seguro de los menores a la educación digital.

En este sentido, el sistema educativo y, por extensión, los centros docentes, deben garantizar
la inserción de los alumnos en la sociedad digital.

El aprendizaje relativo al uso de medios digitales y electrónicos debe realizarse en base

al respeto a los valores constitucionales, los derechos y libertades del individuo, la intimidad
personal y familiar y la protección de su privacidad e información personal.

Los padres, madres, tutores y representantes legales deben procurar que el menor haga un uso
responsable de los medios digitales.

El Ministerio Fiscal podría intervenir de oficial en caso de que los menores sean víctima del uso o
difusión de imágenes sin su consentimiento en redes sociales o medios equivalentes.
 Derecho de acceso a Internet

El derecho de acceso universal a internet se define en el artículo 81 de la LOPDGDD.

El acceso a internet debe ser:

•Universal

•Asequible

•De calidad

•No discriminatorio

La normativa establece que este acceso a internet se debe encaminar hacia la superaciones de las brechas de
género (hombres/mujeres) o generacionales (jóvenes/mayores). También se han de tener en cuenta a las personas
con necesidades especiales
 Derecho al testamento digital
El derecho al testamento digital se recoge en el artículo 96 de la LOPDGDD.

Los familiares o herederos del fallecido tienen derecho a acceder a la información sobre su persona
almacenada en prestadores de servicios de la sociedad de la información (por ejemplo, en redes
sociales).

Además, pueden ejercer los derechos de rectificación, supresión, oposición o limitación del
tratamiento sobre los datos del familiar fallecido.

Hay una excepción a lo dicho en el párrafo anterior. Familiares o herederos no podrían acceder a
los datos del fallecido si éste así lo hubiera decidido expresamente en vida, o exista alguna ley
que lo prohíba.

Si el fallecido es un menor de edad, también podrán acceder a dichos datos los representantes
legales o el Ministerio Fiscal, para el ejercicio de sus funciones.
 Derecho a la portabilidad de los datos
Cualquier persona tiene derecho a solicitar en todo momento que el responsable del tratamiento le
facilite los datos de carácter personal que le incumban. Así lo refleja el artículo 17 de la Leo
Orgánica de Protección de Datos y Garantía de Derechos Digitales, referente a la
portabilidad de los datos.

Esta información se ha de proporcionar en un formato estructurado, de uso común y

accesible para el interesado.

Asimismo, la persona objeto del tratamiento de datos puede transmitir los datos a otro
responsable siempre que otorgue su consentimiento o el tratamiento se realice por medios
automatizados.

Además, el interesado puede solicitar que los datos pasen de responsable a responsable (sin pasar
por él mismo) siempre y cuando otorgue consentimiento y existan medios técnicos para ello.
Régimen sancionador: infracciones y
multas del LOPDGDD

Las sanciones que establece la LOPDGDD pueden llegar a los 20

millones de euros o al 4% de la facturación total de la empresa. La
cuantía de la multa dependerá de si se trata de infracciones leves,
graves o muy graves. A continuación vemos en qué consisten
 Infracciones leves
• Incumplir las exigencias sobre transparencia o acceso a la información del interesado recogidas en la LOPDGDD y el RGPD.
• Exigir a los interesados un pago por acceder a la información, cuya cuantía supere los costes afrontados para facilitar dicha
información.
• No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad o supresión, salvo en las
excepciones previstas por la ley.
• No cumplir con la obligación de notificar la rectificación, supresión o limitación del tratamiento de datos.
• Incumplir la exigencia de notificar al afectado la comunicación de sus datos a otros destinatarios.
• Incumplir la obligación de eliminar los datos de una persona fallecida cuando así los hayan solicitado familiares o herederos.
• No formalizar las obligaciones y responsabilidades relativas al tratamiento de datos personales por parte de los responsables.
• No poner a disposición de los afectados las obligaciones y responsabilidades a las que se refiere el punto anterior.
• Incumplir el encargado del tratamiento la obligación de informar al responsable sobre alguna infracción resultante de las
instrucciones recibidas.
• Incumplir el encargado la obligación de respetar las condiciones del contrato firmado con el responsable, salvo que esté obligado a
ello por ley.
• Disponer de un registro de tratamiento que no contiene toda la información requerida por la normativa.
• No comunicar a los afectados las brechas de seguridad que pudieran poner en riesgo sus datos.
• Facilitar información inexacta a las autoridades de protección de datos.
• Incumplir la obligación de publicar los datos de contacto del Delegado de Protección de Datos.
 Infracciones graves
• Impedir u obstaculizar el ejercicio de los derechos ARSULIPO.
• Tratar datos de menores sin su consentimiento o el de sus padres/tutores.
• No verificar la validez del consentimiento prestado por menores.
• No adoptar las medidas técnicas y organizativas necesarias para garantizar la protección de datos
• No adoptar las medidas técnicas y organizativas necesarias para garantizar la máxima seguridad de los datos
• Incumplir la obligación de designar un representante del responsable o encargado del tratamiento cuando estos se
encuentran fuera de la Unión Europea.
• No atender la solicitudes efectuadas por los afectados o las autoridades competentes en protección de datos.
• Contratar a un encargado del tratamiento que no reúna las garantías necesarias para aplicar las debidas medidas
• Encargar a un tercero el tratamiento de datos sin la formalización del debido contrato.
• Contratar un encargado a otro encargado, sin el conocimiento del responsable del tratamiento.
• No contar con un registro de actividades de tratamiento, estando obligado a ello.
• No atender las solicitudes de la autoridad pertinente de protección de datos para poner a su disposición el registro
de actividades.
 Infracciones graves
• Entorpecer o dificultar las labores de las autoridades de control.
• Tratar datos personales sin tener en cuenta los riesgos a los que se refiere el artículo 28 de la
LOPDGDD.
• Incumplir el encargado del tratamiento la obligación de informar al responsable sobre
brechas de seguridad.
• Incumplir la obligación de notificar a la autoridad de protección de datos o al afectado la existencia de
alguna violación de seguridad.
• No realizar la pertinente evaluación de impacto en los casos en que sea exigible.
• Incumplir la exigencia de nombrar un Delegado de Protección de Datos cuando sea obligatorio por
ley.
• Impedir o interferir en el correcto desempeño de las funciones del DPO.
• Utilizar sellos de certificación en protección de datos que no hayan sido expedidos por alguna
autoridad competente.
• Obtener acreditación para ejercer como organismo de certificación en base a datos falsos o inexactos.
• Desempeñar funciones reservadas a organismos de certificación sin tener autoridad para ello.
 Infracciones MUY GRAVES
• Tratar datos personales vulnerando los principios y garantías básicas establecidas en el artículo 5 del RGPD.
• Tratar datos personales sin que exista licitud o sin haber obtenido consentimiento.
• Utilizar los datos con una finalidad distinta para la que fueron obtenidos.
• Manejar categorías especiales de datos sin que exista causa justificada para ello.
• Tratar datos personales relativos a condenas o infracciones penales sin que concurran las circunstancias previstas por la normativa.
• Tratar datos personales relativos a infracciones administrativas sin que concurran las circunstancias previstas por la normativa.
• Incumplir la obligación de informar al interesado sobre el tratamiento de información relativa a su persona.
• Vulnerar al deber de confidencialidad.
• Exigir el pago de un canon para ejercer el derecho de acceso, sin que exista una causa justificada para ello (repetidas solicitudes o
adopción de medidas técnicas que supongan un gasto para el responsable).
• No atender las solicitudes para ejercer los derechos ARSULIPO.
• Transferir datos personales a una organización internacional o un destinatario de otro país sin las garantías necesarias.
• Incumplir las resoluciones de las autoridades competentes en materia de protección de datos.
• Incumplir la obligación de bloquear datos cuando haya sido exigido por la autoridad competente o una resolución judicial.
• Impedir, obstruir o dificultad al la autoridad de protección de datos competente el ejercicio de sus funciones.
• Modificar intencionadamente los procesos de anonimización para permitir de forma deliberada la identificación de los afectados.