Tema3 PDF

La protección de datos en España, en
Europa y en Latinoamérica
[3.1] ¿Cómo estudiar este tema?
[3.2] La protección de datos en España
[3.3] Reglamento europea de protección de datos
[3.4] La protección de datos en Latinoamérica (especial referencia

a Colombia y Ecuador)
TEMA
Esquema
TEMA 3 – Esquema
Protección de datos en España y en Latinoamérica
2
El Reglam ento General de
En España (LOPD) La PD en LATAM
PD de la UE
Marco
Térm inos Visión
Generalidades Principios Derechos norm ativo Nov edades Colom bia Ecuador
básicos general
actual
© Universidad Internacional de La Rioja (UNIR)

Aspectos Legales y Regulatorios
Ideas clave
3.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee las Ideas clave, además de los siguientes documentos:
» Ley Orgánica de Protección de Datos 15/1999, disponible en el siguiente enlace:

https://www.boe.es/buscar/act.php?id=BOE-A-1999-23750
» También tendrás que leer las preguntas frecuentes sobre la Agencia Española de
Protección de Datos (AEPD) disponibles en el enlace siguiente:
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/pregunt
as_frecuentes/index-ides-idphp.php
» Además, tendrás que leer las guías y publicaciones sobre la AEPD disponibles en el
siguiente enlace:
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-
idphp.php
» Por último, tendrás que leer el Reglamento europeo de protección de datos disponible
en el siguiente enlace:
http://register.consilium.europa.eu/doc/srv?f=ST+5853+2012+INIT&l=es
Nota importante: tras la aprobación y entrada en vigor del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPDUE) en
España existe una situación de Transición de la LOPD al RGPDUE hasta el 25 de mayo
de 2018.
TEMA 3 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

3.2. La protección de datos en España
Generalidades sobre protección de datos
Para introducir el estudio del tema, el presente epígrafe analiza el concepto de la

protección de datos, la normativa básica que se debe conocer, la configuración
jurisprudencial de la protección de datos, la labor que desempeña la Agencia Española
de Protección de Datos y la estructura del estudio de la protección de datos.
» Protección de datos: el amparo debido a los ciudadanos contra la posible

utilización por terceros en forma no autorizada de sus datos personales
susceptibles de tratamiento, para confeccionar una información que identificable con
él afecte a su entorno personal, social o profesional.
La protección de datos está jurídicamente considerada por el Tribunal Constitucional

como un derecho fundamental autónomo e independiente del derecho a la intimidad
personal y familiar (Sentencia 292/2000, de 30 de noviembre). El derecho a la
protección de datos no solo protege a los datos íntimos de las personas, sino que
amplía su ámbito de protección a «cualquier tipo de dato personal, sea íntimo, cuyo
conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no
fundamentales, por lo que su objeto no es solo la intimidad individual que para ello
está la protección que el artículo 18.1 de la Constitución Española otorga, si no los
datos de carácter personal en el 18.4» de la CE.
Es por ello que debemos atender al artículo 18.4 de la Constitución Española, que
establece que: «la Ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
Y continúa diciendo: «se garantiza a los individuos un poder de disposición sobre esos
datos [...] que [...] nada vale si el afectado desconoce qué datos son los que poseen
terceros, quiénes los poseen y con qué fin» (primer párrafo del Fundamento Jurídico
6).
Se trata, por tanto, de un derecho fundamental (denominado por la Sentencia del

Tribunal Constitucional 292/2000, de 30 de noviembre como el derecho fundamental a
la protección de datos) que es autónomo e independiente del de la intimidad.

En cuanto al ámbito de actuación, la intimidad es más reducida que la protección de

datos como vamos en esta tabla:
Intimidad Protección de datos
Protege frente a invasiones de su Garantiza a la persona un poder de control

vida privada o familiar (es reactivo) sobre sus datos personales, sobre su uso y
destino, para impedir un tráfico ilícito y
lesivo para la dignidad y derecho del
afectado (es proactivo).
Datos íntimos de la persona Cualesquiera datos personales, aunque no

sean íntimos y aunque sean incluso públicos.
En cuanto al contenido: la protección de datos impone obligaciones adicionales e

instrumentos para que sea efectivo. La intimidad no.
Intimidad Protección de datos
No Derecho a que se requiera el consentimiento para la

recogida y uso de los datos.
No Derecho a ser informado y saber el uso y destino de los

datos.
No Derecho a acceder, rectificar, cancelar y oponerse al

tratamiento de sus datos.
No En definitiva: poder de disposición sobre sus datos.
» ¿Qué normativa hay que conocer? En el estudio de la protección de datos hay

que atender a la siguiente normativa:
Nacional Comunitaria
 Constitución Española de 1 978: 1 8,4 (CE).  Directiv a 95/46/CE del Parlamento

 Ley Orgánica 1 5/1999, de 1 3 de diciembre, Europeo y del Consejo, de 24 de octubre,
de Protección de Datos de Carácter relativ a a la protección de las personas
Personal (LOPD). físicas en lo que respecta al tratamiento de
 Real Decreto 17 20/2007, de 21 de datos personales y a la libre circulación de
diciembre, por el que se aprueba el estos datos (citada como Directiva
Reglamento de desarrollo de la Ley 95/46/CE).
Orgánica 1 5/1999, de 1 3 de diciembre, de  Reglamento General de Protección de
protección de datos de carácter personal Datos de la Unión Europea.
(RDLOPD).
 Otras normas.
 Instrucciones de la Agencia Española de
Protección de Datos (AEPD).

» ¿Qué labor desempeña la Agencia Española de Protección de Datos y qué

estructura tiene?
El órgano de control del cumplimiento de la LOPD (la Agencia Española de Protección

de Datos, en adelante AEPD) se encuentra regulada en el Título VI (arts. 35 a 42),
bajo la rúbrica de Agencia Española de Protección de Datos, como ente de
Derecho Público con personalidad jurídica propia y plena capacidad pública y privada.
La representación de la Agencia Española de Protección de Datos la ostenta su

Director que será nombrado de entre quienes componen el Consejo Consultivo (art.
36) «mediante Real Decreto, por un período de cuatro años» y, teniendo la
consideración de «alto cargo», podrá ser separado de su puesto (artículo 36.3).
A continuación, se describen sucintamente las funciones de la Agencia agrupadas por

materias según los actos/actores involucrados:
En relación con los afectados:
o Atender a sus peticiones y reclamaciones.

o Informar de los derechos reconocidos en la Ley.
o Promover campañas de difusión a través de los medios.
o Velar por la publicidad de los ficheros de datos de carácter personal.

» En relación con quienes tratan datos:
o Emitir las autorizaciones previstas en la Ley.

o Requerir medidas de corrección.
o Cese en el tratamiento y la cancelación de los datos en casos de ilegalidad.
o Ejercer la potestad sancionadora en los términos previstos en el Título VII de
la Ley Orgánica de Protección de Datos.
o Recabar de los responsables de los ficheros la ayuda e información que precise para
el ejercicio de sus funciones.
o Autorizar las transferencias internacionales de datos.
En la elaboración de normas:
o Informar preceptivamente los proyectos de normas de desarrollo de la Ley

Orgánica de Protección de Datos o que incidan en materia de protección de datos.
o Dictar las instrucciones y recomendaciones precisas para adecuar los tratamientos
automatizados a los principios de la Ley Orgánica de Protección de Datos.
o Dictar recomendaciones de aplicación de las disposiciones legales y reglamentarias
en materia de seguridad de los datos y control de acceso a los ficheros.
» En materia de telecomunicaciones:
o Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las

comunicaciones electrónicas incluyendo el envío de comunicaciones comerciales
no solicitadas realizadas a través de correo electrónico o medios de comunicación
electrónica equivalente (spam).
o Recibir las notificaciones de las eventuales quiebras de seguridad.
» Otras funciones:
o Cooperación con diversos organismos internacionales y con los órganos de la

Unión Europea en materia de protección de datos.
o Representación de España en los foros internacionales en la materia.
o Control y observancia de lo dispuesto en la Ley reguladora de la Función
Estadística Pública.
o Elaboración de una memoria anual que es presentada por el Director de la Agencia
ante las Cortes.

Integrado en la Agencia se encuentra el Registro General de Protección de

Datos donde serán objeto de inscripción (art. 39), los ficheros de que sean titulares
las Administraciones Públicas, los ficheros de titularidad privada, los datos relativos
a los ficheros que sean necesarios para el ejercicio de los derechos de información,
acceso, rectificación, cancelación y oposición (Derechos A.R.C.O) y los Códigos Tipo
que, mediante acuerdos sectoriales o decisiones de empresa, podrán formular los
responsables de ficheros de titularidad privada, estableciendo artículo 32 de la LOPD.
Términos básicos
En el estudio de la protección de datos y en particular de la LOPD es necesario atender a

las definiciones que se incluyen en el artículo 3, además de tener en consideración
las definiciones que también figuran en el artículo 5 del R.D. 1720/2007.
Las definiciones incluidas en la LOPD sirven para centrar algunas cuestiones en el

sentido de que nos permitirán aclarar posteriormente la interpretación de algunos
conceptos que pueden resultar problemáticos en la aplicación de esta norma si nos
limitamos a su acepción coloquial. En concreto, los conceptos a los que vamos a prestar
atención son los siguientes:
» Datos de carácter personal: la letra a) del artículo 3 de la LOPD define datos de

carácter personal como «cualquier información concerniente a personas físicas
identificadas o identificables».
Es necesario destacar que con la referencia expresa a «personas físicas» se hace

exclusión de los datos referentes a personas jurídicas. Es decir, esta norma
no es de aplicación al tratamiento de datos de personas jurídicas.
En forma parecida se expresa la Directiva 95/46/CE que, en su artículo 1.1, indica que
«los Estados miembro garantizarán, con arreglo a las disposiciones de la presente
Directiva, la protección de las libertades y de los derechos fundamentales de las
personas físicas [...]» excluyendo también a las personas jurídicas.

Debemos destacar que los datos de carácter personal no son solamente los
alfabéticos mediante los que se representan las palabras en el lenguaje, sino que
también son datos de carácter personal los números, los gráficos, las fotos, los sonidos,
etc., siempre que conciernan o se puedan asociar a una persona física identificada o
identificable. Apartado 1.f del artículo 5 del R. D. 1720/2007.
» Fichero. distinguimos a los ficheros en base al:
Procedimiento de almacenamiento:
o Fichero automatizado: Conjunto organizado de datos de carácter personal,

cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso. Es decir, cualquier dato que tengamos sobre personas físicas
en cualquier tipo de soporte, tanto papel como a nivel informático.
El concepto de fichero no se corresponde necesariamente con una base de datos,

sino que siempre que exista un conjunto de datos que estén organizados mediante
algún criterio nos encontraremos ante la existencia de un fichero.
o Fichero no automatizado: todo conjunto de datos de carácter personal

organizado de forma no automatizada y estructurado conforme a criterios
específicos relativos a personas físicas que permitan acceder sin esfuerzos
desproporcionados a sus datos personales, ya sea centralizado, descentralizado o
repartido de forma funcional o geográfica.
Por su titularidad, en base al sujeto que crea el fichero:
A) Públicos.
B) Privados.
Una de las obligaciones del responsable del fichero (sea de titularidad pública
o de titularidad privada) es la de inscribirlo en el Registro General de
Protección de Datos de la Agencia Española de Protección de Datos, y entre sus
obligaciones, la identificación del responsable del fichero, la finalidad del
mismo, su ubicación, el tipo de datos de carácter personal que contiene, las
medidas de seguridad y las cesiones de datos de carácter personal que se
prevean realizar.

Toda institución, pública o privada, que posea un fichero de datos de carácter personal
tiene la obligación de comunicarlo a la AEPD que, tras el análisis de su contenido y si
cumple con todos los requisitos exigidos por la propia LOPD y por el Reglamento, lo
inscribirá en el Registro General de Protección de Datos. También deberán notificarse a
la Agencia los cambios que se produzcan «en la finalidad del fichero automatizado, en su
responsable y en la dirección de su ubicación».
» Tratamiento de datos (art 3.c de la LOPD): «operaciones y procedimientos

técnicos de carácter automatizado o no que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones
de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias».
» Responsable del fichero o tratamiento (art 3.d de la LOPD): «persona física o

jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la
finalidad, contenido y uso del tratamiento».
La capacidad de tomar decisiones sobre el objeto, utilización y fin del

tratamiento o sobre el uso que se va a dar a los datos de carácter personal resultantes
del tratamiento o, en su caso, si van o no a ser cedidos, definen la figura del
responsable del fichero. Decide también contenido del fichero o contenido del
tratamiento.
Debe distinguirse claramente esta figura de la del encargado del

tratamiento, puesto que este último no decide sobre la finalidad, contenido y uso
del tratamiento, sino que lleva a cabo un tratamiento por cuenta del responsable del
fichero.
» Encargado del tratamiento (art 3.g de la LOPD): «la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con
otros, trate datos personales por cuenta del responsable del tratamiento».
El encargado del tratamiento es un tercero (normalmente una empresa pero no

necesariamente distinta e incluso independiente del responsable del
fichero) que le presta un servicio al responsable del fichero y que para ello requiere
acceder a datos del responsable.

Ejemplos típicos de encargados lo son la asesoría laboral, contable o fiscal (que accede
a los datos de empleados, clientes o proveedores de su cliente para asesorarle).
» Afectado o interesado (art 3.e de la LOPD): «persona física titular de los datos que
sean objeto del tratamiento a que se refiere el apartado c) del presente artículo
[operaciones y procedimientos técnicos de carácter automatizado o no, que permitan
la recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias]».
Vemos que la Ley califica como «afectado» a todas las personas físicas cuyos
datos sean tratados o figuren en ficheros de los definidos en este artículo.
Podríamos decir qué afectados son: cliente, paciente, ciudadano, empleado… y qué
sería más oportuno haberlos denominado solamente como «interesado» o, en su caso,
como «titular del dato».
La LOPD deja incluidas únicamente las personas físicas y excluidas las personas
jurídicas de la protección conferida por sus disposiciones (con algunas excepciones)
» Procedimiento de disociación (art 3.f de la LOPD): «todo tratamiento de datos

personales de modo que la información que se obtenga no pueda asociarse a persona
identificada o identificable».
Se encuentra unido a las estadísticas o al tratamiento de forma que los

resultados del mismo no puedan identificar o asociarse a persona alguna; incluso, en
estos casos, al tratar la cesión de datos, indica la LOPD que no necesitará el
consentimiento del afectado (apartado 6 del artículo 11) si la cesión se efectúa previo
procedimiento de disociación.
» Consentimiento del interesado (art 3.h de la LOPD): «toda manifestación de

voluntad, libre, inequívoca, específica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen».
Téngase en cuenta que el consentimiento es el eje vertebral de la protección de datos

y ello exige que como regla general ( con la excepción de fuente accesible al público)
no se puedan tratar datos de nadie sin ese consentimiento, sin perjuicio de que en
ocasiones esta obligación está exenta.

Por ejemplo: cuando los datos se traten en el marco de la relación negocial, laboral o
administrativa, cuando exista una Ley que disponga lo contrario, etc.
En cuanto a la forma del consentimiento es necesario tener en consideración que se

requiere en forma expresa cuando se trate de datos relativos a origen racial, salud
o vida sexual y, además, por escrito cuando se sean datos relativos a la ideología,
afiliación sindical, religión o creencias.
» Fuentes accesibles al público (art 3.j de la LOPD): son aquellos ficheros cuya
consulta puede ser realizada por cualquier persona.
«Tienen la consideración de fuentes de acceso público, exclusivamente…»:
o Censo promocional: hoy en día no se han concebido como tal a nivel generalizado.
o Repertorios telefónicos en los términos previstos por su normativa específica
o Listas de personas pertenecientes a grupos de profesionales datos de nombre,
título, profesión, actividad, grado académico, dirección e indicación de su
pertenencia al grupo.
o Diarios y boletines oficiales
o Medios de comunicación.
Nota importante: Internet no es una fuente accesible al público.
La posibilidad de tratamiento de datos de carácter personal de las fuentes

accesibles al público (en relación con el artículo 6.2 de la LOPD) es un
tratamiento de datos sin consentimiento del titular, incluyendo recabar los
datos, tratarlos y, en su caso, cederlos a terceros y, siendo aún necesario, atender a los
principios de interés legítimo en el conocimiento de los datos y de interpretación leal.
» Cesión o comunicación de datos (art 3.i LOPD y art 5.1.c del R.D. RDLOPD):
«toda revelación de datos realizada a una persona distinta del interesado».
Lo relevante de esta definición es que podría ser considerado como cesión la

simple consulta que un tercero realice a los datos, aunque sea a distancia y
sin creación de un fichero o tratamiento nuevo.

La cesión es un punto conflictivo en las teorías sobre protección de datos, ya que

implica una mayor posibilidad de que el interesado pierda el control sobre sus propios
datos al haber sido comunicados a un tercero al que, probablemente, ni tan siquiera
se conozca o, aunque así fuera, no se le hubieran proporcionado. Es por todo ello que
la cesión, en un principio y salvo las excepciones que marca la norma, deberá ser
siempre con consentimiento.
» Bloqueo de los datos (art 5.1.b del R.D. 1720/2007): «la identificación y reserva de
los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición
de las administraciones públicas, jueces y tribunales para la atención de las posibles
responsabilidades nacidas del tratamiento y solo durante el plazo de prescripción de
dichas responsabilidades».
La LOPD solamente se refiere al bloqueo de datos en dos ocasiones: en las

definiciones al describir el concepto de «tratamiento de datos» como
operaciones y procedimientos técnicos «que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación» y cuando regula el
ejercicio de los derechos de rectificación y cancelación (artículo 16), e indica
que «la cancelación dará lugar al bloqueo de los datos conservándose únicamente
a disposición de las administraciones públicas, jueces y tribunales». Sin embargo, en
ningún sitio define ni indica en qué consiste el bloqueo.
Los principios de la protección de datos según la LOPD
Los principios contemplados en el Título II de la LOPD expuestos en un orden lógico que

permita facilitar su compresión en la práctica son los siguientes:
Estos principios tienen que estar presentes en las tres fases del tratamiento de
los datos de carácter personal: recogida, tratamiento y utilización y, en su caso,
cesión o comunicación de los datos.

» El consentimiento del titular de los datos (art. 6 de la LOPD): con carácter

general, el principio del consentimiento supone que solo el titular de los datos
decide cuándo, dónde y cómo se tratan sus datos o se dan a conocer a
terceros. Dicho principio cuenta con una serie de excepciones legalmente
previstas, y que son, básicamente, las siguientes:
o Cuando una ley disponga otra cosa.

o Cuando los datos se recojan para el ejercicio de las funciones propias de las
administraciones públicas en el ámbito de sus competencias.
o Cuando se refiera a las partes de un contrato o precontrato de una relación negocial
o laboral y sean necesarios para su mantenimiento o cumplimiento.
o Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del
interesado en los términos del artículo 7.6 de la LOPD.
o Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo perseguido por el responsable del
fichero o por el del tercero a quien se comuniquen los datos siempre que no se
vulneren los derechos y libertades fundamentales del interesado.
Y a su vez establece un régimen de protección especial para determinados datos, cuyo

tratamiento puede comprometer especialmente la intimidad de los ciudadanos:
o Datos que revelen la ideología, afiliación sindical, religión y creencias.

o Datos de carácter personal que hagan referencia al origen racial, a la salud y a la
vida sexual.
o Datos de carácter personal relativos a la comisión de infracciones penales o
administrativas.
» La calidad de los datos (art. 4 de la LOPD): a través de este principio se indica los
parámetros que deben de guiar la recogida y el tratamiento de los datos de carácter
personal estableciendo qué tipo de datos se deben recoger, cómo se deben obtener,
almacenar, utilizar, mantener en un fichero y cuándo deben ser eliminados del
tratamiento. Los parámetros de dicho principio son los siguientes:

Solo se podrán recoger los datos por medios que no sean fraudulentos, desleales o
ilícitos:
o Pertinencia: los datos deben ser «adecuados, pertinentes, y no excesivos, en

relación con el ámbito y las finalidades determinadas, explícitas y legítimas para
las que se hayan obtenido».
o Finalidad: los datos «no podrán usarse para finalidades incompatibles con
aquellas para las que hubieran sido recogidos».
o Límite temporal: los datos de carácter personal deberán ser cancelados
cuando hayan dejado de ser necesarios para la finalidad que originó su recogida.
o Actualización/ veracidad: los datos deben ser «exactos y puestos al día de
forma que respondan con veracidad a la situación actual del afectado».
Por último, los datos personales deben ser almacenados de manera que el titular de
los datos pueda ejercer su derecho de acceso cuando lo considere oportuno
» La información en la recogida de datos (art. 5 de la LOPD): el principio de

información en la recogida de datos (art. 5 de la LOPD) supone que cuando los
datos se recaben del propio interesado, este debe ser informado con carácter
previo y de modo expreso, preciso e inequívoco de los siguientes aspectos:
o La existencia de un fichero o tratamiento de datos. La finalidad con la que

se recaban los mismos.
o Los destinatarios de la información.
o Si tiene obligación o no de responder a las preguntas que se le plantean.
o Las consecuencias que conllevaría la negación a contestar a las mismas o la
negativa a proporcionar los datos.
o La posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
o La identidad y dirección del responsable del tratamiento o de su
representante, en su caso.

En cuanto a la información a proporcionar es necesario distinguir dos supuestos en la

recogida de datos:
1 Cuando los datos son recabados del propio interesado
2 Cuando los datos son recabados de un tercero distinto del interesado
Determinando estos supuestos, la información que se tiene que proporcionar y el

momento en que se tiene que facilitar al interesado, ya que, cuando los datos se
recaban de un tercero esta información no debe ser previa, sino que tiene que
proporcionarse al interesado dentro de los tres meses siguientes al registro de sus
datos (art. 5.4 de la LOPD).
» Los datos especialmente protegidos (art. 7 de la LOPD): entendiendo por tales

aquellos datos que hacen referencia a la ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual, relativos a la
comisión de infracciones penales o administrativas; es necesario atender a la
especial protección que la LOPD confiere a los mismos.
Manifestación de lo anterior es la exigencia de que los mismos solo puedan ser

recabados y tratados con el consentimiento expreso y, en su caso, por
escrito, cuando se refiera a los datos de ideología, afiliación sindical, religión y
creencias del titular de los mismos.
Es necesario el consentimiento expreso para el tratamiento de los datos relativos al

origen racial, salud o vida sexual, y es necesario que el consentimiento, además de
expreso sea por escrito, cuando sean datos relativos a la ideología, afiliación sindical,
religión y creencias del interesado.

» Los datos relativos a la salud (art. 8 de la LOPD): tal y como establece el artículo
8 de la LOPD: «sin perjuicio de lo que dispone el artículo 11 respecto de la cesión, las
instituciones y los centros sanitarios públicos y privados y los profesionales
correspondientes podrán proceder al tratamiento de los datos de carácter personal
relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los
mismos de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre
sanidad».
Por su parte, el apartado 1.g, del artículo 5 del Real Decreto 1720/2007 define los
datos de carácter personal relacionados con la salud como: «las informaciones
concernientes a la salud pasada, presente y futura, física o mental, de un individuo.
En particular, se consideran datos relacionados con la salud de las personas los
referidos a su porcentaje de discapacidad y a su información genética».
» La seguridad de los datos (art. 9 de la LOPD): el artículo 9 de la LOPD,

desarrollado reglamentariamente por el Real Decreto Real Decreto 1720/2007,
obliga al responsable del fichero y, en su caso, el encargado del tratamiento
a adoptar las medidas de índole técnica y organizativas necesarias con el fin de
garantizar la seguridad de los datos personales objeto de tratamiento, evitando su
alteración, pérdida, tratamiento o acceso no autorizado.
Estas medidas de índole técnica y organizativas se adoptarán atendiendo a la

naturaleza de los datos en función de la mayor o menor necesidad de garantizar su
confidencialidad e integridad.

Respecto a la aplicación de los niveles de seguridad, el artículo 81 del Real Decreto

1720/2007 indica que:
«1. Todos los ficheros o tratamientos de datos de carácter personal deberán

adoptar las medidas de seguridad calificadas de nivel básico.
Deberán implantarse, además de las medidas de seguridad de nivel básico, las

medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de
carácter personal:
Los relativos a la comisión de infracciones administrativas o penales.
Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica
15/1999, de 13 de diciembre.
Aquellos de los que sean responsables las administraciones tributarias y se
relacionen con el ejercicio de sus potestades tributarias.
Aquellos de los que sean responsables las entidades financieras para finalidades
relacionadas con la prestación de servicios financieros.
Aquellos de los que sean responsables las entidades gestoras y servicios
comunes de la seguridad social y se relacionen con el ejercicio de sus
competencias. De igual modo, aquellos de los que sean responsables las mutuas
de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan
una definición de las características o de la personalidad de los ciudadanos y
que permitan evaluar determinados aspectos de la personalidad o del
comportamiento de los mismos.
Además de las medidas de nivel básico y medio, las medidas de nivel alto se
aplicarán en los siguientes ficheros o tratamientos de datos de carácter
personal:
Los que se refieran a datos de ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual.
Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.
Aquellos que contengan datos derivados de actos de violencia de género»
Las medidas mínimas de seguridad a aplicar a cada tipo de fichero se encuentran

recogidas en el Título VIII del Real Decreto 1720/2007 (el Reglamento de la
LOPD).
» El deber de secreto (art. 10 de la LOPD): la LOPD impone al responsable del fichero

y a quienes intervengan en cualquier fase del tratamiento de datos la obligación de
secreto profesional respecto de los datos tratados, así como el deber de
guardarlos, aún una vez finalizadas sus relaciones con el titular del fichero, o en su
caso, con el responsable del mismo.

» La cesión o comunicación de datos (art. 11 de la LOPD): toda revelación de datos

hecha a una persona distinta del propio interesado, la cesión o comunicación de
datos solo podrá llevarse a cabo para el cumplimiento de fines
directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado, salvo que la Ley
disponga lo contrario.
En concreto, el artículo 11.2 de la LOPD establece los supuestos en los que no será
necesario el consentimiento del interesado para comunicar sus datos a terceros:
«a) Cuando la cesión está autorizada en una ley.
Cuando se trate de datos recogidos de fuentes accesibles al público.
Cuando el tratamiento responda a la libre y legítima aceptación de una relación

jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la
conexión de dicho tratamiento con ficheros de terceros. En este caso la
comunicación solo será legítima en cuanto se limite a la finalidad que la
justifique.
Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor
del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de
Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será
preciso el consentimiento cuando la comunicación tenga como destinatario a
instituciones autonómicas con funciones análogas al Defensor del Pueblo o al
Tribunal de Cuentas.
Cuando la cesión se produzca entre administraciones públicas y tenga por
objeto el tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria
para solucionar una urgencia que requiera acceder a un fichero o para realizar
los estudios epidemiológicos en los términos establecidos en la legislación sobre
sanidad estatal o autonómica».
» El acceso a los datos por terceros (art. 12 de la LOPD): en el acceso a los datos
por terceros, el encargado del tratamiento presta un servicio al responsable
del fichero que supone el acceso a datos de carácter personal, sin que tenga
la consideración legal de cesión o comunicación de datos. Dicha prestación de
servicios tiene que estar regulada en un contrato que cumpla con los requisitos del
artículo 12 de la LOPD.
Tal y como hemos visto en las definiciones, el encargado del tratamiento es «la
persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que,
solo o conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento» (art. 3.g de la LOPD).

Los derechos de las personas
Los derechos de las personas que la LOPD recoge, en su Título III, en materia de
protección de datos, son:
» Derecho de impugnación de valoraciones (art. 13 LOPD): el derecho de

impugnación de valoraciones (también regulado en el artículo 36 del RDLOPD)
faculta al interesado a impugnar aquellas decisiones que tengan efectos
jurídicos y cuya base sea únicamente un tratamiento de datos de carácter
personal que ofrezca una definición de sus características o personalidad
(rendimiento laboral, créditos, hábitos…etc.) y que utilice la información obtenida
para tomar algún tipo de decisión que les afecte significativamente ( determinar si es
válido para un puesto de trabajo, conceder una hipoteca…etc.).
También podrá impugnar los actos administrativos o decisiones privadas que

impliquen una valoración de su comportamiento cuyo único fundamento sea un
tratamiento de datos de carácter personal que ofrezca una definición de sus
características o personalidad pudiendo obtener información del responsable del
fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que
sirvió para adoptar la decisión en que consistió el acto. Pero como siempre,
encontramos dos excepciones donde los usuarios podrán verse sometidos a una
decisión basada únicamente en un tratamiento automatizado de datos:
o Cuando dicha decisión se haya adoptado en el marco de la celebración o ejecución

de un contrato a petición del interesado siempre que se le otorgue la posibilidad de
alegar lo que estime conveniente.
o Cuando dicha decisión esté autorizada por una norma con rango de ley que
establezca medidas que garanticen el interés legítimo del interesado.
» Derecho de consulta al RGPD (art. 14 LOPD): permite a cualquier persona

recabar información con el fin de conocer la existencia de tratamientos
de datos de carácter personal, la finalidad de los mismos y la identidad
del responsable del fichero. Dicho registro se configura legalmente como de
consulta pública y gratuita, no existiendo limitación alguna para las consultas
efectuadas por parte del interesado.

» Derecho de acceso (art. 15 LOPD): el interesado podrá dirigirse al responsable del

fichero con objeto de conocer qué datos suyos figuran en el mismo, cuál es el origen
de los mismos y las comunicaciones que se hubieran realizado o que se prevean
realizar en el futuro. Dicho derecho se ejercitará de forma gratuita a intervalos no
inferiores a doce meses, salvo que el interesado acredite un interés legítimo.
» Derecho de rectificación y cancelación (art. 16 LOPD): son dos derechos

independientes que facultan al interesado para instar al responsable del
fichero a rectificar o, en su caso, cancelar aquellos datos cuyo tratamiento
no se ajuste a las previsiones de la ley, y en particular cuando los mismos
resulten ser inexactos o incompletos y a cancelarlos también cuando hayan dejado
de ser necesarios para la finalidad para la cual hubieran sido registrados.
» Derecho de oposición (art. 6.4 LOPD): en aquellos casos en los que no resulte
necesario el consentimiento del interesado para el tratamiento de sus datos y siempre
que una ley no disponga lo contrario, este podrá oponerse al tratamiento de los
mismos cuando existan motivos fundados y legítimos relativos a una concreta
situación personal. El responsable del fichero tendrá que proceder a la exclusión de
los datos relativos al afectado.
» Derecho a indemnización (art. 19 LOPD): aquellos interesados que sufran

algún daño o lesión en sus bienes o derechos como consecuencia del
incumplimiento de las obligaciones que tienen el responsable o el encargado del
tratamiento, en su caso, en el tratamiento de sus datos de carácter personal, puedan
ser indemnizados. Por lo que se refiere al ejercicio de este derecho, cuando se trata
de ficheros de titularidad pública la responsabilidad será exigida conforme a lo
previsto en la legislación que regula el régimen de responsabilidad de las
administraciones públicas. Si se trata de ficheros de titularidad privada
deberá acudirse a los órganos de la jurisdicción ordinaria.

3.3. Reglamento europeo de protección de datos
Marco normativo actual de la privacidad en Europa
Tal y como hemos comentado, en Europa acabamos de estrenar un nuevo marco

normativo en materia de protección de datos con la reciente aprobación del Reglamento
General de Protección de Datos de la Unión Europea (RGPDUE).
El RGPDUE ha entrado en vigor el 25 de mayo de 2016 aunque no comenzará a aplicarse

hasta dos años después (el 25 de mayo de 2018). Ello tiene como objetivo permitir que
los Estados de la UE, sus Instituciones y también las organizaciones que tratan datos
vayan preparándose y adaptándose paulatinamente al mismo para cuando sea aplicable.
Intentaremos resumir a continuación cuales son los principales cambios que el RGPDUE
ha supuesto.
El marco vigente hasta la actualidad en materia de privacidad en Europa tenía como base
principalmente la Directiva 95/46/CE del Parlamento europeo y del Consejo, de 24 de
octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos. Y cada uno de los
estados miembros traspuso esta Directiva comunitaria a su ordenamiento jurídico de
forma diferente, lo que supuso existencia de asimetrías entre ellos.
Por ello el RGPDUE llega con un claro objeto de armonizar la legislación en la U.E.
«igualando» los derechos de sus ciudadanos y (como apunta su considerando 9)
rompiendo obstáculos al libre ejercicio de las actividades económicas, evitando que se
falsee la competencia y que no se pueda impedir que las autoridades de control cumplan
sus funciones:
«Para garantizar un nivel uniforme y elevado de protección de las personas y

eliminar los obstáculos a la circulación de datos personales dentro de la Unión,
el nivel de protección de los derechos y libertades de las personas físicas por lo
que se refiere al tratamiento de dichos datos debe ser equivalente en todos los
estados miembros. Debe garantizarse en toda la Unión la aplicación coherente
y homogénea de las normas de protección de los derechos y libertades
fundamentales de las personas físicas en relación con el tratamiento de datos de
carácter personal».

Ello enlaza con la propia forma jurídica que se ha escogido: hemos pasado de una
directiva a un reglamento. Como sabemos la Directiva requiere de desarrollo ulterior por
parte de los estados (cosa que por ejemplo se ha hecho en España con la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos de carácter personal – LOPD- y
correspondientes normas de desarrollo). En cambio, el reglamento no lo requiere. Lo
anterior sin perjuicio de que se puedan aprobar normas que sean necesarias para
permitir o facilitar la aplicación del Reglamento, pero que no podrán ser contrarias ni
sobrepasar los límites que el mismo dispone.
A continuación, apuntaremos de forma sintética los principales cambios que implica el

RGPDUE. Por cuestión de espacio no se han podido mencionar todos (faltan muchos
aspectos como las transferencias internacionales, el tratamiento de datos de los menores,
etc.) ni entrar en detalle en los seleccionados.
Es importante, de forma previa, apuntar que a pesar de que con el RGPDUE se producen
cambios en algunos principios, derechos y obligaciones, que gran parte de la columna
vertebral del derecho a la protección de datos de la actual regulación se mantiene intacta.

Principales cambios
A continuación, indicamos cuáles son los principales cambios que se avecinan, aunque
hay otros que no pueden ser desarrollados en este resumen.
» Ampliación del ámbito territorial: el reglamento europeo amplía el ámbito

territorial de aplicación, pues se extiende a todos aquellos responsables que tratan
datos personales de europeos, aunque no estén establecidos en la Unión Europea:
«1. El presente reglamento se aplica al tratamiento de datos personales en el

contexto de las actividades de un establecimiento del responsable o del
encargado del tratamiento en la Unión, independientemente de que el
tratamiento tenga lugar en la Unión o no.
2. El presente Reglamento se aplica al tratamiento de datos personales de

interesados que residan en la Unión por parte de un responsable o encargado
del tratamiento no establecido en la Unión, cuando las actividades de
tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión,

independientemente de si se requiere un pago por parte del interesado; o
b) el control de su conducta, en la medida en que esta tenga lugar en la Unión

Europea.
3) El presente reglamento se aplica al tratamiento de datos personales por parte

de un responsable del tratamiento que no esté establecido en la Unión sino en
un lugar en que sea de aplicación la legislación nacional de un estado miembro
en virtud del derecho internacional público.
Es importante tenerlo en consideración, ya que incluso es aplicable a quienes

sin estar establecidos en el territorio de la U.E. tratan datos personales de
ciudadanos europeos al dirigir sus bienes o servicios a los mismos, con
independencia de dónde se produzca el pago.

» Aparecen nuevas definiciones: el futuro reglamento europeo incluye un elenco

de nuevas definiciones a conceptos no recogidos expresamente en la legislación de
protección de datos española:
o Datos genéricos.
o Datos de biometría.
o Establecimiento principal.
o Elaboración de perfiles.
o Empresa y grupo de empresas.
o Normas corporativas vinculantes.
o Autoridad de control interesada.
o Violaciones de datos personales.
o Tratamiento transfronterizo de datos.
o Objeción pertinente y motivada.
o Pseudoanonimización.
o Cesionarios.
o Restricción de tratamiento.
o Objeción pertinente y motivada.
o Servicio de la sociedad de la información.
o Organización internacional.
» Consentimiento: la Directiva 95/46/CE exige que el consentimiento sea

«inequívoco». El reglamento europeo no solo establece la obligatoriedad de un
consentimiento «inequívoco», sino también «explícito» para categorías especiales de
datos de manera que se tendrá que articular medios o mecanismos que permitan
acreditar al responsable la obtención de dicho consentimiento.
El reglamento europeo recoge una nueva definición de «consentimiento» del

interesado que difiere de la recogida por la legislación española: «consentimiento del
interesado es toda manifestación de voluntad, libre, específica, informada e
inequívoca mediante la que el interesado acepta, ya sea mediante una declaración ya
sea mediante una clara acción afirmativa, el tratamiento de datos personales que le
conciernen».

Debe estar claramente distinguido del resto del texto con un lenguaje claro y sencillo.
Se procura que el mismo no sea válido en situaciones de desequilibrio:
o Cuando no permita dar consentimiento por separado a las distintas operaciones de

tratamiento de datos, pese a ser lo adecuado en ese caso concreto.
o Cuando el cumplimiento de un contrato dependa del consentimiento pese a no ser
necesario en ese contrato y el interesado no pueda razonablemente obtener
servicios equivalentes de otra fuente sin dar su consentimiento.
Debe ser sencillo e inmediato retirar el consentimiento en cualquier momento.
Existen cambios respecto del tratamiento de datos de los menores especialmente en

lo relativo a los servicios de la sociedad de la información.
» Derechos del titular de los datos: aparte de los derechos de acceso, rectificación,
cancelación y oposición (A.R.C.O) cuyos plazos para atender las solicitudes de
ejercicio por el interesado cambian (indistintamente el derecho, prevé el plazo de 1
mes, pudiendo extenderse a otros 2 meses más, atendiendo a la complejidad o al
número de estos) se han introducido nuevos derechos, aunque también no son
considerados absolutos e ilimitados:
o Derecho a la supresión o coloquialmente conocido como «derecho al

olvido». El interesado tendrá derecho a obtener del responsable del tratamiento
la supresión de los datos personales que le conciernan sin demora injustificada. En
todo caso se prevén unos límites a su ejercicio. Llevado al ámbito de Internet, decir
que el responsable del tratamiento, teniendo en cuenta la tecnología disponible y
el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas,
con miras a informar a los responsables que traten los datos de que el interesado
les solicita que supriman cualquier enlace a esos datos personales o cualquier copia
o réplica de los mismos.

o Derecho a la portabilidad. Se entiende como un derecho de acceso ampliado

en el que el interesado siempre que hubiera facilitado sus datos personales y estos
se traten electrónicamente puede exigir al responsable del tratamiento que se los
proporcione en formato electrónico interoperable, para poder facilitárselos o
transferirlos a un nuevo proveedor/responsable cuando sea técnicamente viable y
materialmente posible. De este modo se tendrá derecho a obtener del responsable
del tratamiento una copia de los datos objeto de tratamiento en un formato
electrónico estructurado y comúnmente utilizado que le permita seguir
utilizándolos.
o Derecho de objeción. Pensado para tratamientos basados en monitorización de

la conducta (profiling) y marketing directo.
o Derecho de oposición a decisiones automatizadas. Todo interesado tendrá

derecho a no ser objeto de una decisión basada únicamente en el tratamiento
automatizado, incluida la elaboración de perfiles que produzca efectos jurídicos
que le conciernan o, de modo semejante, le afecten significativamente.
» Derecho de información más completo: una de las principales novedades del

reglamento se refiere al derecho de información mediante la combinación de
ICONOS que permitan proporcionar de forma visible, inteligible y claramente legible
una presentación adecuada del tratamiento de datos previsto. Cuando los iconos se
presenten en formato electrónico, serán legibles por una máquina.

La Comisión tendrá poderes para adoptar actos delegados con el propósito de

determinar la información que debe presentarse mediante iconos normalizados y los
procedimientos para proporcionar dichos iconos.
Cabe decir que ha de suministrar información adicional a la obligada por el legislador

español, tales como el periodo de conservación de los datos, el derecho a presentar
una reclamación, en relación con las transferencias internacionales y con la fuente de
la que proceden los datos, entre otros.
» Contratos con encargados del tratamiento: el reglamento prevé, como en la

actual legislación española, la obligación de formalizar un contrato con los
proveedores o prestadores de servicios con acceso a datos de carácter personal. Así, la
realización del tratamiento por un encargado se regirá por un contrato u otro acto
jurídico establecido con arreglo al derecho de la Unión Europea o de un estado
miembro que vincule al encargado del tratamiento con el responsable del tratamiento.
Y, en relación a los supuestos de subcontratación, recoge que el encargado del

tratamiento no recurrirá a otro encargado del tratamiento sin el consentimiento
previo por escrito, específico o general, del responsable del tratamiento.
» No obligación de notificar e inscribir ficheros en el registro: otra de las

principales novedades del reglamento es la relativa a que no se recoge la obligación de
notificación e inscripción de ficheros ante las autoridades de control. No obstante,
obliga a tener un registro de actividades de tratamientos de datos a los
responsables de tratamiento y, en su caso, encargados de tratamiento.
» Acoountability: es otro de los principios que inspiran el reglamento y se refiere a

«responsabilidad» o «rendición de cuentas». Se pretende que la organización pueda
rendir cuentas acerca de cómo ha establecido sus políticas de privacidad y responder
ante las autoridades de control. Se deja más libertad a la organización para cumplir
las obligaciones, pero debe estar dispuesta a rendir cuentas en el momento en que se
le requiera.

Este principio se desarrolla mediante diferentes obligaciones que ahora vemos:
o Seguridad: las medidas de seguridad ya no vendrán establecidas por niveles

(básico, medio, alto). En determinados supuestos será obligatorio realizar
evaluaciones de impacto (privacy impact assessment (PIA)) sobre la protección de
los datos personales y, en otros casos, serán recomendables.
Los supuestos exigidos son:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas.

Elaboración de perfiles con decisiones que produzcan efectos jurídicos o les
afecten gravemente.
- Tratamiento de categorías especiales de datos.
- Seguimiento a gran escala de zonas de acceso público.
La autoridad de control establecerá y publicará una lista de los tipos de operaciones

de tratamiento sujetas y podrá también establecer y publicar supuestos en que no
estén sujetas.
» Privacidad desde el diseño y por defecto: la privacidad desde el diseño (privacy

by design) se refiere a la necesidad de tener en cuenta la privacidad en el ciclo de vida
del dato, esto es, desde la recogida hasta la cancelación. Por su parte, la privacidad
por defecto (privacy by default) exige la minimización de recogida de datos y la
limitación de los fines.
» Otros: existen otros aspectos novedosos como códigos de conducta, esquemas de

certificación, etc.

Data protection officer (DPO)
Se trata de una nueva figura incluida en el reglamento europeo, la cual será exigible en
algunos casos. En el mapa se representa la figura adoptada por los diversos países de la
UE en relación a la protección de datos de naturaleza personal.
Fuente: http://www.aspectosprofesionales.info/2012/04/el-delegado-de-proteccion-de-datos.html
Términos utilizados:
» DPO (data protection officer).

» DSO (responsable de seguridad).
Hay que distinguir los supuestos de exigencia de los de conveniencia:
Supuestos de exigencia:
» El tratamiento es realizado por una autoridad u organismo público, a excepción de los

tribunales que actúan a título judicial.
» Las actividades principales del responsable o del encargado consisten en operaciones
de tratamiento que, en virtud de su naturaleza, alcance y/o sus efectos, requieren un
seguimiento regular y sistemático a gran escala, de los datos de los titulares.
» Las actividades principales del responsable o del encargado consisten en tratamientos
basados en categorías especiales de datos y datos relativos a las condenas penales y
delitos.

Pero la conveniencia en muchos más supuestos es evidente si tenemos en cuenta varios

factores:
» Las elevadas sanciones previstas en el RGPDUE.

» La cada vez mayor importancia dada por los interesados al activo datos personales.
» La complejidad cada vez mayor de la regulación.
» El principio de accountability.
» La existencia de normas relacionadas (ENS, ISO 27001, PCI DSS etc.)
Nuevo régimen sancionador
Dentro del objetivo de armonización del reglamento europeo se contempla un régimen

sancionador homogéneo para toda Europa. Además, pueden imponerse sanciones
económicas no solo a profesionales o entidades privadas, sino también a entidades del
sector público.
Cabe añadir que el montante económico de las multas aumenta considerablemente. Con
el fin de prevenir comportamientos irregulares se hacen efectivas las nuevas sanciones:
» Sanciones de hasta 10.000.000€ o el 2% de la facturación bruta anual (la cantidad

que sea mayor).
» Sanciones de hasta 20.000.000€ o el 4% de la facturación bruta anual, en caso de que
se puedan aplicar agravantes.

3.4. La protección de datos en Latinoamérica (especial referencia

a Colombia y Ecuador)
Visión general en algunos países
En muchos países de Lationamérica existe un avance importante en materia de

protección de datos, pero existen evidentes asimetrías entre ellos.
En la mayoría de ellos se configura como un derecho constitucional y poco a poco se ha

ido desarrollando mediante leyes tanto concretas sobre privacidad como en otras
disposiciones legales sectoriales que hacen referencia a la misma.
Por regla general los países latinoamericanos siguen un modelo más europeo que de
EEUU. Se podría decir que Argentina es el país más similar a Europa (el único reconocido
por la UE con un nivel adecuado de protección) aunque su inicial avance ha dado paso a
que otros países hayan avanzado más en este tiempo y hoy en día podríamos decir que
los países más avanzados en protección de datos en Latinoamérica son Chile, Colombia,
México y Perú.
Por el contrario, en Latinoamérica la legislación de transparencia está desarrollada antes

que en algunos países de Europa. (Por ejemplo, España que ha sido de los últimos en
desarrollarla).
Hay aspectos comunes a casi todos los países: inscripción de los ficheros/bases de datos,
necesidad de consentimiento como principal causa de legitimación del tratamiento de
datos, necesidad de cumplir con el deber de información a los interesados,
reconocimientos de derechos a estos (acceder a su información, modificarla, suprimirla
etc., aunque con diferencias), regulación de los accesos por parte de terceras
organizaciones que presten servicios, formación/concienciación de los usuario y
medidas de seguridad.
En relación con las medidas de seguridad hay que distinguir entre algunos países en los
que no se han desarrollado, otros en los que sí y algunos países en los que incluso se exige
en el sector público la ISO 27002, cosa similar a lo que sucede en España con en el
Esquema Nacional de Seguridad.

Colombia
» Marco Normativo de Protección de Datos. las principales normas en materia

de protección de datos en Colombia son las siguientes:
o Ley estatutaria 1266 de 2008, por la cual se dictan las disposiciones generales del
hábeas data y se regula el manejo de la información contenida en bases de datos
personales, en especial la financiera, crediticia, comercial, de servicios y la
proveniente de terceros países y se dictan otras disposiciones.
o Decreto 1727 de 2009 por el cual se determina la forma en la cual los operadores
de los bancos de datos de información financiera, crediticia, comercial, de servicios
y la proveniente de terceros países deben presentar la información de los titulares
de la información.
o Decreto 2952 de 2010 por el cual se reglamentan los artículos 12 y 13 de la Ley 1266
de 2008.
o Ley estatutaria 1581 de 2012 reglamentada parcialmente por el Decreto Nacional
1377 de 2013 por la cual se dictan disposiciones generales para la protección de
datos personales.
o Decreto 1377 de 2013 por el cual se reglamenta parcialmente la Ley 1581 de 2012.
o Decreto 886/2014 que reglamenta el artículo 25 de la Ley 1581 de 2012 relativa al
Registro Nacional de Bases de Datos.
Puedes consultar aquí todas las disposiciones legales en materia de protección de datos
en Colombia utilizando el siguiente buscador:
http://www.sic.gov.co/normatividad?field_tipo_de_norma_value=All&field_tema_ge
neral_tid=5&field_anos_value=All

» Régimen. Principios y obligaciones. Visión comparada.
Principales obligaciones España Colombia
Inscripción en ficheros/bases de Art. 26 LOPD Art. 19 Ley estatutaria 1581 de

datos 2012 y Decreto 886/2014.
Consentimiento y deber de Art. 5. LOPD Art.12 Ley estatutaria 1581 de

información/autorización 2012
Art. 6 y 11 LOPD
Encargados del tratamiento Art. 12 LOPD Art. 18 Ley estatutaria 1581 de

2012
Principio de seguridad Art. 9 LOPD y Art. 4 g) Ley estatutaria 1581 de

concretas 2012 pendiente de desarrollo
medidas RD
1720/2007
Formación Art. 89 RD Art. 27.2 Herramientas de

720/2007 implementación, entrenamiento
y programas de educación
» Algunas reflexiones:
o Los principios son muy similares: legitimación, seguridad etc.

o Los conceptos también, aunque haya cambios de nombre.
o Datos sensibles/no sensibles: similar, aunque se incluyen los datos biométricos
como sensibles.
o También hay más distinción de datos. Públicos, semiprivados, privados y sensibles.
o Los derechos reconocidos también son similares:
- Derechos a conocer, actualizar y rectificar los datos.
- Derecho de información.
- Revocación del consentimiento.
- Presentar reclamación.
- Acceder a los datos.
o Hay aspectos pendientes de desarrollo aún, como las medidas de seguridad.
o Hay «disfunciones» entre Ley Estatutaria 1581/2012 y Decreto 1377/2013.

» Análisis de las principales obligaciones:
o Identificación y registro de las bases de datos: realizar el registro de bases

de datos debiendo los interesados aportar a la delegación de protección de datos
las políticas de tratamiento de la información e inscribirlas en el registro nacional
de bases de datos (at. 25).
o Información mínima que debe inscribirse:
Artículo 5 del Decreto 886 de 2014:
o Datos de identificación, ubicación y contacto del responsable del tratamiento de

la base de datos.
o Datos de identificación, ubicación y contacto del o de los encargados del
tratamiento de la base de datos.
o Canales para que los titulares ejerzan sus derechos.
o Nombre y finalidad de la base de datos.
o Forma de tratamiento de la base de datos (manual y/o automatizada).
o Política de tratamiento de la información.

» Información y autorización. Avisos de privacidad. Políticas de tratamiento.
Deber de información (art.12): cuando se recojan datos de interesados (instancias,

formularios, impresos) se les deberá proporcionar determinada información.
Cuando se recojan datos de interesados:
o Existencia de las bases de datos o tratamiento de datos personales.

o Finalidad de la recogida de estos y destinatarios de la información (cesiones).
o Posibilidad de ejercitar Derechos que le asisten (conocer, actualizar, rectificar,
suprimir).
o Identidad y dirección y teléfono del responsable.
Nota: Hay que guardar prueba del cumplimiento.

RG: autorización expresa, previa e informada.
Autorización (art. 9): los datos solo pueden ser objeto de tratamiento o cesión si el
interesado ha presentado previamente su consentimiento.
Casos en que no es necesaria:
o Requerimiento por entidad pública para ejercicio de sus funciones u orden judicial.
o Datos de naturaleza pública.
o Casos de urgencia médica o sanitaria.
o Tratamiento autorizado por ley (fines estadísticos, históricos o científicos).
o Datos relacionados con Registro Civil.

» Encargados del tratamiento:
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros
realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
Esto será normalmente como consecuencia de una relación jurídica para prestar un
servicio.
Ejemplos: asesoría laboral, fiscal, contable, mantenimiento informático, alojamiento

web, mensajería, etc.
La forma de regular la relación entre responsable y encargado será mediante un

contrato.
» Seguridad de los datos:
Los responsables y encargados de las bases de datos deben adoptar las medidas técnicas
y organizativas necesarias que garanticen la seguridad de los datos personales y eviten
su alteración, pérdida, tratamiento o acceso no autorizado (art. 17 d y 18 d de la Ley).
Debe adoptar un manual de políticas y procedimientos para garantizar el adecuado

cumplimiento de la presente Ley y, en especial, para atención de consultas y reclamos
por parte de los titulares. Además, debe revisarse.
» Formación:
Art. 27: políticas internas efectivas. 2. Adopción de mecanismos internos para poner en
práctica estas políticas incluyendo herramientas de implementación, entrenamiento y
programas de educación.

» Sanciones. Son las siguientes:
o Multas de hasta el equivalente de 2.000 salarios mínimos mensuales legales

vigentes a momento de la imposición de la sanción.
o Suspensión y cierre temporal de las actividades.
o Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos
sensibles.
Las sanciones indicadas en el presente artículo solo se aplican para las personas de
naturaleza privada. En el caso de una autoridad pública se remitirá la actuación a la
procuraduría general de la nación, para que adelante la investigación respectiva.
La protección de datos en Ecuador
» Marco normativo de protección de datos: el derecho a la protección de datos

(realmente un derecho de la familia de la privacidad como es la intimidad) se
contempla en el artículo 66 de la Constitución numeral 20 que garantiza a las
personas «el derecho a la intimidad personal y familiar».
Aún no se ha aprobado una ley que de forma general desarrolle este derecho, pero el
12 de julio de 2016 se aprobó un proyecto de Ley Orgánica de Protección de los
Derechos de la Intimidad y Privacidad sobre los Datos Personales.
Asimismo, existe legislación sectorial aprobada:
o Ley Nº 162, de 31 de marzo de 2010, del Sistema Nacional de Registro de Datos

Públicos.
o Ley Nº 13, de 18 de octubre de 2005, de Burós de Información Crediticia (arts. 5 a
10).
o Ley Nº67, de 17 de abril de 2002de Comercio Electrónico, Firmas y Mensajes de
Datos (Artículo 9).
o Ley Orgánica de Transparencia y Acceso a la Información Pública, de 18 de mayo
de 2004.

» Régimen. Principios y obligaciones. Visión comparada.
Principales obligaciones España Ecuador
Inscripción en ficheros/bases de Art. 26 LOPD Ley del Sistema Nacional de

datos Registro de Datos Público de 31
de marzo de 2010
Consentimiento y deber de Art. 5. LOPD En el artículo 8 del proyecto de

información/autorización ley habla del consentimiento y
Art. 6 y 11 LOPD
deber de información
Encargados del tratamiento Art. 12 LOPD Se le menciona, pero no se habla

de contrato
Principio de seguridad Art. 9 LOPD y Art. 4 de la Ley del Sistema

concretas Nacional de Registro de Datos
medidas RD Público de 31 de marzo de 2010.
1720/2007 En general, «responderán de la
custodia y debida conservación
de los registros».
Formación Art. 89 RD No se regula

720/2007
» Sanciones. Son las siguientes:
o Amonestación por escrito.

o Multa de 1 a 10 salarios básicos unificados.
o Inmovilización de la bbdd,banco de datos, ficheros o archivos.
o Retiro temporal de la bbdd,banco de datos, ficheros o archivos.
o Retiro definitivo de la bbdd,banco de datos, ficheros o archivos.
También se contemplan criterios de graduación de las sancione:
o La valoración de os derechos constitucionales afectados.

o Volumen de tratamientos afectados.
o Beneficios económicos obtenidos.
o Grado de intencionalidad.
o Reincidencia.
o Daños y perjuicios causados a los titulares de los datos.

Lo + recomendado
No dejes de ver…
Protección de datos
En este vídeo verás cómo la protección de datos es tu derecho y hay que conocerlo.
Accede al vídeo desde el aula virtual o a través de la siguiente dirección web:

https://www.youtube.com/watch?v=lRozhQS6kN8
No dejes de visitar…
Agencia española de protección de datos
Página web de la entidad encargada de velar por el cumplimiento de la Ley Orgánica de

Protección de Datos de Carácter Personal en España.
Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

https://www.agpd.es/portalwebAGPD/index-ides-idphp.php
TEMA 3 – Lo + recomendado 40 © Universidad Internacional de La Rioja (UNIR)

Protección de datos personales
Página web de la autoridad colombiana de protección de datos personales.
Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.sic.gov.co/informacion-sobre-la-proteccion-de-datos-personales
TEMA 3 – Lo + recomendado 41 © Universidad Internacional de La Rioja (UNIR)

+ Información
A fondo
Ojo con tus datos
En este vídeo puedes saber más sobre la protección de datos.
Accede al vídeo desde el aula virtual o a través de la siguiente dirección web:

http://www.rtve.es/television/20150128/ojo-tus-datos-documentos-tv-premio-
proteccion-datos-2014/1089002.shtml
TEMA 3 – + Información 42 © Universidad Internacional de La Rioja (UNIR)

Actividades
Trabajo: Elaboración de una evaluación de impacto de datos

personales (EIPD)
El trabajo consiste en la elaboración de una EIPD. Para ello tendrás que tener en cuenta
las siguientes cuestiones:
» Debes partir del siguiente supuesto de hecho: una clínica dental situada en España
utiliza determinado software de gestión de pacientes instalado en modo local. La
empresa SW System S.L es la proveedora del mismo, a la vez la encargada de efectuar
su mantenimiento.
El propietario de la clínica ha decidido cambiar dicho software por el de la empresa

No problem S. L. que además se entrega en modo software como Servicio (SaaS),
proporcionando ella misma el alojamiento cloud para los datos siendo la sede física
del alojamiento de estos un CPD que se encuentra en España. La denominación social
No problema S.L. está registrada también en España.
El resto de datos que se requieran pueden ser ficticios e inventados porque lo relevante
es el aprendizaje de la mecánica o proceso de elaboración.
» Debe emitirse un informe de evaluación de impacto.
» Para ello debe utilizarse la plataforma Sandas GRC Privacidad, cuyo acceso se
facilitará.
TEMA 3 – Actividades 43 © Universidad Internacional de La Rioja (UNIR)

» Para conocer cómo se realiza una evaluación de impacto se puede consultar la

siguiente información:
Guía de evaluaciones de impacto de la AEPD:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/G
uias/Guia_EIPD.pdf
Vídeo demostrativo (contraseña: DemoRGPDUE16):

https://govertis.webex.com/govertis/lsr.php?RCID=98ac57a2c55494938f3074f78bb5
d148
TEMA 3 – Actividades 44 © Universidad Internacional de La Rioja (UNIR)

Test
1. La LOPD entiende por dato de carácter personal:

A. Cualquier información concerniente a personas físicas identificadas o
identificables.
B. Cualquier información concerniente a personas físicas o jurídicas identificadas
o identificables.
C. Cualquier información concerniente a personas jurídicas identificadas.
D. Cualquier información concerniente a personas jurídicas identificables.
2. Según la LOPD: ¿la prestación de un servicio por parte de un tercero al responsable

del tratamiento deberá figurar en un contrato?
A. Depende del carácter de si los datos de carácter personal que se comunican son
sensibles o no.
B. Sí, salvo que el tercero prestador del servicio acredite tener las mismas medidas
de seguridad que el titular del fichero.
C. Sí.
D. No.
3. Las medidas de seguridad deberán ser adoptadas:

A. Solo por el encargado del tratamiento.
B. Solo por el responsable del tratamiento.
C. Por el responsable del fichero y, en su caso, por el encargado del tratamiento.
D. Ninguna de las anteriores.
4. Las medidas de seguridad deberán ser:

A. Solo de índole organizativo.
B. De índole técnico y organizativo.
C. Únicamente de índole técnico.
D. Técnicas organizativas y automatizadas.
TEMA 3 – Test 45 © Universidad Internacional de La Rioja (UNIR)

5. En relación con los derechos de los interesados el RGPDUE:

A. No realiza modificaciones respecto de la regulación de la Directiva 95/46 y la
LOPD.
B. Realiza modificaciones entre las que se incluye añadir el derecho de portabilidad
de los datos.
C. Realiza modificaciones entre la que se incluye añadir el derecho de acceso.
D. Realiza modificaciones entre la que se incluye añadir el derecho de
transferencias internacionales.
6. Respecto de los supuestos de realización de evaluaciones de impacto en el RGPDUE:

A. No hay previstos supuestos de obligación.
B. Solo debe realizarse cuando estemos ante categorías especiales de datos.
C. Hay supuestos obligatorios, pero la organización también puede realizarla
porque lo estime conveniente.
D. Cada autoridad de control establecerá los supuestos obligatorios, ya que no los
define el RGPDUE.
7. El criterio/s de impacto para la evaluación en protección de datos:

A. Viene establecido expresamente en el RGPDUE y solo puede ser la sanción.
B. No viene establecido en el RGPDUE, pero la lógica dice que solo puede ser la
sanción.
C. No viene establecido en el RGPDUE, pero la lógica dice que pueden ser la
sanción y otros criterios.
D. El criterio de impacto lo establece siempre la autoridad de control.
8. La única forma de tratar el riesgo en protección de datos es:

A. Aceptarlo.
B. Trasladarlo.
C. Mitigarlo.
D. Ninguna de las anteriores respuestas es correcta.

9. Una vez realizada la evaluación de impacto, las posibles conclusiones son:

A. Que a raíz de la misma siempre se podrá bajar el riesgo a un nivel de riesgo
aceptable.
B. Que a raíz de la misma se podrá bajar el riesgo a un nivel de riesgo aceptable.
C. Que es posible que se pueda bajar el riesgo a un nivel de riesgo aceptable o que
no, y este último caso puedo hacer una consulta a la autoridad de control.
D. Que es posible que se pueda bajar el riesgo a un nivel de riesgo aceptable o que
no, y en este último caso puedo asumir el riesgo exceso de riesgo elevado.
10. ¿Quién tiene que aceptar el umbral de riesgo aceptable en una organización o riesgo
residual es:
A. La propia organización.
B. El consultor.
C. El DPO.
D. La autoridad de protección de datos.

Tema3 PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Tema3 PDF

Încărcat de

Drepturi de autor:

Formate disponibile

La protección de datos en España, en

[3.2] La protección de datos en España

[3.3] Reglamento europea de protección de datos

[3.4] La protección de datos en Latinoamérica (especial referencia

© Universidad Internacional de La Rioja (UNIR)

3.1. ¿Cómo estudiar este tema?

» Ley Orgánica de Protección de Datos 15/1999, disponible en el siguiente enlace:

TEMA 3 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

3.2. La protección de datos en España

Generalidades sobre protección de datos

Para introducir el estudio del tema, el presente epígrafe analiza el concepto de la

» Protección de datos: el amparo debido a los ciudadanos contra la posible

La protección de datos está jurídicamente considerada por el Tribunal Constitucional

Se trata, por tanto, de un derecho fundamental (denominado por la Sentencia del

TEMA 3 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

En cuanto al ámbito de actuación, la intimidad es más reducida que la protección de

Intimidad Protección de datos

Protege frente a invasiones de su Garantiza a la persona un poder de control

Datos íntimos de la persona Cualesquiera datos personales, aunque no

En cuanto al contenido: la protección de datos impone obligaciones adicionales e

Intimidad Protección de datos

No Derecho a que se requiera el consentimiento para la

No Derecho a ser informado y saber el uso y destino de los

No Derecho a acceder, rectificar, cancelar y oponerse al

No En definitiva: poder de disposición sobre sus datos.

» ¿Qué normativa hay que conocer? En el estudio de la protección de datos hay

 Constitución Española de 1 978: 1 8,4 (CE).  Directiv a 95/46/CE del Parlamento

TEMA 3 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

» ¿Qué labor desempeña la Agencia Española de Protección de Datos y qué

El órgano de control del cumplimiento de la LOPD (la Agencia Española de Protección

La representación de la Agencia Española de Protección de Datos la ostenta su

A continuación, se describen sucintamente las funciones de la Agencia agrupadas por

En relación con los afectados:

o Atender a sus peticiones y reclamaciones.

TEMA 3 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

» En relación con quienes tratan datos:

o Emitir las autorizaciones previstas en la Ley.

o Informar preceptivamente los proyectos de normas de desarrollo de la Ley

o Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las

o Cooperación con diversos organismos internacionales y con los órganos de la

TEMA 3 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

Integrado en la Agencia se encuentra el Registro General de Protección de

En el estudio de la protección de datos y en particular de la LOPD es necesario atender a

Las definiciones incluidas en la LOPD sirven para centrar algunas cuestiones en el

» Datos de carácter personal: la letra a) del artículo 3 de la LOPD define datos de

Es necesario destacar que con la referencia expresa a «personas físicas» se hace

TEMA 3 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

» Fichero. distinguimos a los ficheros en base al:

o Fichero automatizado: Conjunto organizado de datos de carácter personal,

El concepto de fichero no se corresponde necesariamente con una base de datos,

o Fichero no automatizado: todo conjunto de datos de carácter personal

Por su titularidad, en base al sujeto que crea el fichero:

TEMA 3 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

» Tratamiento de datos (art 3.c de la LOPD): «operaciones y procedimientos

» Responsable del fichero o tratamiento (art 3.d de la LOPD): «persona física o

La capacidad de tomar decisiones sobre el objeto, utilización y fin del

Debe distinguirse claramente esta figura de la del encargado del

El encargado del tratamiento es un tercero (normalmente una empresa pero no

TEMA 3 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

» Procedimiento de disociación (art 3.f de la LOPD): «todo tratamiento de datos

Se encuentra unido a las estadísticas o al tratamiento de forma que los

» Consentimiento del interesado (art 3.h de la LOPD): «toda manifestación de

Téngase en cuenta que el consentimiento es el eje vertebral de la protección de datos