Documente Academic
Documente Profesional
Documente Cultură
1. OBJETIVOS ............................................................................................................................ 4
2. INTRODUCCIÓN. LA PROTECCIÓN DE DATOS EN EUROPA Y EN ESPAÑA ........................ 5
2.1 Protección de datos en el contexto europeo ........................................................................................................... 5
2.2 Protección de datos en España ...................................................................................................................................... 8
3. EL RGPD: MARCO GENERAL ............................................................................................... 12
3.1 Consideraciones generales ........................................................................................................................................... 12
3.2 Las claves del nuevo Reglamento ............................................................................................................................... 13
3.3 Las 10 principales novedades del nuevo Reglamento Europeo de Protección de Datos ...................... 17
4. - ............................................................................... 34
Una vez que, tras la promulgación y entrada en vigor de la nueva LOPDGDD quedan
coexistiendo en el ordenamiento jurídico el RGPD y la Nueva Ley Orgánica de Protección
de Datos Personales, de forma que, como afirma el Preámbulo de la segunda, ambas se
Dedicamos esta unidad al análisis de las líneas generales del Reglamento General de Protección de
Datos, que como hemos enunciado es una norma vigente en esta materia en España (junto con la
LOPDGDD , comenzando por su encuadramiento en el sistema normativo europeo y continuando por su
aplicación directa en el ordenamiento jurídico español.
Analizamos las claves de esta norma y sus principales novedades que introduce en nuestro sistema
de protección de datos.
Hacemos una esquemática síntesis histórica que comienza en las iniciales preocupaciones y medidas
sobre esta materia (aún de una forma muy incipiente) en 1950, hasta desembocar en el vigente
Reglamento General de Protección de datos, objeto de nuestro estudio.
ocho principios que previenen en las leyes de protección de datos vigentes hoy en día.
1981 Convenio sobre el tratamiento automatizado de datos de carácter personal del Consejo de
Europa debido al creciente uso de ordenadores y bancos de datos que almacenan enormes
cantidades de información personal, el objetivo del convenio es reforzar los requerimientos de
protección de datos en el tratamiento automatizado. En la década de los 80, muchos países
han adoptado sus propias leyes de protección de datos para implementar el convenio.
1995 La unión europea adopta la directiva de protección de datos. Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos.
A finales de los años 90 y principios de la siguiente década, los países europeos adoptaron esta
directiva en legislaciones nacionales. Sin embargo, pese a los esfuerzos para armonizar las leyes
de protección de datos, hubo diferencias en la interpretación de la directiva según el país
2002 La unión europea adopta la directiva de privacidad y comunicación electrónica. Directiva
2002/58/CE del Parlamento Europeo y del Consejo.
Para ampliar información sobre los antecedentes de normativa europea sobre protección de datos
se puede consultar el Manual de legislación europea en materia de la protección de datos
https://rm.coe.int/16806ae663
De las normativas enunciadas solo debemos tener presente (para el entendimiento del
contenido del presente curso) tres de ellas:
Directiva 95/46/CE
Directiva 2002/58/CE
•Del Parlamento Europeo y del Consejo relativa al tratamiento de los datos personales y
a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva
de privacidad de las comunicaciones electrónicas)
Solo la última de ellas (el RGPD) será objeto de nuestro estudio, por ser la norma principal
actualmente vigente en España, aunque podremos hacer mención a las otras dos para entender la
normativa española.
Se hacía así eco de los trabajos desarrollados desde finales de la década de 1960 en el Consejo de
Europa y de las pocas disposiciones legales adoptadas en países de nuestro entorno.
El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que nos encontramos ante
un derecho fundamental por el que se garantiza a la persona el control sobre sus datos, cualesquiera
datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la
dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura
como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para
fines distintos a aquél que justificó su obtención.
2.- La Ley Orgánica 5/1992 fue reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de
protección de datos de carácter personal, a fin de trasponer a nuestro derecho a la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta ley
orgánica supuso un segundo hito en la evolución de la regulación del derecho fundamental a la protección
de datos en España y se complementó con una cada vez más abundante jurisprudencia procedente de los
órganos de la jurisdicción contencioso-administrativa.
3.- La adopción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus
datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos), así como de la Directiva (UE) 2016/680 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones
refundida en una ley y superando la dispersión normativa preexistente. Esta ley queda coexistiendo con el
Reglamento Europeo (RGPD) al que complementa y desarrolla.
Esta diversidad suponía un obstáculo a la vista del aumento de los flujos transfronterizos de datos
personales como consecuencia del funcionamiento del mercado interior, los retos planteados por la rápida
evolución tecnológica y la globalización, que ha hecho que los datos personales sean el recurso
fundamental de la sociedad de la información.
Se hacía necesario que un ciudadano europeo pudiese ver protegidos sus datos personales de una
forma uniforme en todo el marco europeo y no existiesen diferentes regulaciones según el Estado en que
se encontrase.
El Reglamento general de protección de datos (RGPD) supone la revisión de las bases legales
del modelo europeo de protección de datos más allá de una mera actualización de la vigente
normativa. Procede a reforzar la seguridad jurídica y transparencia.
Aun así, el Reglamento dejó un margen de adaptación en ´la aplicación por parte de cada estado
cada estado y permite que sus normas sean especificadas o restringidas por el Derecho de los Estados
miembros en la medida en que sea necesario por razones de coherencia y para que las disposiciones
nacionales sean comprensibles para sus destinatarios.
Podemos, pues hablar de un régimen uniforme que deberá también ser aplicado de forma uniforme
en toda la Unión.
La LOPDGDD es, pues, una norma necesaria para la adaptación del ordenamiento
español a la citada disposición europea y proporcional a este objetivo, siendo su razón
última procurar seguridad jurídica.
Protección de Datos Personales y garantía de los derechos digitales LOPDGDD) quedan coexistiendo
ambas normas en el ordenamiento jurídico español, de forma que una complementa a la otra.
De hecho, en la Ley son continuas las remisiones a las disposiciones del Reglamento y por
ello es necesario hacer menciones a sus líneas generales que son adoptadas por la nueva LOPDGDD.
Por ello, y para aproximarnos a la normativa del RGPD, debemos entender ciertos conceptos básicos:
¿A quién afecta?
Derecho al Portabilidad y
Consentimiento
olvido limitación
DPO Menores
1. Consentimiento. Para tener y tratar los datos de una persona se debe obtener su consentimiento
expreso (no tácito). Este debe ser libre e inequívoco, pero también informado e individual; y tiene
que poder probarse que se recibió. Esto significa que, en el momento de recabar los datos, hay que
explicarle al ciudadano de forma clara y sencilla para qué se van a usar, por cuánto tiempo y quién
será el responsable del tratamiento, entre otras cosas. Además, la persona debe decir "sí" de forma
activa y expresa, porque si no, no valdrá. Si los datos se van a usar para varios fines, se pedirán
consentimientos separados. Hay excepciones: no hace falta consentimiento si hay una obligación
legal, media interés vital o público, hay un contrato o si la empresa o autoridad pública alega
"interés legítimo", que tendrá que argumentar. Por tanto el rigor en la exigencia del
consentimiento queda muy limitado en las Administraciones Públicas.
2. Derecho al olvido. Otra novedad. Se trata del derecho de supresión y hasta ahora solo se
reflejaba en sentencias judiciales (muchas relacionadas con eliminar noticias de Google), pero no
en una ley. Una persona podrá pedir a una empresa o a una autoridad pública que elimine los datos
personales que tiene en su poder si ya no son necesarios; si ha decidido retirar el consentimiento
o se opone a que se usen más; si se han utilizado de forma ilícita, etc. Esto, claro está, puede chocar
con el derecho a la información, el interés público o la ley y se tendrá que ponderar.
3. Portabilidad y limitación. Otros dos derechos importantes para los ciudadanos, además de los
de acceso, rectificación, cancelación y oposición (ARCO), que ya estaban contemplados en la
legislación.
d) La aprobación del informe anual que la Consejería competente en materia de protección datos eleve a
su consideración, en el que se describirá la situación de la Administración regional en materia de
protección de datos, mecanismos de coordinación a implantar entre los diferentes órganos, información
normativa y de gestión y evaluación del cumplimiento del presente Decreto y, en concreto, de la garantía
de los derechos de acceso, oposición, rectificación y cancelación.
En cada Estado miembro de la UE tiene que haber una autoridad y deben cooperar entre sí y con la
Comisión Europea. Además, se crea el Comité Europeo de Protección de Datos, que se ocupará de que
el reglamento se aplique de forma coherente en toda la UE y cuyas decisiones son vinculantes. Los
ciudadanos tienen derecho a presentar una reclamación ante la autoridad de su país, a ir a juicio y a ser
indemnizados.
Las determinará la autoridad de control, esto es, la AEPD, que ha avanzado que centrará sus
inspecciones en el sector salud, las telecomunicaciones y las instituciones financieras. Cada caso se
estudiará de forma individual.
Los Estados, por su parte, pueden determinar sanciones penales y son los que decidirán, además, si
se pueden poner multas administrativas a las autoridades y los organismos públicos: es una de las cosas
que el GDPR deja en manos de los Gobiernos y sus leyes. Si los ciudadanos, en todo caso, reclaman primero
a la empresa o autoridad pública y se soluciona el asunto entre ambos, se evitará la sanción.
En este apartado nos centraremos en sintetizar cuáles son las novedades que introduce el
reglamento.
Ya hemos hablado de algunas de ellas en el punto anterior, pero trataremos de hacer un decálogo
de las mismas.
El art. 5 del RGPD contiene la lista de principios a tener en cuenta en el tratamiento de datos
personales. Algunos de ellos ya estaban previstos en la normativa anterior pero se añaden otros nuevos.
El RAT, debe contener los siguientes elementos, contemplados en el art. 30 del RGPD:
a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del
cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del
delegado de protección de datos;
b) las categorías de tratamientos efectuados por cuenta de cada responsable;
c) en su caso, las transferencias de datos personales a un tercer país u organización internacional,
incluida la identificación de dicho tercer país u organización internacional y, en el caso de las
transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías
adecuadas;
d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a
que se refiere el artículo 30, apartado 1.
Los órganos y organismos del Sector Público quedan obligados a publicar en su web el
inventario de las actividades de tratamiento de datos personales que realizan, identificando quién trata los
datos, con qué finalidad y qué base jurídica legitima ese tratamiento.
Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán
tratados ulteriormente de manera incompatible con dichos fines (...)
Estos fines explícitos y legítimos deberán determinarse en el momento de la recogida de los datos.
"Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con
En la edad de oro del Big Data este principio obliga a aplicar las medidas técnicas y organizativas
apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que
sean necesarios para cada uno de los fines específicos del tratamiento (Artículo 25.2).
Con el nuevo RGPD se establecen un conjunto de derechos, conocidos como ARSOPL que, en
síntesis son los siguientes:
DERECHO DE ACCESO.
DERECHO DE RECTIFICACIÓN.
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la
rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del
tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos,
inclusive mediante una declaración adicional.
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la
supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación
indebida los datos personales en determinados casos, por ejemplo cuando los datos personales ya no
sean necesarios en relación con los fines para los que fueron recogidos o cuando el interesado retire el
consentimiento en que se basa el tratamiento o cuando el interesado se oponga al tratamiento y no
prevalezcan otros motivos legítimos para el tratamiento, o cuando los datos personales hayan sido
tratados ilícitamente o deban suprimirse para el cumplimiento de una obligación legal establecida en el
DERECHO DE OPOSICIÓN.
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su
situación particular, a que datos personales que le conciernan sean objeto de tratamiento.
DERECHO A LA PORTABILIDAD.
El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a
un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a
transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera
facilitado y tendrá igualmente derecho a que los datos personales se transmitan directamente de
responsable a responsable cuando sea técnicamente posible
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del
tratamiento de sus datos y en este caso dichos datos solo podrán ser objeto de tratamiento, con
excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio
o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica
o por razones de interés público importante de la Unión o de un determinado Estado miembro.
DERECHO DE RECTIFICACIÓN
DERECHO DE OPOSICIÓN
DERECHO A LA PORTABILIDAD
Desde mayo de 2108, además de estos datos, el Reglamento exige la obligación de informar
sobre nuevos aspectos:
Como novedad respecto de la normativa anterior el nuevo RGPD indica que para poder considerar
que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción
positiva que manifieste su conformidad.
Por otra parte, como ya hemos explicado otras de las novedades importantes es en relación con
el tratamiento de datos de menores.
En España, la derogada normativa sobre protección de datos establecía, salvo excepciones legales,
la posibilidad de recabar datos personales de mayores de 14 años sin necesidad de obtener el
consentimiento de sus padres.
Uno de los aspectos que está provocando mayor debate es la forma en que se van a regular los
consentimientos de clientes o usuarios obtenidos con anterioridad a la entrada en vigor del nuevo
Reglamento Europeo de Protección de Datos. En este sentido, el nuevo RGPD es tajante: si el
consentimiento no se encontraba claramente identificado o se basó en formas tácitas o por omisión,
deberá volverse a solicitar.
Habrá que tenerlo muy en cuenta, porque el tratamiento de datos sin el consentimiento de los
usuarios se entiende como una infracción muy grave según el nuevo reglamento.
El nuevo RGPD no distingue entre los niveles de los ficheros, sino que especifica que se apliquen
medidas de seguridad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza,
el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las
personas físicas. (Artículo 25 Protección de datos desde el
diseño y por defecto).
El RGPD, bajo el principio de responsabilidad proactiva (Artículo 5.2), exige al responsable del
tratamiento que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder
demostrar que el tratamiento es conforme con el Reglamento.
Por tanto, lo que el GPD exige es que las empresas tengan una actitud consciente, diligente y
proactiva del tratamiento de los datos, pudiendo demostrar, si llegara el caso, las medidas de seguridad
aplicadas.
Otra nueva obligación que establece el RGPD es la de realizar una evaluación de impacto (Privacy
Impact Assessment) para las organizaciones que realicen tratamientos de datos que puedan implicar
un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza,
la particularidad y la gravedad de dicho riesgo.
https://www.aepd.es/sites/default/files/2019-09/guia-evaluaciones-de-impacto-rgpd.pdf
Otra de las novedades más importantes se trata de una nueva obligación que el RGPD impone al
responsable del tratamiento: notificar las violaciones de seguridad de los datos.
Esta figura no es obligatoria para todas las organizaciones: solo tendrán que contar
con un delegado las empresas públicas y administraciones, las que tengan un tratamiento a
gran escala o las que recojan datos especialmente sensibles o relativos a condenas o
infracciones penales.
Entre las funciones del delegado de protección de datos se encuentran, entre otras, las siguientes:
4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que
respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus
derechos al amparo del presente Reglamento.
7. Cuando se trate de una persona física integrada en la organización del responsable o encargado
del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el
responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave
en su ejercicio.
✓ Todas las administraciones públicas, o sea, siempre que el tratamiento lo lleve a cabo una
autoridad u organismo público, ( excepto los tribunales que actúen en ejercicio de su función
judicial);
✓ Los colegios profesionales y sus consejos generales.
✓ Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la
legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
✓ Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme
a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos
personales a gran escala.
✓ Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala
perfiles de los usuarios del servicio.
✓ Las entidades incluidas en el artículo 1 de la Ley de ordenación, supervisión y solvencia de
entidades de crédito.
✓ Los establecimientos financieros de crédito.
✓ Las entidades aseguradoras y reaseguradoras.
✓ Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
✓ Los distribuidores y comercializadores de energía eléctrica y los distribuidores y
comercializadores de gas natural.
✓ Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial
y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los
responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales
y de la financiación del terrorismo.
✓ Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo
las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las
preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los
mismos.
✓ Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los
pacientes. (Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al
mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual).
Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia
Española de Protección de Datos o, en su caso, a las autoridades
autonómicas de protección de datos, las designaciones, nombramientos y
ceses de los delegados de protección de datos tanto en los supuestos en
que se encuentren obligadas a su designación como en el caso en que sea
voluntaria.
Los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo
parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial
de los datos tratados o de los riesgos para los derechos o libertades de los interesados.
El RGPD sigue manteniendo la existencia de los diferentes reguladores nacionales y sus funciones,
pero ahora estarán coordinados por un organismo dependiente de la Comisión Europea: el Comité
Europeo de Protección de Datos.
Para los titulares de los datos se establece un sistema de ventanilla única, lo que
significa que en caso de que tengan que realizar una reclamación dentro de cualquiera
de los Estados miembros, podrán acudir ante la autoridad de su país.
Una de las cuestiones que está generando más debate y controversia es la diferencia exponencial de
la cuantía de las sanciones que establece el nuevo RGPD.
Si hasta mayo de 2018 las sanciones podían ir desde 900 euros hasta 600.000, a partir de entonces
no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta
el 4% del volumen de negocio del infractor.
2. Nuevos derechos de los ciudadanos: derecho al olvido y derecho a la portabilidad de los datos.
4. Forma de obtención del consentimiento: una declaración del interesado o una acción positiva
que manifieste su conformidad.
8. La creación de la figura del Delegado de Protección de Datos (DPO Data Protection Officer).
9. Aplicación del concepto "Ventanilla Única" para que los ciudadanos interesados puedan
efectuar trámites, aunque estos afecten a autoridades en la materia de otros estados miembros.
Los documentos resultantes de la ejecución de este programa serán válidos en la medida que las
respuestas facilitadas a cada una de las preguntas sean ciertas y son los mínimos indispensables para
facilitar el cumplimiento del Reglamento General de Protección de Datos.
Entrando en el siguiente enlace podéis simular diferentes casos dentro de los límites de riesgo antes
mencionados: https://www.aepd.es/