Proteccion de Datos

Antecedentes
El 15 de diciembre 2015, la Comisión, Consejo y el Parlamento Europeo

concluyen el texto de compromiso del nuevo Reglamento Europeo en
Protección de Datos.
Las entidades deben estar adecuadas desde el 25 Mayo del 2018, es en este

momento cuando entra en vigor el régimen sancionador del nuevo Reglamento
Europeo en Protección de Datos, parconsejoa adecuar los procedimientos
actuales al nuevo Reglamento en protección de datos.
Privacidad y protección de datos en el panorama internacional
En la actualidad, cada país cuenta con normas específicas sobre protección

de datos y su privacidad, pero cada vez, los reglamentos tienen mayores
similitudes entre sí, ya que las transferencias de datos entre países y
compañías internacionales también son mayores.
Cada vez, son más los países que poseen autoridades de control con el fin de
la protección de datos. Europa y Norteamérica son las zonas en las que la
protección de datos tiene mayor seguridad. Aunque en Latinoamérica, Asia y
algunas regiones de África, se ha avanzado significativamente en estos últimos
años.
La globalización, ha permitido que grandes potencias como EEUU o Europa,

requieran la necesidad de tener autoridades nacionales de protección de
datos que supervisen y regulen siguiendo la legislación, controlando que se
cumpla y facilitando la transferencia y la privacidad de los datos entre países.
Algunos de los países con autoridad responsable de la protección de datos

son EEUU, Canadá, Australia, México, Corea del Sur o Marruecos, además de
la gran mayoría de los países europeos.
Estos países son sólo una muestra de todos los países que tienen un nivel
adecuado de protección de datos. En otras palabras, son países en los que
una transferencia de datos se puede realizar sin ningún tipo de trámite
especial.
 Que un país sea adecuado para la transferencia de nuestros datos lo

decide la Comisión en base a los criterios de adecuación marcados en el
Reglamento Europeo.
La protección de datos en Europa
El nuevo Reglamento Europeo en Protección de Datos es una de las normas

centrales de la UE. Es un reglamento transversal a todas las actividades que
se desarrollen en el sector público y privado, y a la totalidad de las personas
que están en la UE más allá de la ciudadanía europea, es decir, afectando a
todos los que estén en la Unión Europea.
Antes de entrar en vigor el Reglamento, nos regíamos por la Directiva
95/46 del Parlamento europeo y del Consejo relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos.
Instrumentos
En la UE los estados miembros ceden soberanía, de manera que son las

instituciones europeas las que regulan determinadas materias y no los estados
miembros. Esto se hace a través de 2 instrumentos:
 Las directivas: fijan un objetivo a alcanzar pero dejan libertad a los

estados para llegar y conseguir esa finalidad. Son normas jurídicas que
vinculan a los estados miembros y necesitan una transposición en cada
uno de ellos. La directiva deja margen a los estados.
 Reglamento: es una norma directamente aplicable, no necesita de
transposición. Aunque se dice Reglamento, son verdaderas leyes, es
decir, regulaciones con el máximo rango de Ley y directamente
aplicable. De hecho los reglamentos se publican en el diario oficial de la
UE, porque de no ser así será como decir que de no ser publicado en el
diario oficial de cada estado, no entra en vigor. No existe transposición
de la normativa como sí ocurre con la directiva.
Esto quiere decir que la Ley, es la misma en todos los Estados y eso que
hablamos de países tan diferentes como España, Grecia, Alemania, Finlandia,
Portugal, Estonia y Dinamarca.
Países con una base jurídica distinta, saben ya regular el derecho a la

Protección de Datos, tanto en Finlandia como en España. Así, una empresa
sabrá que la misma norma se le aplicará actúe donde actúa. Hemos hecho
una cesión de soberanía.
Esta normativa actual va a tener un impacto esencial a nivel mundial, porque

la directiva es ya un modelo de norma que ha sido asumido por muchos países.
Cuando hablamos de protección de datos hablamos de flujo económico de
datos personales, con un valor incalculable, que deben circular libremente sin
que haya trabas.
Millones de datos circulan a nivel mundial, pues bien, la inmensa mayoría de

ese flujo de datos se basaba en la Directiva 95/46. Estos flujos de datos serán
mucho más fluidos si existe una normativa igual para todo, sin territorios pero
con la misma seguridad, porque no tiene sentido que un país tenga una Ley
estricta en cuanto a medidas de seguridad y en otro país no existan las mismas
medidas de seguridad.
La normativa tiene 2 objetivos: regular la protección de datos y la libre

circulación de los datos en la UE.
Porque el mercado europeo se basa en el mercado único y requiere la libre

circulación de datos que deberán hacerse con unas garantías mínimas.
No se trata de poner puertas al mar, sino de dejar que los datos circulen
libremente pero respetando los derechos de las personas y en particular a la
protección de datos personales.
Es una norma que se aplica desde 25 de mayo del 2018 y según el artículo
288 del tratado del funcionamiento de la UE, los reglamentos tienen un alcance
general y son obligatorios en todos sus elementos y directamente aplicables en
cada estado miembro, es decir, todos los países tienen que aplicar el
Reglamento Europeo.
El marco legislativo europeo reconoce el derecho a la protección de datos,

obligando a todos los Estados miembros de la UE a garantizarlo (artículo 8 de
la Carta de los Derechos Fundamentales de la UE). Por tanto, se trata de un
derecho que tiene toda persona a la protección de los datos de carácter
personal que le conciernan, sin importar la nacionalidad o residencia.
La protección de datos en España
El derecho a la protección de datos personales deriva directamente del derecho

fundamental a la intimidad, recogido en el artículo 18.4 de la Constitución
Española y reconocido por el Tribunal Constitucional.
Como ya sabemos, hasta la entrada en vigor de este nuevo Reglamento

Europeo 2016/679, los Estados miembros de la U.E. se han regido por sus
propias normativas en protección de datos, en nuestro caso son:
 Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de

Carácter Personal.
 Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999 de 13 de
diciembre de Protección de Datos de Carácter Personal.
 Ley 34/2002, de 11 de julio, de servicios de la sociedad de la
información y de comercio electrónico.
La Autoridad de control sobre la protección de datos en España, es la Agencia

Española de Protección de Datos (AEPD) cuya finalidad es controlar que la
legislación relativa a la protección de datos se cumpla y se respeten los
derechos de los interesados.
Estándares y buenas prácticas
En aras de cooperar y facilitar las transferencias de datos de manera

internacional, se crean los estándares de protección de datos
personales para los estados iberoamericanos. Estos estándares pretenden
mejorar las distintas armonizaciones anteriores por las que se regían los países
para las transferencias internacionales a la vez que permiten cumplir el
reglamento interno de protección de datos que tiene cada país.
Estos estándares que fueron aprobados en el año 2016 en Colombia, tienen

como objetivos principales los siguientes:
 Llegar a unos principios y derechos comunes en materia de protección
de datos de manera que se puedan adaptar a la legislación vigente de
cada país participante.
 Garantizar el derecho a la protección de datos de cualquier persona
física dentro de los Estados Iberoamericanos.
 Facilitar el flujo de datos entre países iberoamericanos y con los demás,
con el objetivo del crecimiento económico del área.
 Favorecer la cooperación entre las autoridades de control de los países
miembro de este acuerdo y las autoridades de control que no
pertenecen pero abogan por la protección de datos.
Aplicación de las normas y textos oficiales
A partir del 25 de mayo del 2018, momento en el que entró en vigor el régimen
sancionador del nuevo Reglamento Europeo en Protección de Datos,
las entidades deben estar adecuadas para aplicar los procedimientos
actuales al nuevo Reglamento en protección de datos.
 La adaptación de esta norma a la legislación se realiza a través de

la Nueva LOPD, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
Importante
Como señala la Exposición de Motivos de esta nueva Ley, la protección de

las personas físicas en relación con el tratamiento de datos personales es
un derecho fundamental protegido por el artículo 18.4 de la Constitución
española. De esta manera, nuestra Constitución fue pionera en el
reconocimiento del derecho fundamental a la protección de datos personales
cuando dispuso que «la ley limitará el uso de la informática para garantizar el
honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de
sus derechos». Se hacía así eco de los trabajos desarrollados desde finales de
la década de 1960 en el Consejo de Europa y de las pocas disposiciones
legales adoptadas en países de nuestro entorno.
A nivel legislativo, la concreción y desarrollo del derecho fundamental de

protección de las personas físicas en relación con el tratamiento de datos
personales tuvo lugar en sus orígenes mediante la aprobación de la Ley
Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado
de datos personales, conocida como LORTAD.
La Ley Orgánica 5/1992 fue reemplazada por la Ley Orgánica 15/1999, de 5

de diciembre, de protección de datos personales, a fin de trasponer a nuestro
derecho la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos.
En la actualidad, y dado que el último hito en esta evolución tuvo lugar con la
adopción del Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de sus datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos), así como de la Directiva (UE)
2016/680 del Parlamento Europeo y del Consejo, se ha aprobado la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales, entrando en vigor el 7 de diciembre de 2018.
2. Principales novedades del Reglamento
 La Protección de Datos es el derecho que tenemos todas las personas

a conocer quién tiene y trata nuestros datos personales, y el derecho que
tenemos a que no sean utilizados sin nuestra autorización y protección debida,
de manera que se garantice nuestro honor y confidencialidad.
Definición
Seguramente usted recibirá información comercial a través de medios

electrónicos (SMS, email, teléfono) y postales (buzón de correos) de
entidades con las que ha mantenido en alguna ocasión una relación negocial o
contractual, incluso de entidades con las que jamás hemos mantenido relación
alguna.
Es habitual que, prácticamente para cualquier actividad, sea necesario que los
datos personales se recojan y utilicen en la vida cotidiana.
Actualmente para cualquier actividad, nos solicitan información personal:
 Cuando damos nuestros datos para la factura de una compra.

 Cuando compramos un teléfono móvil.
 Cuando nos alojamos en un hotel.
 Cuando reservamos un viaje.
 Cuando inscribimos a nuestros hijos en el colegio.

 Cuando solicitamos atención sanitaria.
 Cuando abrimos una cuenta en el banco.
 Cuando nos damos de alta en servicios de Internet.
 Cuando rellenamos la papeleta para un concurso.

 Cuando nos dan de alta en el gimnasio.
 ...
Debemos ser conscientes de que toda esta información revela aspectos de

nuestra personalidad, se trata de información importante que dice mucho
sobre nosotros, sobre nuestra personalidad.
 Nosotros somos los que decidimos a quién y para qué damos nuestros
datos personales.
 Nosotros somos los que decidimos y no el que solicita nuestros datos,
no estando obligados a facilitarlos si no queremos.
 Nosotros somos los que decidimos si queremos recibir información
comercial, quien recoge los datos debe proporcionarnos, SIEMPRE, un
medio accesible y fácil para negarnos.
Ejemplo.
¿Cuándo sé que estoy tratando/manejando datos? La normativa en

Protección de Datos dice que el tratamiento de datos de carácter personal es
cualquier operación y procedimiento automatizado o no automatizado (papel),
que en algún momento cumpla/permita su recogida, tratamiento,
almacenamiento, tratamiento, modificación, bloqueo y cancelación, así como
las cesiones y comunicaciones de datos que resulten a otras entidades,
necesarias para el cumplimiento de nuestros servicios y/o actividad.
La recogida más habitual de datos son a través de soportes no

automatizados (formularios en papel), soportes automatizados y através de
Internet, web, redes sociales, blogs.
Objetivo del reglamento
Como ya comentamos en la introducción, el objeto del RGPD es la protección

de los derechos y libertades fundamentales de las personas físicas, y
la libre circulación de datos personales en territorio de la UE, no pudiendo
ser restringida ni prohibida, es decir, otorgar un mayor control a los ciudadanos
europeos sobre su información personal y privada.
El Reglamento Europeo en Protección de Datos es una norma única de

aplicación directa a todos los Estados miembros de la UE. Una norma
única permite y consigue:
1. Armonizar a todos los Estados miembros de la UE.

2. Evita la dispersión normativa existente de diferentes normativas de cada
Estado miembro.
3. Alcanzar un nivel de protección de datos razonable en todo el territorio
de la UE.
A través del principio de responsabilidad proactiva o “Accountability” que

introduce el RGPD, los responsables de tratamiento y los encargados deberán
implantar medidas que garanticen y permitan demostrar el cumplimiento del
RGPD a través de políticas adaptadas a las necesidades de la organización.
El cumplimiento de las medidas debe basarse en el buen hacer y uso de los

datos personales, lo que implica toda la vida del dato: recogida, registro,
organización, estructuración, conservación, adaptación o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión.
Por tanto, los datos personales serán tratados con:
 Licitud: lealtad y transparencia con el interesado.

 Limitación de los fines: recogidos con fines determinados, explícitos y
legítimos y no tratados posteriormente de manera incompatible con
dichos fines.
 Minimización de los datos: adecuados, pertinentes y limitados a lo
necesario en relación con los fines para los que son tratados.
 Exactitud: actualizados sin demora con respecto a los fines para los que
se tratan.
 Limitación del plazo de conservación: mantenidos de forma que se
permita la identificación de los interesados durante no más tiempo del
necesario para los fines por los que se tratan. Excepto si el tratamiento
se realiza exclusivamente para fines de archivo en interés público o para
investigación histórica, estadística o científica.
 Integridad y confidencialidad: implementando medidas técnicas y
organizativas adecuadas para proteger los datos contra tratamientos no
autorizados o ilícitos y su pérdida, destrucción o daño accidentales.
 Responsabilidad proactiva: siendo responsable y capaz de demostrar
el cumplimiento de todos los principios del tratamiento.
Aplicación del reglamento
¿A quién afecta el Reglamento? La protección se otorga a las personas

físicas, independientemente de su nacionalidad o de su lugar de residencia, y
en relación con el tratamiento de sus datos personales.
¿Quién debe cumplir el Reglamento? Toda organización empresarial

independientemente de su actividad, servicio, tamaño, incluidas sin ánimo de
lucro, autónomos, Administración Pública y todos los organismos dependientes,
que en algún momento recojan, traten, almacenen y/o destruyan datos
personales.
El GDPR se aplica a las operaciones (tanto tratamiento automatizado como

tratamiento manual) realizadas sobre datos personales de ciudadanos
residentes en la UE “Interesados” efectuadas por un Responsable de
Tratamiento o un Encargado del tratamiento:
 Establecido en la UE, independientemente de que el tratamiento tenga

lugar en la UE o no.
 No establecido en la UE, siempre y cuando las actividades del
tratamiento estén relacionadas con:
o La oferta de bienes o servicios a personas residentes en la UE, se
pague o no por ello.
o El control de la conducta de personas, si tiene lugar en la UE.
 No establecido en la UE, pero sea de aplicación la legislación de un
Estado de la UE.
Las personas individuales en el ámbito personal y/o doméstico se encuentran
fuera del ámbito de cumplimiento del Reglamento, sin embargo debemos
garantizar el derecho a la intimidad y confidencialidad de los datos
personales de otras personas individuales, sobre todo desde la aparición de las
redes sociales.
Ejemplo.
Las novedades más destacables son:
 Contar con un Data Protection Officer “DPO”.

 Obligación de realizar Análisis de Riesgos y Evaluaciones de impacto
para determinar el cumplimiento normativo.
 Registrar documentalmente las operaciones de tratamiento del
Responsable del Fichero y Encargados del Tratamiento.
 Aplicar más transparencia en la recogida de datos; información,
transparencia, consentimiento y minimización.
 Establecimiento de obligaciones para nuevas categorías especiales de
datos.
 Nuevos derechos de los ciudadanos: derecho al olvido/supresión,
limitación y la portabilidad de los datos de un usuario de un sistema de
tratamiento electrónico a otro.
 Nuevas notificaciones a la Autoridad de Control: brechas de seguridad y
autorización previa para determinados tipos de tratamiento.
 Incremento de la cuantía de las sanciones.
 Ventanilla única.
erechos de los interesados
Un dato personal es “toda información (numérica, alfabética, gráfica,

fotográfica, acústica o de cualquier otro tipo) sobre una persona física
identificada o identificable”.
Por tanto, un dato personal, permite identificar a una persona, así

como revelar información sobre la misma.
La persona/titular de los datos, es lo que conoceremos partir de ahora como “el

interesado”.
¿Cuándo una persona es identificable? Cuando podamos determinar la

identidad directa o indirectamente a través de elementos que ayuden a
identificarla de manera única e inequívoca.
Por tanto tenemos que distinguir entre:
 Persona identificada: Toda persona cuya identidad está determinada

(nombre, apellidos, DNI, número de pasaporte).
 Persona identificable: Toda persona cuya identidad pueda
determinarse, ya sea directamente o indirectamente, mediante cualquier
información referida a su identidad física, fisiológica, psíquica,
económica, cultural o social.
 Una persona física no se considerará identificable si dicha identificación

requiere plazos o actividades desproporcionados.
Dato de interés
Por ejemplo, si obtenemos imágenes a través de una cámara de

videovigilancia, las imágenes recogidas, pertenecen a personas, que podemos
identificar o no. Si las imágenes se captan con una resolución y calidad que
nos permitan identificar a una persona, ésta sería una persona identificable, y
estaría dentro del ámbito de la ley.
Si las imágenes que se captan no tiene la calidad suficiente para permitir
identificar a una persona, estaremos en el caso contrario, ésta persona no sería
identificable.
Por tanto, un dato personal puede ser un identificador, un dato de

localización o un nombre, siempre y cuando sean capaces de identificar a la
persona (por ejemplo una dirección IP, una matrícula).
¿Los datos genéticos y biométricos se consideran dato personal? Si,

ambos permiten identificar a una persona.
 Un dato genético es aquel relativo a características genéticas

heredadas o adquiridas de una persona, que proporcionan información
única e inequívoca sobre la fisiología o la salud de la persona.
 Un dato biométrico es aquel obtenido a partir de un tratamiento técnico
y específico, relativo a las características físicas, fisiológicas o
conductuales de una persona, de manera que permitan identificarla de
manera única, como imágenes faciales o datos dactiloscópicos (huella).
¿Cómo atender el ejercicio de derechos?
Con carácter general, el RGPD exige a los Responsables del tratamiento que
faciliten a los interesados el ejercicio de sus derechos.
El interesado tendrá derecho a obtener en todo momento una información

clara y transparente. Esto supone que los procedimientos y formas de
realizarlo deben ser sencillos, accesibles, visibles y sencillos.
Aclaración
El Reglamento no establece un modo concreto para el ejercicio de derechos,

pero sí requiere a los Responsables del tratamiento que posibiliten la
presentación de solicitudes por medios electrónicos, especialmente cuando el
tratamiento se realiza por esos medios. Esta obligación exige articular
procedimientos que permitan fácilmente que los interesados puedan acreditar
que han ejercido sus derechos por medios electrónicos.
Se deberán tomar todas las medidas razonables para verificar la identidad de
quienes soliciten acceso y, en general, de quienes ejerzan los derechos.
Por ejemplo desde la página web corporativa implementar un formulario de

derechos, de manera que el interesado con tan solo cubrir el mismo, pueda
solicitar el ejercicio del derecho correspondiente.
Gratuidad
El Reglamento prevé también que el ejercicio de derechos será gratuito para

el interesado.
Aclaración
El criterio de gratuidad puede no seguirse en casos en los cuales se formulen

solicitudes manifiestamente excesivas y/o infundadas,
especialmente repetitivas. Es entonces cuando el Responsable del tratamiento
puede cobrar un canonque compense los costes de atender a la petición o
negarse a la misma.
El Responsable del tratamiento es el que debe demostrar ese carácter
infundado o excesivo.
El canon no podría implicar un ingreso adicional para el Responsable del
tratamiento, sino que deberá corresponderse con el verdadero coste de la
tramitación de la solicitud.
Plazos por contestar
El Responsable del tratamiento debe informar al interesado sobre las

actuaciones que se deriven de su petición en el plazo de un mes. Dicho plazo,
podrá extenderse dos meses más cuando se trate de solicitudes
especialmente complejas.
Si se acuerda aplazar la contestación, el Responsable del tratamiento debe

notificarlo durante el primer mes. Si el responsable decide no atender la
solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de
un mes desde su presentación.
Aclaración
El responsable que trate una gran cantidad de información sobre un interesado

podrá pedir a éste que especifique la información a que se refiere su solicitud
de acceso.
El responsable podrá contar con la colaboración de los Encargados de
tratamiento para atender al ejercicio de derechos de los interesados, pudiendo
incluir esta colaboración en el contrato de encargo de tratamiento.
¿Cómo deben ejercer los derechos?

Como estamos viendo, el Responsable del tratamiento está obligado a cumplir
una serie de normas, de igual modo, el interesado que ejerce un derecho,
debe cumplir una serie de aspectos que son necesarios para garantizar la
confidencialidad y seguridad de los datos que el Responsable del tratamiento le
comunicará:
 Deben ser ejercidos directamente por el interesado ante el

Responsable del tratamiento. Si se actúa en nombre de otra persona es
necesario acreditar que nos ha autorizado a representarla.
 Para ejercer los derechos es imprescindible que el ciudadano se dirija
en primer lugar a la entidad que está tratando sus datos utilizando
cualquier medio que permita acreditar el envío y la recepción de la
solicitud. Si la entidad no responde a la petición realizada en el plazo
establecido por ley o el ciudadano considera que la respuesta que recibe
no es la adecuada, puede solicitar que la Autoridad de Control (Agencia
Española de Protección de Datos) tutele su derecho frente al
Responsable.
 Son derechos independientes, por lo que no es necesario ejercitar en
primer lugar el derecho de acceso para poder rectificar o cancelar.
El contenido de la solicitud debe incluir:
 El nombre y apellidos del interesado.

 Detalle de la petición que se realiza.
 Dirección a efectos de notificaciones.

 Fecha y firma del solicitante.
 Documentos acreditativos de la petición que formula si fuera necesario.
 Fotocopia de su documento nacional de identidad, pasaporte u otro

documento válido que lo identifique y, si fuera necesario, de la persona
que lo represente, así como el documento o instrumento electrónico
acreditativo de tal representación.
Derecho de oposición
El interesado tendrá derecho a oponerse en cualquier momento a que sus

datos sean tratados.
El responsable del tratamiento debe dejar de tratar los datos personales, salvo
que acredite motivos legítimos para no acceder a la solicitud, que
prevalezcan sobre los motivos del interesado, o que sean necesarios para la
defensa de reclamaciones.
Aclaración
 Cuando el tratamiento de los datos tenga como finalidad

la mercadotecnia y/o elaboración de perfiles, el interesado podrá
oponerse en el mismo momento en el que sus datos son solicitados, sin
necesidad de justificación ni causa. En éste caso (mercadotecnia y/o
elaboración de perfiles), el Responsable del tratamiento debe disponer
y facilitar la información de manera clara y al margen de cualquier otra
finalidad, además de proveer de medios fáciles e intuitivos para ejercer
el derecho de oposición.
 Cuando los datos personales se traten con fines de investigación
científica o histórica o fines estadísticos, el interesado tendrá
derecho, por motivos relacionados con su situación particular, a
oponerse al tratamiento de datos personales que le conciernan, salvo
que sea necesario para el cumplimiento de una misión realizada por
razones de interés público.
Ejemplo: Seguro que en más de una ocasión, su entidad bancaria aprovecha

el envío de los temidos recibos domiciliados para enviarle información
comercial sobre créditos concedidos para la compra de ese fabuloso vehículo,
tarjetas que no le costarán nada y tan solo debe usarlas… ¿No está hart@ de
recibir esta publicidad?, pero claro, es su banco ¿verdad?, pues use el derecho
de oposición a recibir información comercial, ¡ojo!, esto no quiere decir que no
le envíen información sobre su cuenta, recibos, cobros y pagos; solo se opone
a recibir la información no imprescindible, la comercial.
Derecho a la no existencia de decisiones basadas en tratamientos

automatizados
Se trata de un derecho que en pleno siglo XXI tiene mucha

trascendencia debido a “cosas” como el Big Data.
El interesado tendrá derecho a no ser objeto de una elaboración de

perfiles cuya finalidad sea adoptar decisiones individuales basadas en un
tratamiento automatizado de datos y destinadas a evaluar, analizar o predecir
aspectos personales del mismo.
Aclaración
Elaboración de perfiles consiste, en cualquier forma de tratamiento de los datos

personales que evalúe aspectos personales relativos a una persona física, en
particular para analizar o predecir aspectos relacionados con el rendimiento en
el trabajo, la situación económica, la salud, las preferencias o intereses
personales, la fiabilidad o el comportamiento, la situación o los movimientos del
interesado, en la medida en que produzca efectos jurídicos en él o le afecte
significativamente de modo similar.
Este derecho se exceptúa cuando la decisión que pueda ser tomada a

consecuencia de la misma esté autorizada mediante:
 El consentimiento explícito del interesado.

 Un contrato entre el Responsable y el interesado.
 Un tratamiento fundamentado en la legislación vigente
Ejemplo: Algunas webs de productos, como las de vehículos, recogen la

actividad el usuario cuando navega por la web (las famosas cookies) y guarda
información sobre lo que visita, lo que más visita, donde hace click, donde se
para y dedica más tiempo, qué opciones del coche chequea, qué colores suele
visitar más, qué tipo de carrocería visita más y un largo etc. que mediante una
herramienta de marketing, permite a la empresa tener un perfil concreto del
usuario de la web. Con todos estos datos, la empresa puede realizar publicidad
adecuada al perfil, basada en decisiones automatizadas.
Derecho a indemnización
Si se produce un daño o perjuicio material o inmaterial, como consecuencia

de una infracción y/o vulneración del Reglamento, el interesado tendrá derecho
a solicitar una indemnización ante el Responsable del tratamiento.
Aclaración
 Cuando en el tratamiento participen más de un Responsable de

tratamiento o Encargado de tratamiento, cada uno será considerado
responsable de la totalidad del perjuicio ocasionado ante el interesado,
debiendo discernir entre ellos el grado de responsabilidad que le toca a
cada uno.
 Por definición, cualquier violación de un derecho
fundamental produce por definición un daño inmaterial, porque afecta a
mi dignidad.
Derecho a reclamar ante la autoridad de control
El interesado tendrá derecho estar informado por el Responsable de que puede

presentar una reclamación ante la Autoridad de control de cualquier Estado de
la UE, si considera que el tratamiento de sus datos personales no se ajusta a lo
dispuesto en el Reglamento.
Aclaración
El Reglamento define a la Autoridad de control, como la autoridad pública

independiente establecida por un Estado Miembro.
En España, esta autoridad pública es la Agencia Española de Protección de
Datos.
El interesado puede interponer un recurso judicial:
 Contra una Autoridad de control: El interesado tendrá derecho a un

recurso judicial efectivo en contra de la Autoridad de control cuando ésta
no de curso a una reclamación o no le haya informado en 3 meses.
 Contra un Responsable o Encargado del tratamiento: El interesado
tendrá derecho a un recurso judicial efectivo contra un Responsable o
Encargado del tratamiento cuando considere que el tratamiento de sus
datos personales no se ajusta a lo dispuesto en el Reglamento. Las
acciones contra éstos podrán ejercitarse ante los órganos jurídicos del
Estado de la UE donde resida el interesado, siempre y cuando no sea
una Autoridad pública que actúe en ejercicio de su poder público.
En el apartado 4 del tema 2 veremos detalladamente los siguientes derechos:
 Derecho de información.
 Derecho de acceso y rectificación.
 Derecho de suspensión (derecho al olvido).
 Derecho a la limitación del tratamiento.
 Derecho a la portabilidad de los datos.
Cumplimiento
Como ya hemos comentado anteriormente, el derecho a la protección de datos

personales deriva directamente del derecho fundamental a la intimidad,
recogido en el artículo 18.4 de la Constitución Española y reconocido por el
Tribunal Constitucional.
Además, el marco legislativo europeo también reconoce el derecho a la

protección de datos, obligando a todos los Estados miembros de la UE a
garantizarlo, concretamente dice (artículo 8 de la Carta de los Derechos
Fundamentales de la UE):
1. Toda persona tiene derecho a la protección de los datos de carácter

personal que le conciernen.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la
base del consentimiento de la persona afectada o en virtud de otro
fundamento legítimo previsto por la ley. Toda persona tiene derecho a
acceder a los datos recogidos que le conciernen y a su rectificación.
Por tanto se trata de un derecho que tiene toda persona, sin importar la

nacionalidad o residencia, a la protección de los datos de carácter personal que
la conciernan.
Seguimiento e indemnización
El principio de seguridad de datos establecido en la Directiva 95/46 sigue

vigente en el Reglamento, por el cual impone al responsable y encargado de
tratamiento a adoptar las medidas de índole técnica y organizativas necesarias
que garanticen la seguridad de los datos de carácter personal y eviten su
alteración, pérdida, tratamiento o acceso no autorizado durante toda la vida del
dato.
Las medidas de seguridad deben estar presentes en todas las fases del

tratamiento: obtención, acceso y tratamiento, comunicación, cesiones y
transferencias, transportes, entrada y salida, conservación y supresión.
ACTUACIÓN MEDIDAS DE SEGURIDAD
 Información y consentimiento en la recogida de datos, a

Obtención
 Control de acceso a equipos, dominio, red.

 Control mediante Identificación y autenticación.
Acceso y tratamiento  Control de acceso a locales, archivos, almacenes con
no de datos.
 Gestión entidades con acceso a datos; contratación y s

de tratamiento.
Comunicaciones, cesiones y
 Gestión entidades con acceso a datos; contratación y s
transferencias
de tratamiento.
 Autorizaciones de entrada y salida de soportes con dato

Transporte, entrada y salida  Control para el transporte de datos.
 Procedimientos para la conservación.

Conservación  Realización de copias de seguridad/respaldo.
 Procedimientos de destrucción.
Supresión  Mecanismos de seudonimización.
Recomendamos la elaboración y documentación de las medidas de seguridad,

procedimientos y protocolos mediante un documento de seguridad (como se
hacía en la LOPD), que recoja todos los procedimientos que garanticen el
cumplimiento del Reglamento.
En definitiva, debemos concienciarnos de que la pérdida o descontrol de

datos de carácter personal supone vulnerar el derecho fundamental a la
protección de datos del interesado y, por tanto, a fin de evitar tal vulneración y
la imposición de una sanción, debemos proteger los datos. No se trata de una
buena conducta, sino de una obligación impuesta legalmente, por ello es muy
importante concienciar al personal sobre la importancia de los datos con los
que trabajan, de sus obligaciones y de las consecuencias de no realizarlo
correctamente.
En el artículo 82 del Reglamento Europeo de Protección de Datos, en su
primer punto se indica que cualquier persona que sufra daños y perjuicios
materiales o inmateriales tendrá derecho a una indemnización por parte del
Responsable o el Encargado del tratamiento de los datos.
Las sanciones administrativas, y por lo tanto la cuantía de la indemnización,

dependerán de las circunstancias propias de cada caso, entre otras señaladas
en el artículo 83 del Reglamento:
 Naturaleza, gravedad y duración de la infracción.

 Intencionalidad o negligencia en la infracción.
La cuantía de la indemnización puede llegar a los 20 millones de euros como

máximo, o si se trata de una persona jurídica, el 4% como máximo del volumen
de negocio anual global.
Transferencias a terceros países
 Una transferencia Internacional de Datos es el traspaso de datos

personales a Responsables, Encargados o Destinatarios de terceros países u
Organizaciones internacionales no establecidos en la U.E.
Entrada en vigor y ámbito de aplicación
En el artículo 99 del Reglamento de protección de datos se especifica

claramente que dicho Reglamento entrará en vigor 20 días después de la
publicación en el Diario Oficial de la Unión Europea, que se realiza el 27 de
abril de 2016.
Por otro lado, será de aplicación el 25 de mayo de 2018 en todos los estados
miembros y obligatorio en todos sus elementos.
El Reglamento europeo de protección de datos, del 27 de abril de 2016, señala

en sus artículos 2 y 3 los ámbitos de aplicación de dicho reglamento.
Concretamente ámbito de aplicación material y ámbito de aplicación territorial,
respectivamente.
Artículo 2: Ámbito de aplicación material
1. El presente Reglamento se aplica al tratamiento total o parcialmente

automatizado de datos personales, así como al tratamiento no
automatizado de datos personales contenidos o destinados a ser
incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos
personales:
a. en el ejercicio de una actividad no comprendida en el ámbito de
aplicación del Derecho de la Unión;
b. por parte de los Estados miembros cuando lleven a cabo
actividades comprendidas en el ámbito de aplicación del
capítulo 2 del título V del TUE;
c. efectuado por una persona física en el ejercicio de actividades
exclusivamente personales o domésticas;
d. por parte de las autoridades competentes con fines de
prevención, investigación, detección o enjuiciamiento de
infracciones penales, o de ejecución de sanciones penales,
incluida la de protección frente a amenazas a la seguridad
pública y su prevención.
3. El Reglamento (CE) n.o 45/2001 es de aplicación al tratamiento de
datos de carácter personal por parte de las instituciones, órganos y
organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros
actos jurídicos de la Unión aplicables a dicho tratamiento de datos de
carácter personal se adaptarán a los principios y normas del presente
Reglamento de conformidad con su artículo 98.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación de
la Directiva 2000/31/CE, en particular sus normas relativas a la
responsabilidad de los prestadores de servicios intermediarios
establecidas en sus artículos 12 a 15.
Artículo 3: Ámbito de aplicación territorial
1. El presente Reglamento se aplica al tratamiento de datos personales en

el contexto de las actividades de un establecimiento del responsable o
del encargado en la Unión, independientemente de que el tratamiento
tenga lugar en la Unión o no. L 119/32 ES Diario Oficial de la Unión
Europea 4.5.2016.
2. El presente Reglamento se aplica al tratamiento de datos personales de
interesados que residan en la Unión por parte de un responsable o
encargado no establecido en la Unión, cuando las actividades de
tratamiento estén relacionadas con:
a. la oferta de bienes o servicios a dichos interesados en la Unión,
independientemente de si a estos se les requiere su pago;
b. el control de su comportamiento, en la medida en que este tenga
lugar en la Unión.
3. El presente Reglamento se aplica al tratamiento de datos personales por
parte de un responsable que no esté establecido en la Unión sino en un
lugar en que el Derecho de los Estados miembros sea de aplicación en
virtud del Derecho internacional público”.
Definiciones comunes
A efectos de la actual legislación en Protección de Datos LOPD 15/99 se

entenderá por:
 Datos de carácter personal:
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica

o de cualquier otro tipo concerniente a personas físicas identificadas
o identificables.
Es decir incluye no sólo los datos de tipo identificativo (Nombre y
Apellidos, DNI, Dirección, etc.), sino otro tipo de información como:
estado civil, fecha y lugar de nacimiento, edad, propiedades, formación
académica, profesión, datos bancarios, ingresos, rentas, etc.; lo cual
quiere decir que los datos personales son información, relacionada con
una persona en concreto.
 Persona identificable: toda persona cuya identidad pueda

determinarse, directa o indirectamente, mediante cualquier información
referida a su identidad física, fisiológica, psíquica, económica, cultural o
social. Una persona física no se considerará identificable si dicha
identificación requiere plazos o actividades desproporcionados.
 Tratamiento de datos: cualquier operación o procedimiento técnico, sea
o no automatizado, que implique la recogida, grabación, conservación,
elaboración, modificación, consulta, utilización, bloqueo, modificación, o
cancelación, así como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias.
 Fichero: todo conjunto organizado de datos de carácter personal, que
permita el acceso a los datos con arreglo a criterios determinados,
cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso.
 Fichero no automatizado: todo conjunto de datos de carácter personal
organizado de forma no automatizada y estructurado conforme a
criterios específicos relativos a personas físicas, que permitan acceder
sin esfuerzos desproporcionados a sus datos personales, ya sea aquél
centralizado, descentralizado o repartido de forma funcional o
geográfica.
 Responsable del fichero o del tratamiento: persona física o jurídica,
de naturaleza pública o privada, u órgano administrativo, que decida
sobre la finalidad, contenido y uso del tratamiento, aunque no lo
realizase materialmente.
En el caso de entes sin personalidad jurídica que actúen en el tráfico
como sujetos diferenciados, se considerará responsable del tratamiento
a la persona o personas integrantes de los mismos.
 Encargado del tratamiento: la persona física o jurídica, pública o
privada, u órgano administrativo que, solo o conjuntamente con otros,
trate datos personales por cuenta del responsable del tratamiento o del
responsable del fichero, como consecuencia de la existencia de una
relación jurídica que le vincula con el mismo y delimita el ámbito de su
actuación para la prestación de un servicio.
como sujetos diferenciados, se considerará encargado del tratamiento a
la persona o personas integrantes de los mismos.
 Afectado o interesado: persona física titular de los datos que sean
objeto del tratamiento.
 Tercero: la persona física o jurídica, pública o privada u órgano
administrativo distinta del afectado o interesado, del responsable del
tratamiento, del responsable del fichero, del encargado del tratamiento y
de las personas autorizadas para tratar los datos bajo la autoridad
directa del responsable del tratamiento o del encargado del tratamiento.
como sujetos diferenciados, se considerará tercero a la persona o
personas integrantes de los mismos.
 Consentimiento del interesado: toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen.
 1. «datos personales»: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un número
de identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona;
 2. «tratamiento»: cualquier operación o conjunto de operaciones realizadas
sobre datos personales o conjuntos de datos personales, ya sea por
procedimientos automatizados o no, como la recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción, consulta,
utilización, comunicación por transmisión, difusión o cualquier otra forma de
habilitación de acceso, cotejo o interconexión, limitación, supresión o
destrucción;
 3. «limitación del tratamiento»: el marcado de los datos de carácter personal
conservados con el fin de limitar su tratamiento en el futuro;
 4. «elaboración de perfiles»: toda forma de tratamiento automatizado de datos
personales consistente en utilizar datos personales para evaluar determinados
aspectos personales de una persona física, en particular para analizar o predecir
aspectos relativos al rendimiento profesional, situación económica, salud,
preferencias personales, intereses, fiabilidad, comportamiento, ubicación o
movimientos de dicha persona física;
 5. «seudonimización»: el tratamiento de datos personales de manera tal que ya
no puedan atribuirse a un interesado sin utilizar información adicional, siempre
que dicha información adicional figure por separado y esté sujeta a medidas
técnicas y organizativas destinadas a garantizar que los datos personales no se
atribuyan a una persona física identificada o identificable;
 6. «fichero»: todo conjunto estructurado de datos personales, accesibles con
arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido
de forma funcional o geográfica;
 7. «responsable del tratamiento» o «responsable»: la persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento; si el Derecho de la Unión o de los
Estados miembros determina los fines y medios del tratamiento, el responsable
del tratamiento o los criterios específicos para su nombramiento podrá
establecerlos el Derecho de la Unión o de los Estados miembros;
 8. «encargado del tratamiento» o «encargado»: la persona física o jurídica,
autoridad pública, servicio u otro organismo que trate datos personales por
cuenta del responsable del tratamiento;
 9. «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro
organismo al que se comuniquen datos personales, se trate o no de un tercero.
No obstante, no se considerarán destinatarios las autoridades públicas que
puedan recibir datos personales en el marco de una investigación concreta de
conformidad con el Derecho de la Unión o de los Estados miembros; el
tratamiento de tales datos por dichas autoridades públicas será conforme con las
normas en materia de protección de datos aplicables a los fines del tratamiento;
 10. «tercero»: persona física o jurídica, autoridad pública, servicio u organismo
distinto del interesado, del responsable del tratamiento, del encargado del
tratamiento y de las personas autorizadas para tratar los datos personales bajo la
autoridad directa del responsable o del encargado;
 11. «consentimiento del interesado»: toda manifestación de voluntad libre,
específica, informada e inequívoca por la que el interesado acepta, ya sea
mediante una declaración o una clara acción afirmativa, el tratamiento de datos
personales que le conciernen;
 12.«violación de la seguridad de los datos personales»: toda violación de la
seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de
datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos;
 13. «datos genéticos»: datos personales relativos a las características genéticas
heredadas o adquiridas de una persona física que proporcionen una información
única sobre la fisiología o la salud de esa persona, obtenidos en particular del
análisis de una muestra biológica de tal persona;
 14. «datos biométricos»: datos personales obtenidos a partir de un tratamiento
técnico específico, relativos a las características físicas, fisiológicas o
conductuales de una persona física que permitan o confirmen la identificación
única de dicha persona, como imágenes faciales o datos dactiloscópicos;
   15. «datos relativos a la salud»: datos personales relativos a la

salud física o mental de una persona física, incluida la prestación de
servicios de atención sanitaria, que revelen información sobre su estado
de salud;
 16.«establecimiento principal»:
a. en lo que se refiere a un responsable del tratamiento con
establecimientos en más de un Estado miembro, el lugar de su
administración central en la Unión, salvo que las decisiones sobre
los fines y los medios del tratamiento se tomen en otro
establecimiento del responsable en la Unión y este último
establecimiento tenga el poder de hacer aplicar tales decisiones,
en cuyo caso el establecimiento que haya adoptado tales
decisiones se considerará establecimiento principal;
b. en lo que se refiere a un encargado del tratamiento con
administración central en la Unión o, si careciera de esta, el
establecimiento del encargado en la Unión en el que se realicen
las principales actividades de tratamiento en el contexto de las
actividades de un establecimiento del encargado en la medida en
que el encargado esté sujeto a obligaciones específicas con
arreglo al presente Reglamento;
 17. «representante»: persona física o jurídica establecida en la Unión
que, habiendo sido designada por escrito por el responsable o el
encargado del tratamiento con arreglo al artículo 27, represente al
responsable o al encargado en lo que respecta a sus respectivas
obligaciones en virtud del presente Reglamento;
 18.«empresa»: persona física o jurídica dedicada a una actividad
económica, independientemente de su forma jurídica, incluidas las
sociedades o asociaciones que desempeñen regularmente una actividad
económica;
 19.«grupo empresarial»: grupo constituido por una empresa que ejerce
el control y sus empresas controladas;
 20. «normas corporativas vinculantes»: las políticas de protección de
datos personales asumidas por un responsable o encargado del
tratamiento establecido en el territorio de un Estado miembro para
transferencias o un conjunto de transferencias de datos personales a un
responsable o encargado en uno o más países terceros, dentro de un
grupo empresarial o una unión de empresas dedicadas a una actividad
económica conjunta;
 21. «autoridad de control»: la autoridad pública independiente
establecida por un Estado miembro con arreglo a lo dispuesto en el
artículo 51;
 22. «autoridad de control interesada»: la autoridad de control a la que
afecta el tratamiento de datos personales debido a que: a) el
responsable o el encargado del tratamiento está establecido en el
territorio del Estado miembro de esa autoridad de control; b) los
interesados que residen en el Estado miembro de esa autoridad de
control se ven sustancialmente afectados o es probable que se vean
sustancialmente afectados por el tratamiento, o c) se ha presentado una
reclamación ante esa autoridad de control;
 23. «tratamiento transfronterizo»: a) el tratamiento de datos
personales realizado en el contexto de las actividades de
establecimientos en más de un Estado miembro de un responsable o un
encargado del tratamiento en la Unión, si el responsable o el encargado
está establecido en más de un Estado miembro, o b) el tratamiento de
datos personales realizado en el contexto de las actividades de un único
establecimiento de un responsable o un encargado del tratamiento en la
Unión, pero que afecta sustancialmente o es probable que afecte
sustancialmente a interesados en más de un Estado miembro;
 24. «objeción pertinente y motivada»: la objeción a una propuesta de
decisión sobre la existencia o no de infracción del presente Reglamento,
o sobre la conformidad con el presente Reglamento de acciones
previstas en relación con el responsable o el encargado del tratamiento,
que demuestre claramente la importancia de los riesgos que entraña el
proyecto de decisión para los derechos y libertades fundamentales de
los interesados y, en su caso, para la libre circulación de datos
personales dentro de la Unión;
 25. «servicio de la sociedad de la información»: todo servicio
conforme a la definición del artículo 1, apartado 1, letra b), de la
Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (1);
 26. «organización internacional»: una organización internacional y sus
entes subordinados de Derecho internacional público o cualquier otro
organismo creado mediante un acuerdo entre dos o más países o en
virtud de tal acuerdo.
 atos de carácter personal:
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica

o de cualquier otro tipo concerniente a personas físicas identificadas
o identificables.
Es decir incluye no sólo los datos de tipo identificativo (Nombre y
Apellidos, DNI, Dirección, etc.), sino otro tipo de información como:
estado civil, fecha y lugar de nacimiento, edad, propiedades, formación
académica, profesión, datos bancarios, ingresos, rentas, etc.; lo cual
quiere decir que los datos personales son información, relacionada con
una persona en concreto.
 Persona identificable: toda persona cuya identidad pueda

determinarse, directa o indirectamente, mediante cualquier información
referida a su identidad física, fisiológica, psíquica, económica, cultural o
social. Una persona física no se considerará identificable si dicha
identificación requiere plazos o actividades desproporcionados.
 Tratamiento de datos: cualquier operación o procedimiento técnico, sea
o no automatizado, que implique la recogida, grabación, conservación,
elaboración, modificación, consulta, utilización, bloqueo, modificación, o
cancelación, así como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias.
 Fichero: todo conjunto organizado de datos de carácter personal, que
permita el acceso a los datos con arreglo a criterios determinados,
cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso.
 Fichero no automatizado: todo conjunto de datos de carácter personal
organizado de forma no automatizada y estructurado conforme a
criterios específicos relativos a personas físicas, que permitan acceder
sin esfuerzos desproporcionados a sus datos personales, ya sea aquél
centralizado, descentralizado o repartido de forma funcional o
geográfica.
 Responsable del fichero o del tratamiento: persona física o jurídica,
de naturaleza pública o privada, u órgano administrativo, que decida
sobre la finalidad, contenido y uso del tratamiento, aunque no lo
realizase materialmente.
como sujetos diferenciados, se considerará responsable del tratamiento
a la persona o personas integrantes de los mismos.
 Encargado del tratamiento: la persona física o jurídica, pública o
privada, u órgano administrativo que, solo o conjuntamente con otros,
trate datos personales por cuenta del responsable del tratamiento o del
responsable del fichero, como consecuencia de la existencia de una
relación jurídica que le vincula con el mismo y delimita el ámbito de su
actuación para la prestación de un servicio.
como sujetos diferenciados, se considerará encargado del tratamiento a
la persona o personas integrantes de los mismos.
 Afectado o interesado: persona física titular de los datos que sean
objeto del tratamiento.
 Tercero: la persona física o jurídica, pública o privada u órgano
administrativo distinta del afectado o interesado, del responsable del
tratamiento, del responsable del fichero, del encargado del tratamiento y
de las personas autorizadas para tratar los datos bajo la autoridad
directa del responsable del tratamiento o del encargado del tratamiento.
como sujetos diferenciados, se considerará tercero a la persona o
 Consentimiento del interesado: toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen.
 Cancelación: procedimiento en virtud del cual el responsable cesa en el
uso de los datos. La cancelación implicará el bloqueo de los datos,
consistente en la identificación y reserva de los mismos con el fin de
impedir su tratamiento excepto para su puesta a disposición de las
Administraciones públicas, Jueces y Tribunales, para la atención de las
posibles responsabilidades nacidas del tratamiento y sólo durante el
plazo de prescripción de dichas responsabilidades. Transcurrido ese
plazo deberá procederse a la supresión de los datos.
 Datos de carácter personal relacionados con la salud: las
informaciones concernientes a la salud pasada, presente y futura, física
o mental, de un individuo. En particular, se consideran datos
relacionados con la salud de las personas los referidos a su porcentaje
de discapacidad y a su información genética.
 Cesión o comunicación de datos: tratamiento de datos que supone su
revelación a una persona distinta del interesado.
 Exportador de datos personales: la persona física o jurídica, pública o
privada, u órgano administrativo situado en territorio español y
responsable del tratamiento de los datos de carácter personal que son
objeto de transferencia internacional a un país tercero.
 Importador de datos personales: la persona física o jurídica, pública o
privada, u órgano administrativo receptor de los datos en caso de
transferencia internacional de los mismos a un tercer país, ya sea
responsable del tratamiento, encargada del tratamiento o tercero.
 Dato disociado: aquél que no permite la identificación de un afectado o
interesado.
 Procedimiento de disociación: todo tratamiento de datos personales
que permita la obtención de datos disociados.
 Bloqueo: la identificación y reserva de datos de carácter personal con el
fin de impedir su tratamiento excepto por parte de las Administraciones
públicas, Jueces y Tribunales para la atención de las posibles
responsabilidades nacidas del tratamiento y sólo durante el plazo de
prescripción de dichas responsabilidades.
 Supresión: la eliminación física de los datos de carácter personal
bloqueados una vez cumplido el plazo de prescripción de las posibles
responsabilidades nacidas del tratamiento durante el cual se guardaron
bloqueados.
 Ficheros de titularidad pública: los ficheros de los que sean
responsables los Órganos constitucionales o con relevancia
constitucional del Estado o las Instituciones Autonómicas con funciones
análogas a las mismas, las Administraciones Públicas Territoriales, las
entidades u organismos dependientes de las mismas con personalidad
jurídico pública y sometidas al derecho administrativo y las
Corporaciones de derecho público, exclusivamente en cuanto dichos
ficheros se encuentren estrictamente vinculados al ejercicio de las
potestades de derecho público que a las mismas atribuye su normativa
específica.
 Ficheros de titularidad privada: los ficheros de los que sean
responsables las entidades sometidas al derecho privado, no vinculados
en ningún caso con el ejercicio de potestades de derecho público,
incluyendo aquellos de los que sean responsables las fundaciones no
sanitarias del sector público, las sociedades del sector público
empresarial del Estado, Comunidades Autónomas, Provincias o
Municipios, con independencia de su estructura accionarial, y las
Corporaciones de derecho público, en cuanto dichos ficheros no se
encuentren estrictamente vinculados al ejercicio de las potestades de
derecho público que a las mismas atribuye su normativa específica.
 Sistema de tratamiento: modo en que se organiza o utiliza un sistema
de información. Atendiendo al sistema de tratamiento, los sistemas de
información podrán ser automatizados, no automatizados o parcialmente
automatizados.
 Identificación: procedimiento de reconocimiento de la identidad de un
usuario.
 Autenticación: procedimiento de comprobación de la identidad de un
usuario.
 Ficheros temporales: ficheros de trabajo creados por usuarios o
procesos que son necesarios para un tratamiento ocasional o como
paso intermedio durante la realización de un tratamiento.
 Soporte: objeto físico que almacena o contiene datos, u objeto
susceptible de ser tratado en un sistema de información y sobre el cual
se pueden grabar y recuperar datos.
 Responsable de seguridad: persona o personas a las que el
responsable del fichero ha asignado formalmente la función de coordinar
y controlar las medidas de seguridad aplicables.
 Destinatario o cesionario: la persona física o jurídica, pública o privada
u órgano administrativo, al que se revelen los datos.
como sujetos diferenciados, se considerará destinatario a la persona o
 Transferencia internacional de datos a países terceros: tratamiento
de datos que supone una transmisión de los mismos fuera del territorio
del Espacio Económico Europeo , bien constituya una cesión o
comunicación de datos, bien tenga por objeto la realización de un
tratamiento de datos por cuenta del responsable del fichero establecido
en territorio español.
 Copia de respaldo: copia de los datos de un fichero automatizado en un
soporte que posibilite su recuperación.
 Transmisión de documentos: cualquier traslado, comunicación, envío,
entrega o divulgación de la información contenida en el mismo.
 Usuario: sujeto o proceso autorizado para acceder a datos o recursos.
Tendrán la consideración de usuarios los procesos que permitan
acceder a datos o recursos sin identificación de un usuario físico.
 DNI electrónico: es el documento que acredita física y digitalmente la
identidad personal de su titular y permite la firma electrónica de
documentos.
 Firma electrónica: es el conjunto de datos en forma electrónica,
consignados junto a otros o asociados con ellos, que pueden ser
utilizados como medio de identificación personal.
 Firma electrónica avanzada: es aquella firma electrónica que permite
establecer la identidad personal del suscriptor respecto de los datos
firmados y comprobar la integridad de los mismos, por estar vinculada
de manera exclusiva tanto al suscriptor, como a los datos a que se
refiere, y por haber sido creada por medios que mantiene bajo su
exclusivo control.
 Firma electrónica reconocida: es aquella firma electrónica avanzada
basada en un certificado reconocido y generada mediante un dispositivo
seguro de creación de firma.
 Clave Pública y Clave Privada: la criptografía asimétrica en la que se
basa la PKI emplea un par de claves en la que lo que se cifra con una de
ellas sólo se puede descifrar con la otra y viceversa. A una de esas
claves se la denomina pública y se la incluye en el certificado
electrónico, mientras que a la otra se la denomina privada y únicamente
es conocida por el titular del certificado.
 Clave Personal de Acceso (PIN): secuencia de caracteres que
permiten el acceso a los certificados.
 Dispositivo seguro de creación de Firma: instrumento que sirve para
aplicar los datos de creación de firma cumpliendo con los requisitos que
establece el artículo 24.3 de la Ley 59/2003, de 19 de diciembre, de
Firma Electrónica.
 Documento electrónico: conjunto de registros lógicos almacenado en
soporte susceptible de ser leído por equipos electrónicos de
procesamiento de datos, que contiene información.
 Función hash: es una operación que se realiza sobre un conjunto de
datos de cualquier tamaño, de forma que el resultado obtenido es otro
conjunto de datos de tamaño fijo, independientemente del tamaño
original, y que tiene la propiedad de estar asociado unívocamente a los
datos iniciales, es decir, es imposible encontrar dos mensajes distintos
que generen el mismo resultado al aplicar la Función hash.
 Hash o Huella digital: resultado de tamaño fijo que se obtiene tras
aplicar una función hash a un mensaje y que cumple la propiedad de
estar asociado unívocamente a los datos iniciales.
 Listas de Revocación de Certificados o Listas de Certificados
Revocados: lista donde figuran exclusivamente las relaciones de
certificados revocados o suspendidos (no los caducados).
 Prestador de Servicios de Certificación: persona física o jurídica que
expide certificados electrónicos o presta otros servicios en relación con
la firma electrónica.
 Derecho de Acceso: Derecho del interesado a solicitar y obtener
gratuitamente información de sus datos de carácter personal incluidos
en ficheros sometidos a tratamiento, conocer el origen de dichos datos,
así como las comunicaciones realizadas o que se prevén hacer de los
mismos.
 Derecho de Cancelación y Rectificación: Facultad del interesado por
la que puede instar al responsable del fichero a cumplir con la obligación
de mantener la exactitud y adecuación de los datos. A tal efecto, puede
solicitar del responsable la rectificación, o en su caso, la cancelación de
los mismos.
 Derecho de Oposición: En aquellos casos en los que no sea necesario
el consentimiento del afectado para el tratamiento de los datos de
carácter personal, y siempre que una Ley no disponga lo contrario, éste
podrá oponerse a su tratamiento cuando existan motivos fundados y
legítimos relativos a una concreta situación personal.
A efectos del nuevo reglamento se entendera:
 1. «datos personales»: toda información sobre una persona física

identificada o identificable («el interesado»); se considerará persona
física identificable toda persona cuya identidad pueda determinarse,
directa o indirectamente, en particular mediante un identificador, como
por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios
de la identidad física, fisiológica, genética, psíquica, económica, cultural
o social de dicha persona;
 2. «tratamiento»: cualquier operación o conjunto de operaciones
realizadas sobre datos personales o conjuntos de datos personales, ya
sea por procedimientos automatizados o no, como la recogida, registro,
organización, estructuración, conservación, adaptación o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión,
limitación, supresión o destrucción;
 3. «limitación del tratamiento»: el marcado de los datos de carácter
personal conservados con el fin de limitar su tratamiento en el futuro;
 4. «elaboración de perfiles»: toda forma de tratamiento automatizado
de datos personales consistente en utilizar datos personales para
evaluar determinados aspectos personales de una persona física, en
particular para analizar o predecir aspectos relativos al rendimiento
profesional, situación económica, salud, preferencias personales,
intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha
persona física;
 5. «seudonimización»: el tratamiento de datos personales de manera
tal que ya no puedan atribuirse a un interesado sin utilizar información
adicional, siempre que dicha información adicional figure por separado y
esté sujeta a medidas técnicas y organizativas destinadas a garantizar
que los datos personales no se atribuyan a una persona física
identificada o identificable;
 6. «fichero»: todo conjunto estructurado de datos personales,
accesibles con arreglo a criterios determinados, ya sea centralizado,
descentralizado o repartido de forma funcional o geográfica;
 7. «responsable del tratamiento» o «responsable»: la persona física o
jurídica, autoridad pública, servicio u otro organismo que, solo o junto
con otros, determine los fines y medios del tratamiento; si el Derecho de
la Unión o de los Estados miembros determina los fines y medios del
tratamiento, el responsable del tratamiento o los criterios específicos
para su nombramiento podrá establecerlos el Derecho de la Unión o de
los Estados miembros;
 8. «encargado del tratamiento» o «encargado»: la persona física o
jurídica, autoridad pública, servicio u otro organismo que trate datos
personales por cuenta del responsable del tratamiento;
 9. «destinatario»: la persona física o jurídica, autoridad pública, servicio
u otro organismo al que se comuniquen datos personales, se trate o no
de un tercero. No obstante, no se considerarán destinatarios las
autoridades públicas que puedan recibir datos personales en el marco
de una investigación concreta de conformidad con el Derecho de la
Unión o de los Estados miembros; el tratamiento de tales datos por
dichas autoridades públicas será conforme con las normas en materia
de protección de datos aplicables a los fines del tratamiento;
 10. «tercero»: persona física o jurídica, autoridad pública, servicio u
organismo distinto del interesado, del responsable del tratamiento, del
encargado del tratamiento y de las personas autorizadas para tratar los
datos personales bajo la autoridad directa del responsable o del
encargado;
 11. «consentimiento del interesado»: toda manifestación de voluntad
libre, específica, informada e inequívoca por la que el interesado acepta,
ya sea mediante una declaración o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen;
 12.«violación de la seguridad de los datos personales»: toda
violación de la seguridad que ocasione la destrucción, pérdida o
alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos;
 13. «datos genéticos»: datos personales relativos a las características
genéticas heredadas o adquiridas de una persona física que
proporcionen una información única sobre la fisiología o la salud de esa
persona, obtenidos en particular del análisis de una muestra biológica de
tal persona;
 14. «datos biométricos»: datos personales obtenidos a partir de un
tratamiento técnico específico, relativos a las características físicas,
fisiológicas o conductuales de una persona física que permitan o
confirmen la identificación única de dicha persona, como imágenes
faciales o datos dactiloscópicos;
 15. «datos relativos a la salud»: datos personales relativos a la salud
física o mental de una persona física, incluida la prestación de servicios
de atención sanitaria, que revelen información sobre su estado de salud;
 16.«establecimiento principal»:
o en lo que se refiere a un responsable del tratamiento con
administración central en la Unión, salvo que las decisiones sobre
los fines y los medios del tratamiento se tomen en otro
establecimiento del responsable en la Unión y este último
establecimiento tenga el poder de hacer aplicar tales decisiones,
en cuyo caso el establecimiento que haya adoptado tales
decisiones se considerará establecimiento principal;
o en lo que se refiere a un encargado del tratamiento con
administración central en la Unión o, si careciera de esta, el
establecimiento del encargado en la Unión en el que se realicen
las principales actividades de tratamiento en el contexto de las
actividades de un establecimiento del encargado en la medida en
que el encargado esté sujeto a obligaciones específicas con
arreglo al presente Reglamento;
 17. «representante»: persona física o jurídica establecida en la Unión
que, habiendo sido designada por escrito por el responsable o el
encargado del tratamiento con arreglo al artículo 27, represente al
responsable o al encargado en lo que respecta a sus respectivas
obligaciones en virtud del presente Reglamento;
 18.«empresa»: persona física o jurídica dedicada a una actividad
económica, independientemente de su forma jurídica, incluidas las
sociedades o asociaciones que desempeñen regularmente una actividad
económica;
 19.«grupo empresarial»: grupo constituido por una empresa que ejerce
el control y sus empresas controladas;
 20. «normas corporativas vinculantes»: las políticas de protección de
datos personales asumidas por un responsable o encargado del
tratamiento establecido en el territorio de un Estado miembro para
transferencias o un conjunto de transferencias de datos personales a un
responsable o encargado en uno o más países terceros, dentro de un
grupo empresarial o una unión de empresas dedicadas a una actividad
económica conjunta;
 21. «autoridad de control»: la autoridad pública independiente
establecida por un Estado miembro con arreglo a lo dispuesto en el
artículo 51;
 22. «autoridad de control interesada»: la autoridad de control a la que
afecta el tratamiento de datos personales debido a que: a) el
responsable o el encargado del tratamiento está establecido en el
territorio del Estado miembro de esa autoridad de control; b) los
interesados que residen en el Estado miembro de esa autoridad de
control se ven sustancialmente afectados o es probable que se vean
sustancialmente afectados por el tratamiento, o c) se ha presentado una
reclamación ante esa autoridad de control;
 23. «tratamiento transfronterizo»: a) el tratamiento de datos
personales realizado en el contexto de las actividades de
establecimientos en más de un Estado miembro de un responsable o un
encargado del tratamiento en la Unión, si el responsable o el encargado
está establecido en más de un Estado miembro, o b) el tratamiento de
datos personales realizado en el contexto de las actividades de un único
establecimiento de un responsable o un encargado del tratamiento en la
Unión, pero que afecta sustancialmente o es probable que afecte
sustancialmente a interesados en más de un Estado miembro;
 24. «objeción pertinente y motivada»: la objeción a una propuesta de
decisión sobre la existencia o no de infracción del presente Reglamento,
o sobre la conformidad con el presente Reglamento de acciones
previstas en relación con el responsable o el encargado del tratamiento,
que demuestre claramente la importancia de los riesgos que entraña el
proyecto de decisión para los derechos y libertades fundamentales de
los interesados y, en su caso, para la libre circulación de datos
personales dentro de la Unión;
 25. «servicio de la sociedad de la información»: todo servicio
conforme a la definición del artículo 1, apartado 1, letra b), de la
Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (1);
 26. «organización internacional»: una organización internacional y sus
entes subordinados de Derecho internacional público o cualquier otro
organismo creado mediante un acuerdo entre dos o más países o en
virtud de tal acuerdo.
Principios relativos al tratamiento de datos personales
Si pudiéramos resumir el nuevo Reglamento en unas pocas palabras diríamos

que busca la responsabilidad proactiva y no reactiva de todos los
Responsables, Encargados y personas que en algún momento de la vida del
dato personal tratan con él.
A través del principio de responsabilidad proactiva, debemos implantar

medidas que garanticen y permitan demostrar el cumplimiento del Reglamento
a través de medias, procedimientos, protocolos de seguridad adaptadas a las
necesidades de la entidad.
 Ser proactivos y no reactivos significa que no esperemos a que pase

algo para tomar medidas, tomemos medidas para que no pase ese “algo”.
Definición
El cumplimiento del Accountability se basa en el buen hacer desde el mismo

momento en el cual empezamos a pensar en el desarrollo de un proyecto por el
cual vamos a recoger, tratar, almacenar y registrar, modificar, consultar,
comunicación, ceder, transmitir…
Aunque en otras lecciones del curso vamos a ver en detalle los procedimientos,
funciones y obligaciones del responsable del tratamiento, del DPO, medidas de
seguridad, vamos a ver de manera resumida los principios básicos y más
significativos del Reglamento.
Diferencias entre LOPD 15/99 y Reglamento Europeo 2016/679
Como ya sabemos, hasta la entrada en vigor del nuevo Reglamento europeo

2016/679, los estados miembros de la U.E. se rigen por sus propias
normativas en Protección de Datos, en nuestro caso son:
 Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de

Carácter Personal.
 Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999 de 13 de
diciembre de Protección de Datos de Carácter Personal.
 Ley 34/2002, de 11 de julio, de servicios de la sociedad de la
información y de comercio electrónico.
La introducción de las novedades va a suponer que cualquier empresa

independientemente del tipo de organización empresarial, tamaño, actividad y
sector, tengan que revisar sus actuaciones en materia de protección de
datos, para adaptarlas y adecuarlas a los nuevos requerimientos, así como
contar con el soporte y recursos para realizar correctamente la adecuación y
mantenimiento.
En el siguiente enlace se muestran las diferencias más notables entre la

actual Ley Orgánica 15/99 de Protección de Datos y el Reglamento
europeo 2016/679.
Principios y calidad de los datos
Los datos personales que vayan a ser tratados, deben solicitarse al interesado
de manera lícita, leal y transparente, deben ser adecuados, pertinentes,
limitados, exactos y actualizados, adoptando las medidas de
seguridad necesarias para que se atiendan sin dilación los derechos de los
interesados, mantenidos durante el tiempo necesario y garantizando la
seguridad, confidencialidad y honor de los mismos.
Debemos garantizar al interesado los siguientes aspectos relativos a sus

datos personales:
 Licitud: lealtad y transparencia con el interesado.

 Limitación de los fines: recogidos con fines determinados, detallarlos d
de manera clara y no tratados posteriormente de manera incompatible
con dichos fines.
 Minimización de los datos: adecuados, pertinentes y limitados a lo
necesario en relación con los fines para los que son tratados.
 Exactitud: actualizados sin demora con respecto a los fines para los que
se tratan.
 Limitación del plazo de conservación: mantenidos de forma que se
permita la identificación de los interesados durante no más tiempo del
necesario para los fines por los que se tratan. Excepto si el tratamiento
se realiza exclusivamente para fines de archivo en interés público o para
investigación histórica, estadística o científica.
 Integridad y confidencialidad: implementando medidas técnicas y
organizativas adecuadas para proteger los datos contra tratamientos no
autorizados o ilícitos y su pérdida, destrucción o daño accidentales.
 Responsabilidad proactiva: siendo responsable y capaz de demostrar
el cumplimiento de todos los principios del tratamiento.
Aclaración
Cuando solicitemos datos personales, ya sea en soportes papel como

formularios o soportes automatizados como web y redes sociales, debemos
hacerlo de manera que cualquier persona pueda entender la información
sobre el tratamiento de sus datos, es decir, de manera coloquial evitando la
terminología jurídica y técnica. Debemos pensar que los interesados pueden
ser expertos y acostumbrados así como absolutos inexpertos.
Accountability & privacy by design
En materia de protección este principio alude a la responsabilidad de las

entidades y a la privacidad desde el diseño, en la implantación de medidas, de
garantía y cumplimiento de los principios y obligaciones, así como el
establecimiento de mecanismos internos y externos para evaluar su fiabilidad y
demostrar su efectividad cuando se solicite por la Autoridad de
Control (Agencia Española de Protección de Datos).
“Se trata de buscar la privacidad desde el primer momento de concepción de

un bien o servicio y no a posteriori como ahora hacen muchas empresas”.
Todo aquel que vaya a llevar a cabo un sistema, un servicio, una aplicación
que implique tratamiento de datos, va a tener que diseñar ese
programa conforme a la privacidad.
Ejemplo: Hay empresas que diseñan aplicaciones que se olvidan de la

privacidad, como las consolas que permiten jugar en línea con otros y no te
informan antes que si juegas en línea, los otros jugadores tendrán acceso a tus
datos o la muñeca a la que le hablas y graba la conversación, que
posteriormente la enviará por wifi, cuando te conectes, a la marca y con ellos
harán un estudio de lo que los niños les dicen a sus muñecos, incluso de lo que
puedan grabar a la familia.
En materia de redes sociales, los perfiles de privacidad de los usuarios
estarán por defecto ocultos a otros usuarios, debiendo ser el usuario quien los
abra a otros. Es decir, la PRIVACIDAD de los perfiles por defecto es que los
perfiles sean privados desde el primer momento, no públicos. Será el usuario
quien lo modifique en el caso de que quiera hacerlo público.
Aclaración
El nuevo Reglamento, ha transformado la legislación en materia de privacidad.
Si hasta este momento bastaba con aplicar los protocolos y exigencias
estipuladas en la LOPD, ahora se establece la necesidad de demostrar que la
entidad cumple con la normativa.
El Responsable de tratamiento debe aplicar medidas técnicas y

organizativas apropiadas para poder garantizar y demostrar que se realiza
conforme al Reglamento, teniendo en cuenta la naturaleza, el ámbito, el
contexto y los fines del tratamiento así como los riesgos para los derechos y
libertades de las personas físicas.
Pero a diferencia de la LOPD que nos decía y guiaba sobre qué y cómo
hacerlo, el nuevo Reglamento deja en nuestras manos la decisión de qué
medidas de seguridad implantamos, justificando y documentando su
cumplimento.
Análisis de riesgos
Un Análisis de riesgos va a permitir, antes de poner en marcha un servicio o

producto, identificar los problemas y prevenir problemas futuros que puedan
dañar la confidencialidad y honor de las personas físicas.
Debemos identificar, antes de que se materialicen, los riesgos de un producto

o servicio para la protección de datos.
Al diseñar y desarrollar aplicaciones, servicios y productos que están basados

en el tratamiento de datos personales, todos los responsables de
tratamiento deben realizar un Análisis de Riesgos en relación a los
tratamientos que vayan a llevar a cabo, debemos adelantarnos al producto
final, con la finalidad de poder establecer las medidas que se deben aplicar y
cómo hacerlo. Para ello debemos diseñar y utilizar un modelo flexible (flexible
porque debe estar presente antes y durante el proyecto) de análisis del
producto y/o servicio que vamos a desarrollar. El análisis de riesgos forma
parte del principio de responsabilidad proactiva.
El análisis dará lugar a un resultado mínimamente documentado, sobre las

implicaciones de los tratamientos en los derechos y libertades de los
interesados. Dependiendo del resultado del mismo, será necesario realizar o no
una Evaluación de Impacto.
Aclaración
Se trata de realizar preguntas y cuanto mayor sea el número de respuestas

afirmativas, mayor será el riesgo en el tratamiento. Si la respuesta a estas
preguntas es negativa, podemos deducir que el tratamiento de los datos no
genera un elevado nivel de riesgo.
Otro punto a tener en cuenta, es designar la persona que va a gestionar y

coordinar el Análisis de Riesgos. Sidisponemos de DPO, será éste y
donde no exista DPO, debemos identificar y designar a una persona con
conocimientos y experiencia en la materia.
Ejemplo
 ¿Se van a recabar datos de carácter personal?

 ¿Se van a utilizar datos sensibles?, ¿qué datos?
 ¿El tratamiento incluye la elaboración de perfiles?
 ¿Se comunicarán datos personales a terceros o a quien no ha tenido
acceso a la información?
 ¿Va a utilizarse tecnología que puede ser considerada como invasiva
para la privacidad como geolocalización, videovigilancia?
 ¿Se tratan grandes cantidades de datos y técnicas de análisis tipo Big
Data?
 ¿Son los datos adecuados para las finalidades para las cuales van a ser
utilizados?
 ¿Se utilizan los datos para distintas finalidades?
 ¿Se van a recabar datos que no van a ser utilizados?
 ¿Se producirán transferencias internacionales de datos?
Licitud del tratamiento de datos
 Licitud significa lealtad y transparencia con el interesado.
Definición
El tratamiento de datos solo será lícito si se da alguna de las

siguientes condiciones:
 Consentimiento explícito para fines específicos.

 Contrato o precontrato con el interesado.
 Protección de los intereses vitales del interesado u otra persona física.
 Interés legítimo del Responsable del tratamiento o terceros, siempre que
no prevalezcan los intereses o los derechos y libertades del interesado,
especialmente si es un niño.
 Procedencia legítima de archivos de acceso público: obtenidos de una
fuente pública y el interesado ha hecho manifiestamente públicos los
datos.
O cuando esté fundamentado en la legislación vigente por:
 Obligación jurídica a la que esté sujeto el Responsable del tratamiento.

 Cumplimiento de un cometido de interés público.
 Fines de investigación histórica, estadística o científica.

 Interés legítimo de las Autoridades públicas en el ejercicio de sus
funciones.
Los datos personales serán tratados de manera: lícita, leal, transparente,
adecuados, pertinentes, limitados, exactos y actualizados y con seguridad.
¿Qué quiere decir con esto?
Licitud para tratamientos con fines distintos de la finalidad principal
Distinguir las finalidades, el consentimiento se debe distinguir bien de otros

asuntos/finalidades, en la recogida de datos, de la información sobre el
tratamiento de los datos, en definitiva deberá implicar que quien consiente es
consciente de que está prestando el consentimiento.
Si el consentimiento del interesado se da en el contexto de una declaración

escrita que también se refiera a otros asuntos, la solicitud de consentimiento
se presentará de tal forma que se distinga claramente de los demás asuntos,
de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
Preceptos introducidos por el RGPD
Considerando 77 del RGPD:
«Se podrían proporcionar directrices para la aplicación de medidas oportunas y

para demostrar el cumplimiento por parte del responsable o del encargado del
tratamiento, especialmente con respecto a la identificación del riesgo
relacionado con el tratamiento, a su evaluación en términos de origen,
naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas
para mitigar el riesgo, que revistan, en particular, la forma de códigos de
conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité
o indicaciones proporcionadas por un delegado de protección de datos. El
Comité también puede emitir directrices sobre operaciones de tratamiento que
se considere improbable supongan un alto riesgo para los derechos y
libertades de las personas físicas, e indicar qué medidas pueden ser
suficientes en dichos casos para afrontar el riesgo en cuestión».
Como podemos ver en el RGPD, las directrices que se proporcionan tienen

como finalidad el cumplimiento por parte del responsable o encargado de
datos de la normativa. Se pretende por tanto evaluar el proceso de tratamiento
de datos y supervisar que se apliquen buenas prácticas a la hora de realizar
dicha actividad. También se pretende identificar posibles riesgos para
prevenirlos y dar énfasis al uso de códigos de conducta y certificaciones.
Si el riesgo que puede prever sobre un tratamiento de datos puede afectar de

manera pronunciada en los derechos y libertades fundamentales de los
interesados, estas directrices podrían ser proporcionadas por el Comité.
El GT 29, ha propuesto una serie de directrices que recoge el Reglamento a

favor de la correcta aplicación de este mismo. En el siguiente apartado,
conoceremos este Grupo de Trabajo y las guías que han desarrollado para
este fin.
Grupo de Trabajo del Artículo 29
El Grupo de Trabajo del Artículo 29, fue creado por la Directiva 95/46/CE con
el propósito de dar soporte de manera independiente a las Autoridades de
Protección de Datos de los países miembros, al SEPD y a la Comisión Europea
como un órgano de consulta para la mejora de la aplicación de la normativa en
la protección de datos.
Su función principal es analizar temas relacionados con la protección de datos

y emitir dictámenes, recomendaciones o documentos que son de gran valor
para las autoridades de protección de datos así como el asesoramiento sobre
la modificación de la normativa con el fin de mejorarla en favor de una mejor
protección de los datos tratados.
El GT 29 ha aportado durante estos años de transición en la aplicación del

nuevo Reglamento, algunas guías sobre directrices que serán de ayuda para
la adaptación de los responsables o encargados en el tratamiento de los datos
adecuado con respecto al RGPD. Estas guías tratan sobre los
siguientes temas:
 Derecho a la portabilidad.
 Data Protection Officer (DPO).
 Autoridad de control principal.
 Consentimiento.
En la siguiente pantalla se explicarán estos temas.
Derecho a la portabilidad
Este derecho recogido en el artículo 20 del Reglamento, permite al interesado

recibir los datos personales que ha dado a un responsable de tratamiento para
él mismo dárselos a otro responsable o que el primer responsable de
tratamiento de datos se los ceda directamente a este otro responsable.
El GT29 propone en su guía sobre este derecho algunas directrices que se

deben aplicar sobre la información del interesado:
 Facilitación de datos personales del titular (ni anónimos ni estadísticos).

 Aportación de datos facilitados por el interesado (datos personales y
derivados del servicio disfrutado).
 Facilitación de datos de terceros siempre y cuando no afecta a la
integridad de los derechos y libertades fundamentales de éstos.
 El responsable del tratamiento deberá informar al interesado de este
derecho en menos de un mes, que sus datos son interoperables y que
se entregaran utilizando mecanismos de protección y seguridad para
que no afecte el proceso al interesado.
Data Protection Officer (DPO)
La nueva Figura que incorpora el RGPD también ha sido objeto de tratamiento

del GT29. En su guía de directrices interpretativas para el DPO se centra en
las funciones principales y cómo debe de ser la persona que se posicione
en este cargo:
 Autoridad u organismo público (equivalencia a las entidades públicas en

tratamiento de datos por parte de empresas privadas).
 Actividades principales (operaciones que tomará para cumplir con la
finalidad de colaboración con el responsable o el encargado del
tratamiento).
 Gran escala (número, volumen y tipología de datos que se ven
afectados por el tratamiento de la entidad a la que pertenece).
 Observación sistemática o habitual de interesados (actividades como
programas de fidelización, de tratamiento de datos a través del uso de
dispositivos conectados, etc.).
 Deberá ser fácilmente accesible a la empresa o grupo de empresas.
 Acreditar suficiente experiencia.
 Participación de manera activa en cualquier proceso o tema relativo a la
protección de datos.

 Autoridad de control principal

 El GT29 recoge en esta guía situaciones en las que existe un
tratamiento de datos entre varios países o situaciones en las que el
interesado se encuentra entre uno o más Estados miembros. Este tipo
de tratamiento se denomina de carácter transfronterizo y el GT29 se
encarga de recomendar que los responsables o encargados de
tratamiento, al recoger los datos se aseguren de establecer cuál es la
autoridad de control principal a la qué afecta el tratamiento y cuales las
autoridades de control interesadas.
Consentimiento
Esta guía del GT 29 y la más actual de las que hemos visto, se encarga
de aclarar y facilitar a los intervinientes en el proceso de tratamiento de
datos este concepto tan importante definido en el RGPD. Esta guía
aclara requisitos necesarios para valorar cuando el consentimiento del
interesado es válido:
 Inequívoco (silencio, la omisión, etc. no son válidos).
 Libre (no debe de estar condicionado).
 Específico (la recogida de datos debe tener un fin último).
 Revocable (sin ningún impedimento para los interesados).
 Informado (el interesado da el consentimiento después de haber leído la
información).
 Claridad (sin tecnicismos, lenguaje llano).
Como se ha comentado al principio de este apartado, el Grupo de Trabajo 29

no sólo establece guías de directrices, también realiza recomendaciones o
dictámenes como el WP251 sobre la toma de decisiones individuales
automatizadas y la elaboración de perfiles que analiza de forma detallada estas
dos actividades tan importantes tratadas en el RGPD.
Adaptación y armonización del precepto y licitud del tratamiento en la

Unión Europea
Ya hemos visto que dentro de las múltiples funciones que realiza el Comité
Europeo de Protección de Datos se encuentran la de emisión de distintas
directrices, el artículo 70 del Reglamento, especifica en qué consisten estas
directrices:
 Directrices relativas a los procedimientos para la supresión de vínculos,

copias o réplicas de los datos personales procedentes de servicios de
comunicación a disposición pública.
 Directrices sobre cualquier cuestión relativa a la aplicación del
Reglamento con el objetivo de la aplicación coherente del mismo.
 Directrices especificar más los criterios y requisitos de las decisiones
basadas en perfiles.
 Directrices relacionadas con las violaciones de seguridad de los datos.
 Directrices con la finalidad de especificar en mayor medida los criterios y
requisitos de las transferencias de datos personales.
 Directrices para las autoridades de control relativas a los poderes de
éstas y la imposición de las multas administrativas.
 Directrices para establecer procedimientos comunes de información
procedente de personas físicas sobre infracciones del presente
Reglamento.
Cabe destacar que de todas estas directrices, la más importante es

la coherencia en la aplicación del Reglamento puesto que el resto de
directrices se basan en esta. Además de la emisión de las directrices
anteriores, el CEPD se encarga de examinar el cumplimiento de las
directrices emitidas sobre la aplicación del Reglamento y cualquier cuestión
relacionada con su cumplimiento así como las directrices basadas en los
perfiles.
Otros supuestos
El RGPD en consonancia con la LOPJ (Ley Orgánica del Poder Judicial)
establece una serie de funciones a los órganos jurisdiccionales que la
autoridad de control no tiene alcance.
Artículo 55.3 del RGPD: «Las autoridades de control no serán competentes

para controlar las operaciones de tratamiento efectuadas por los tribunales en
el ejercicio de su función judicial».
En el considerando 20 del mismo Reglamento, se establece para la

independencia del poder judicial y sus funciones incluyendo la toma de
decisiones, la competencia de las autoridades de control no debe ser el
tratamiento de datos personales cuando los tribunales actúen en ejercicio de su
función judicial. Además el control del tratamiento será tarea de
los organismos judiciales que se encargarán de hacer cumplir el Reglamento,
concienciar a los miembros judiciales de sus obligaciones y atender a las
reclamaciones relacionadas con el tratamiento de datos.
Tutela
judicial efectiva
Una de las funciones judiciales es la tutela judicial efectiva de los

interesados, un derecho que se recoge en el Reglamento. La tutela judicial
efectiva, puede ser:
 A cualquiera persona física o jurídica contra una autoridad de control (se

ejercitará ante los tribunales del Estado del país miembro de la autoridad
de control).
 A un interesado contra un responsable o encargado del tratamiento de
datos (se ejercitará ante los tribunales del Estado miembro donde el
responsable o encargado tenga su establecimiento.
En conformidad con el Reglamento, si un tribunal detecta acciones que se

ejecutan en otro tribunal relativas al mismo tratamiento, debe confirmar que
son conexas y en caso de ser cierto y que estén pendientes ante el tribunal de
otro Estado miembro, cualquier otro Tribunal distinto puede proceder a la
suspensión del procedimiento.
La LOPJ en su artículo 236 expresa cuales son las situaciones en las que los
órganos judiciales pueden tratar datos personales y como cumplir a la vez el
Reglamento:
 Podrán tratar datos con fines jurisdiccionales o no jurisdiccionales y

clasificarlos en estas dos categorías.
 Deberán mantener las garantías y derechos establecidos en el RGPD.
 No será necesario el consentimiento del interesado para que los
Tribunales procedan al tratamiento de los datos en el ejercicio de la
potestad jurisdiccional.
 Podrán adoptar medidas para la supresión de los datos personales de
los documentos a los que puedan acceder las partes durante la
tramitación del proceso siempre que no sean necesarios para garantizar
su derecho a la tutela judicial efectiva respetando lo establecido en el
Reglamento.
 Podrán cederse al Consejo General del Poder Judicial y al Ministerio de
Justicia os datos tratados con fines jurisdiccionales necesarios para
inspección y control así como la cesión de datos con fines no
jurisdiccionales por necesidades legalmente atribuidas.
 Los ficheros de datos de carácter personal de los Tribunales serán
creados, modificados o suprimidos por acuerdo del Consejo General del
Poder Judicial.
 El responsable de los ficheros jurisdiccionales y no jurisdiccionales será
el órgano jurisdiccional u Oficina judicial ante el que se tramiten los
procesos de los datos añadidos al fichero.
 Los tratamientos de datos llevados a cabo con fines no jurisdiccionales y
sus correspondientes ficheros quedarán sometidos a la competencia de
la Agencia Española de Protección de Datos.
 Los tratamientos de datos llevados a cabo por el Consejo General del
Poder Judicial en el ejercicio de sus competencias quedarán sometidos
a lo dispuesto en la legislación vigente en materia de protección de
datos de carácter personal.
1. Introducción y objetivos
Llevamos mucho tiempo acostumbrados a ver y leer los textos que acompañan
a los formularios, sobre todo web, en los cuales nos informan que están
recogiendo datos personales, qué van a hacer con ellos, si los van a ceder
y cómo ejercer los derechos que todos tenemos sobre nuestros datos.
Dentro de la responsabilidad activa que el nuevo Reglamento nos inculca

para tenerlo presente en todo el tratamiento de la vida del dato, hace hincapié
en la información que el interesado o titular de los datos debe recibir del
Responsable del tratamiento.
El consentimiento debe ser inequívoco, mediante una manifestación del
interesado o mediante una clara acción afirmativa.
 El nuevo Reglamento ya no admite el consentimiento por omisión y

tácito, es decir ya no admite la no acción.
Importante
Cuántas veces hemos leído cláusulas de Protección de Datos donde nos dicen
“si usted no hace lo siguiente entendemos que nos da su consentimiento para
tratar sus datos con la finalidad de …… y cederlos a las empresas del sector
….. para que le manden publicidad”.
Condiciones para el consentimiento
El nuevo Reglamento da un cambio radical al tema y el consentimiento ahora

es una manifestación de voluntad libre específica informada e inequívoca por la
que el interesado acepta ya sea mediante una declaración (no una omisión) o
una clara acción afirmativa, el tratamiento de datos personales.
También se detalla la obligación de verificar con posterioridad y en cualquier

momento, el consentimiento del titular de los datos al tratamiento y finalidades
de los datos recogidos.
Aclaración
Si bien no es un cambio o un nuevo procedimiento, es cierto que inciden

mucho en ello, por tanto debemos guardar, ya sea un soporte automatizado o
papel, el soporte en el que informamos y solicitamos el consentimiento, de
manera que podamos verificar en cualquier momento que se realizó conforme
a la normativa.
Uno más de los cambios que introduce el Reglamento es el consentimiento

explícito, que en algunos casos, como puede ser para autorizar el tratamiento
de datos sensibles o marketing con base tecnológica, debe ser más estricto,
así, será preciso que la declaración u acción se refieran explícitamente al
consentimiento y al tratamiento en cuestión.
Cuáles son
Las condiciones para cumplir con el consentimiento de los interesados, son

las siguientes:
 El responsable del tratamiento debe poder probar el consentimiento. (Si

se realiza por escrito, deberá distinguirse claramente de otros asuntos.).
 El consentimiento no será lícito si se condiciona a una prestación de
servicios sin ser necesario para su realización.
 El responsable del tratamiento informará al interesado, antes de dar su
consentimiento, que tiene derecho a retirarlo en cualquier momento sin
que afecte al tratamiento efectuado hasta entonces.
 Será tan fácil retirar como dar el consentimiento.
 Los consentimientos que infrinjan parcialmente el Reglamento serán
considerados nulos.
Condiciones aplicables al consentimiento del niño
La información del tratamiento dirigida a un menor deberá facilitarse con un

lenguaje claro, sencillo y adecuado al mismo.
 Si es menor, necesita el consentimiento de quien tenga la patria

potestad, madre/padre, tutor legal.
 Se establece que cada Autoridad de Control determine la edad mínima
que será entre 13 y 16.
El Responsable del tratamiento hará esfuerzos razonables para verificar en

tales casos que el consentimiento fue dado o autorizado por el titular de la
patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología
disponible.
Los datos personales de los menores también necesitan una protección

específica en el tratamiento. Este sector de la población, no tiene la misma
capacidad de entender la normativa con el mismo nivel de comprensión que el
resto de la población. Al no conocer los riesgos, garantías y derechos con
respecto a sus datos, está protección específica se deberá aplicar en casos en
que la recogida de datos de los interesados sea de forma directa.
El tratamiento de datos personales de un menor sólo será lícito de forma

directa cuando el menor tenga más de 16 años, si la edad del menor no
supera los 16 años, se consideraría lícito solamente cuando el consentimiento
lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la
medida en que se dio o autorizó.
Además, en virtud del artículo 8 del Reglamento, el responsable de dicho

tratamiento, hará esfuerzos por certificar que tal consentimiento es dado por la
persona indicada.
Tal y como expresa el RGPD (artículo 40.2 apartado g), las organizaciones y

organismos representativos que establezcan códigos de conducta específicos
para el tratamiento de datos en el caso de menores, deberán ser elaborados,
modificados o ampliados con “la información proporcionada a los niños y la
protección de estos, así como la manera de obtener el consentimiento de los
titulares de la patria potestad o tutela sobre el niño”.
Una de las funciones que tienen las autoridades de control de los Estados
miembros es, prestar especial atención al tratamiento de este tipo de datos
debido a su delicadeza y riesgo.
Todas las leyes tanto a nivel europeo como en el ámbito estatal hacen
referencia en sus artículos a los menores como un grupo de mayor
protección debido a su nivel de comprensión en la protección de datos pero
eso no quiere decir que no haya normativa para el menor infractor, en España,
la Ley que regula la responsabilidad penal de los menores es la Ley Orgánica
5/2000 del 12 de enero.
2. Categorías especiales de datos personales
Hay ciertos datos de carácter especial, que pueden revelar características del
interesado que no suelen ser relevantes para la finalidad con la que se realizó
la recogida y que pueden dañar al titular de los datos.
En artículo 9 del Reglamento, habla sobre distintos tipos de datos que son
tratados de forma especial ya bien porque esté prohibido su tratamiento o bien
porque son tratados para intereses públicos.
Categorías prohibidas
El Reglamento expresa claramente diferentes tipos de datos que quedan

fuera del alcance de cualquier tratamiento por necesidad de protección y
perseverancia de los derechos y libertades fundamentales. Los datos
personales que por defecto queda prohibidosu tratamiento son:
 De origen racial o étnico.

 Que muestren opiniones políticas.
 Relevantes a convenciones religiosas o filosóficas.
 De afiliación sindical.
 Datos genéticos.
 Datos biométricos con los que se puede identificar a una persona.

 Datos de salud.
 Datos relativos a la vida sexual.
 Datos relativos a la orientación sexual.
Excepciones
Por supuesto, existen casos en los que las categorías de datos del apartado
anterior, pueden ser tratados exceptuando el primer punto del artículo 5 del
Reglamento.
Estos casos son los siguientes:
 Cuando el interesado otorga el consentimiento explícito de este tipo de

datos.
 Cuando sea necesario para bien del interesado en ámbitos de derecho
laboral, seguridad y protección social propia.
 Cuando sea necesario para los intereses del necesitado y éste esté
incapacitado.
 Cuando el tratamiento lo realiza una entidad sin ánimo de lucro para
fines políticos, sociales, religiosos o sindicales.
 Cuando los datos personales a los que se refiere, han sido hechos
públicos por el interesado.
 Cuando los datos son necesarios para presentar ante el sistema judicial.
 Cuando los datos son esencialmente de interés público.
 Cuando son necesarios para fines de medicina preventiva o cualquier
evaluación, diagnóstico o tratamiento de tipo médico.
 Cuando son necesarios por motivos de salud pública.
 Cuando se utilizan con fines de investigación científica o histórica o fin
estadístico.
 Cuando los Estados miembros introduzcan condiciones con respecto al
tratamiento de datos genéticos, biométricos o relativos a la salud.
3. Tratamiento de datos personales relativos a condenas e

infracciones penales o medidas conexas de seguridad
El Reglamento recoge todo lo referido a este tipo de datos en su artículo 10.

Este tipo de datos son de carácter delicado ya que el tratamiento de éstos,
implica el conocimiento de datos personales de los que su privacidad pertenece
a los derechos y libertades que poseen los interesados.
En el caso de que este tipo de datos deban ser tratados porque son

necesarios para cualquier tipo de tratamiento de datos referido en el primer
apartado del artículo 6, estos datos sólo podrán ser tratados bajo el control de
las autoridades públicas.
Casos
especiales
El Reglamento, señala los casos especiales en los que es necesario el

tratamiento de este tipo de datos debido a la conexión que pueden mantener
con:
 El consentimiento de interesado para el tratamiento de sus datos.

 La necesidad del tratamiento para la ejecución de un contrato.
 La necesidad del tratamiento para cumplir una obligación legal referida
al responsable de tratamiento.
 La necesidad para proteger los intereses vitales.
 La necesidad de su tratamiento para una misión de interés público.
 La necesidad del responsable del tratamiento de utilizar los datos por
intereses legítimos.
4. Derechos de los interesados
En este apartado vamos a estudiar:
 La transparencia de la información y la comunicación y modalidades

para el ejercicio de los derechos, en la que se mostrarán las diferencias
más notables entre la Ley Orgánica 15/99 de Protección de Datos y el
Reglamento Europeo 2016/679 y se explicará el modelo de información
por capas o niveles que utiliza el Reglamento.
Además se muestra la transparencia y conservación del tratamiento de

datos y el deber de comunicación al interesado.
 Por otra parte se mostrarán los derechos que tiene el interesado.
Transparencia de la información y la comunicación y modalidades

para el ejercicio de los derechos
Información
Antes de profundizar en la información que propone el nuevo Reglamento, es

preciso observar las diferencias más notables entre la Ley Orgánica 15/99 de
Protección de Datos y el Reglamento Europeo 2016/679:
 ANTES – Informar sobre

o La existencia del fichero o tratamiento, su finalidad y
destinatarios.
o El carácter obligatorio o no de la respuesta, así como de sus
consecuencias.
o La posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
o La identidad y datos de contacto del responsable del tratamiento.
 AHORA - Añade
o Los datos de contacto del Delegado de Protección de Datos, en
su caso.
o La base jurídica o legitimación para el tratamiento.
o El plazo o los criterios de conservación de la información.
o La existencia de decisiones automatizadas o elaboración de
perfiles.
o La previsión de transferencias a terceros países.
o El derecho a presentar una reclamación ante las autoridades de
control.
La información que se debe facilitar al interesado es mayor, detallada,

concreta y amplia respecto a los que estábamos acostumbrados con la LOPD.
Aclaración
En la mayoría de los casos, los formatos actuales de información como

presupuestos, facturas, formularios papel se verán obligados a reestructurar
el diseño para poder albergar dicha información.
¿En qué consiste la información por capas?
1. Presentar una información básica en un primer nivel “primera capa”, de

forma resumida, en el mismo momento y en el mismo medio en que se
recojan los datos.
2. Remitir a la información adicional en un segundo nivel “segunda capa”,
donde se presentarán detalladamente el resto de las informaciones, en
un medio más adecuado para su presentación, comprensión y, si se
desea, archivo.
La forma de presentación de la información debe quedar dentro del área o

campo de visión del interesado, a continuación del formulario donde se
soliciten los datos y estará claramente identificada, por ejemplo “Información
básica sobre protección de datos”.
Si por motivos de espacio y/o diseño no es posible disponer de la
información, debemos informar donde situamos la información sobre protección
de datos. Por ejemplo, antes de firmar la solicitud, debe leer la información
básica sobre protección de datos que se presenta en…el reverso, al pie,…
La información a la segunda capa en formato papel puede estar condicionada

al espacio, pero nunca a la extensión y debe contener toda la información
para el interesado sin excepciones. Podemos informar en el mismo
formulario por la parte trasera, como un documento anexo al formulario
principal o incluso como información expuesta de manera claramente visible en
un panel, tríptico, cartel, si bien siempre debemos tener disponible
una copia para el interesado.
Cuando la información de la primera capa se realiza en un soporte
automatizado, podemos incluir junto con la información básica un link o
hipervínculo a más información sobre el epígrafe correspondiente.
Ya sabemos cuál es la información de la primera capa y como presentarla,

ahora veamos la información de la segunda capa: responsable, finalidad,
legitimación, destinatarios, derechos y procedencia.
A. Responsable
Aunque la identidad del responsable del tratamiento ya se habrá ofrecido en la

información básica, en la información adicional se debe completar su
información, incorporando los siguientes datos:
 Identidad y datos de contacto del responsable de tratamiento.

 Datos de contacto del delegado de protección de datos.
 Dirección postal y electrónica.
Ver ejemplo.
B. Finalidad
Se debe informar con mayor detalle de las finalidades del tratamiento a que

se destinan los datos personales, además se debe incluir el plazo durante el
cual se conservarán dichos datos personales o, cuando no sea posible, los
criterios utilizados para determinar este plazo.
En el caso de existir elaboraciones de perfiles de usuarios basadas en
decisiones automatizadas, se debe proporcionar la información necesaria
para que el interesado tenga el suficiente conocimiento sobre la misma y no
olvidemos que debemos proporcionar un medio. Será mediante una casilla de
verificación, para negarse a dicho tratamiento.
C. Legitimación
Se refiere a la base jurídica en la cual se basa el tratamiento. Podemos

distinguir las siguientes:
 Legitimación por ejecución de un contrato: cuando el tratamiento sea
necesario para la ejecución de algún contrato, laboral, mercantil,
administrativo u otro, debemos hacer mención o referencia a dicho
contrato.
 Legitimación por cumplimiento de una obligación legal: cuando el
tratamiento sea necesario para el cumplimiento de una obligación legal,
debemos mencionar la norma o Ley que impone la obligación.
 Legitimación por misión en Interés público o ejercicio de Poderes
Públicos: cuando el tratamiento sea necesario para el cumplimiento de
una misión realizada en interés público, como ocurre en el caso del
Sector Público, debemos mencionar la norma o Ley.
 Legitimación por Interés legítimo del Responsable, o de un tercero:
cuando el tratamiento de los datos sea necesario para la satisfacción de
“intereses legítimos” perseguidos por el responsable del tratamiento o
por un tercero, se explicitarán cuáles son tales intereses.
 Legitimación por consentimiento del interesado: cuando no se
encuentre la legitimación en alguna de las anteriores, se deberá solicitar
consentimiento al interesado para el tratamiento de sus datos
personales.
En el caso de que la finalidad principal sí esté legitimada por alguna de las

bases jurídicas anteriores, pero alguna otra finalidad específicarequiera del
consentimiento del afectado, se harán constar ambas legitimaciones.
Por ejemplo: ¿Cuál es la legitimación legal para tratar sus datos? La base
legal para el tratamiento de sus datos es la ejecución del contrato de
compraventa del vehículo. La recogida de los datos para un posterior uso
comercial está basada en su consentimiento explícito. La retirada del
consentimiento no condiciona la ejecución de la relación contractual.
D. Destinatarios
Cuando se vayan a ceder o comunicar datos personales a terceros, se

informará sobre la identidad de los destinatarios, o de las categorías de
destinatarios, si estos no están determinados previamente.
Por ejemplo: ¿A quién se ceden o comunican sus datos? Los datos que nos
proporcione serán comunicados a otras empresas del grupo _____, con una
finalidad comercial. Además, serán comunicados a los organismos y
administraciones que en cumplimiento de una normativa o Ley estamos
obligados a comunicar.
E. Derechos
Se informará sobre los derechos que le asisten a los interesados, de igual

modo se informará como ejercer los derechos y los medios disponibles.
También debe informarse que los interesados pueden presentar una
reclamación ante la Autoridad de Control en materia de Protección de Datos
competente.
Recordemos los derechos que asisten al interesado o titular de los datos:
 Derecho a solicitar el acceso.

 Derecho a solicitar su rectificación o supresión.
 Derecho a solicitar la limitación de su tratamiento.

 Derecho a oponerse al tratamiento.
 Derecho a la portabilidad de los datos.
Por ejemplo: ¿Cuáles son sus derechos? Cualquier persona tiene derecho a
conocer y obtener información sobre los datos que estamos tratando, tales
como acceder, rectificar, oponerse, portabilidad, suprimir y limitar. De igual
modo tiene derecho a pedir tutela y reclamar ante la Autoridad de Control
española “Agencia Española de Protección de Datos” mediante………….
F. Procedencia
Se incluirá en el supuesto de que los datos personales no se hayan obtenido

del interesado, por proceder de alguna cesión legítima, o de fuentes de
acceso público.
Por ejemplo: ¿Cuáles son sus derechos? Los datos que trata Empresa Demo
S.L. proceden o han sido obtenidos de las empresas del grupo……; los datos
que trata Empresa Demo S.L. proceden o han sido obtenidos de fuentes
accesibles al público, concretamente de……… y la categoría de los datos
tratados son: nombre y apellidos, teléfono, email, dirección, información
comercial…….
Transparencia y conservación del tratamiento de datos
Tenemos que recordar, aunque ya se haya hablado con anterioridad, que la

transparencia en la información otorgada al interesado, es clave. Es muy
importante, presentar la información como acabamos de ver, ya que el RGPD
exige la mayor claridad en la información, de una manera precisa para que el
titular de los datos de consentimiento con el cual se podrán tratar sus datos.
La información a los interesados, tanto respecto a las condiciones de los

tratamientos que les afecten como en las respuestas a los ejercicios de
derechos, deberá proporcionarse de forma concisa, transparente, inteligible
y de fácil acceso, con un lenguaje claro y sencillo.
(La LOPD sólo exige que la información se preste de modo expreso, preciso e
inequívoco.)
Debemos implantar el principio de transparencia:
 Evitar las fórmulas especialmente farragosas y que incorporan

remisiones a los textos legales.
 La información y explicación del contenido del texto legal relativo al
tratamiento de los datos, debe ser fácil de entender, expresad de forma
clara y accesible para todos los interesados, con independencia de sus
conocimientos en la materia, mediante un lenguaje sencillo y claro.
Aclaración
Aplicar la responsabilidad proactiva significa que los responsables del

tratamiento deben adoptar medidas que garanticen que solo se traten los datos
necesarios en lo relativo a la cantidad de datos tratados, la extensión del
tratamiento, los periodos de conservación y la accesibilidad a los datos.
Por ejemplo cuando el consentimiento se pide en un contrato donde la

protección de datos es una cláusula más, por ejemplo, abrir una cuenta
bancaria donde hay 200 cláusulas y la de PD es a 125, donde me dice y si
usted no dice que no me da su consentimiento para que yo ceda sus datos a
sectores de… esto ya no va a ser legal. La cláusula debe ser clara, legible,
bien identificada.
Este Reglamento se centra también en la conservación de los datos. Como

hemos visto en el principio de exactitud anteriormente, lo que busca es limitar
la finalidad de los datos para evitar que se utilicen con fines distintos para los
que se han recogido. Por lo que se otorgan unos plazos determinados para el
tratamiento de datos que se podrán renovar, actualizar o suprimir por el
responsable de tratamiento que será el encargado de realizar esta tarea.
La conservación de los datos mediante el principio de transparencia en el

Reglamento obliga a comunicar previo consentimiento la duraciónen la que
los datos van a ser tratados.
Esta obligación de marcar plazos e informar del tiempo en que se conservan
los datos al interesado también es otra de las diferencias que tiene
el Reglamento con la LOPD.
Deber de comunicación al interesado
¿Cuándo debo informar? La información se debe facilitar en el mismo

momento en que se soliciten los datos, previamente a la recogida o registro, si
es que los datos se obtienen directamente del interesado.
¿Cuándo informar si no se recogen directamente del titular de los

datos? La información que se debe facilitar se hará: antes de un mes desde
que se obtuvieron los datos personales; antes o en la primera comunicación
con el interesado y antes de que los datos, en su caso, se hayan comunicado a
otros destinatarios.
¿Dónde informar? Los datos los podemos recoger a través de diferentes y

variados soportes, automatizados y no automatizados, por ello la manera de
informar a los interesados debe adecuarse y adaptarse a las circunstancias de
cada uno de los soportes y medios empleados para la recogida de los datos.
Por ejemplo, algunas de las formas más habituales de recogida de datos son:
formularios en papel, formularios web, entrevista telefónica, registro de
aplicaciones móviles, ...
Contenido de la cláusula de información
Aunque hemos visto ejemplos y la forma de presentar la información,

recordemos qué es lo que debe contener la cláusula de información:
 La identidad del responsable de la gestión y si procede, del delegado de

 Que los datos personales se están recogiendo, utilizando o consultando.
 La medida en que dichos datos son o serán tratados.
 De las posibles consecuencias de no facilitar tales datos.
 Los fines del tratamiento a que se destinan los datos personales y la
base jurídica del tratamiento.
 La identidad de los destinatarios o las categorías de destinatarios de los
datos personales.
 El plazo durante el cual se conservarán los datos personales o, cuando
no sea posible, los criterios utilizados para determinar este plazo.
 La existencia del derecho a solicitar al responsable del tratamiento el
acceso a los datos personales que haya facilitado, su rectificación o
supresión, o la limitación de su tratamiento, o a oponerse al
tratamiento, así como el derecho a la portabilidad de los datos.
 La posibilidad de ejercitar el derecho a presentar una reclamación ante
una autoridad de control.
 La existencia de decisiones automatizas, incluida la elaboración de
perfiles, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el
interesado.
 La intención del responsable de transferir sus datos personales a un
tercer país u organización internacional y la existencia o ausencia de
una decisión de adecuación de la Comisión.
Contenido de la cláusula de información si no es obtenido del interesado
 La identidad y los datos de contacto del responsable y, en su caso, de

su representante.
 Los datos de contacto del delegado de protección de datos, si lo hubiere.
 Los fines del tratamiento a que se destinan los datos personales, así
como la base jurídica del tratamiento.
 Las categorías de datos personales de que se trate.
 Los destinatarios o las categorías de destinatarios de los datos
personales, en su caso.
 De la intención del responsable de transferir datos personales a un
destinatario en un tercer país u organización internacional y la existencia
o ausencia de una decisión de adecuación de la Comisión.
Derecho de información
 Es una obligación absoluta por parte del Responsable del tratamiento,

un derecho de vital importancia como base de la regulación del Reglamento y
necesario para poder ejercer los siguientes.
Definición
El Responsable del tratamiento debe:
 Facilitar la información de forma clara, precisa y comprensible.

 Facilitar al interesado información para el ejercicio de sus derechos.
 Establecer el plazo de un mes para contestar a peticiones del
interesado, y en caso contrario, abrir la vía de la reclamación ante la
autoridad.
 Carácter gratuito de las peticiones, salvo que por reiteración o carácter
infundado o excesivo, se podrá establecer un canon o negarse a ellas.
La información que el Responsable del tratamiento debe facilitar, se hará

en la primera obtención de información al interesado y debe contener:
 La identidad y los datos de contacto del responsable y/o su

representante.
 Los datos de contacto del delegado de protección de datos, (si es que
está obligado a ello).
 Finalidad del tratamiento y su justificación legal para poder llevarse a
cabo.
 Los destinatarios o las categorías de destinatarios de los datos
personales.
 Cuando el tratamiento se base en el interés legítimo, identificar dicho
interés legítimo, propio o de un tercero.
 El plazo durante el cual se conservarán los datos personales.

 La existencia de los derechos del interesado (que veremos a
continuación).
 El derecho a presentar una reclamación ante una autoridad de control.
 La existencia de decisiones automatizas, incluida la elaboración de
perfiles.
 Si existen transferencias internacionales de los datos.
 Si la comunicación de datos personales es un requisito legal o
contractual, o un requisito necesario para suscribir un contrato, de las
consecuencias en el caso de no cederlos.
Pero este derecho a su vez, amplia esta información para el supuesto de que la
información no sea obtenida directamente del interesado, caso en el que
deberá informar, junto con el resto de datos antes indicados: de la fuente de la
que proceden los datos personales y si proceden de fuentes de acceso público,
en un plazo que debe ser inferior a un mes, y en el caso de que se realicen
comunicaciones sobre el mismo, en la primera de ellas.
Derecho de acceso y de rectificación
Derecho de acceso
 Es el derecho del interesado a tener confirmación acerca de si sus datos

personales están siendo tratados, y en su caso, a acceder a los mismos.
Definición
Si el interesado ejerce el derecho, debemos facilitarle la siguiente

información:
a. Los fines del tratamiento.

b. Las categorías de datos personales de que se trate.
c. Los destinatarios o las categorías de destinatarios a los que se
comunicaron o serán comunicados los datos personales.
d. Plazo de conservación o plazo previsto para ello.
e. La existencia del derecho a solicitar el ejercicio del resto de derechos.
f. El derecho a presentar una reclamación ante una autoridad de control.
g. Si son datos no obtenidos del interesado, información sobre su origen.
h. La existencia de decisiones automatizadas, incluida la elaboración de
perfiles, información sobre el algoritmo aplicado y sus consecuencias
para el interesado a nivel de privacidad.
i. Si hay transferencias, las medidas aplicadas para su salvaguarda.
Aclaración
El Responsable debe facilitar al interesado una copia gratuita de los datos

personales sometidos al tratamiento. Para más copias, podrá cobrar una tasa
razonable basada en los costes administrativos.
Cuando el interesado haga la solicitud en formato electrónico, le facilitará la
información estructurada y si es posible en el mismo formato, a no ser que
solicite que se realice en otro formato.
Derecho de rectificación
 Es el derecho a la corrección de los datos personales del interesado por

parte del responsable.
Definición
En el caso que exista una comunicación previa de datos a

terceros (destinatarios de los datos), el Responsable del tratamiento debe
informarles para que procedan a la rectificación de los mismos, salvo que sea
imposible o exija un esfuerzo desproporcionado.
Por ejemplo algo tan sencillo como decirle a la entidad que tiene nuestros
datos, Responsable del tratamiento, que ya no vivimos en la calle Gran Vía
sino en la calle Colón o que los datos que tiene sobre nosotros no son exactos
y debe adecuarlos a la situación real.
Es decir, se produce un cambio en nuestros datos personales y se lo
comunicamos al Responsable del tratamiento o solicitamos que los datos
inexactos sean puestos al día.
Derecho de suspensión (derecho al olvido)
Se trata de una de las mayores novedades del Reglamento, viene a regular lo

que la jurisprudencia del Tribunal de Justicia de la Unión Europea reconoció en
la Sentencia del Tribunal de Justicia de 13 de mayo de 2014, consistente en
la supresión de los datos personales del interesado sin dilación, en el caso
de que se den alguna de la siguientes circunstancias:
 Los datos personales ya no sean necesarios en relación con los fines

para los que fueron recogidos o tratados de otro modo.
 El interesado retire el consentimiento en que se basa el tratamiento y
este no se base en otro fundamento jurídico.
 El interesado se oponga al tratamiento con arreglo al derecho de
oposición, por motivos particulares o por mercadotecnia, y no
prevalezcan otros motivos legítimos para el tratamiento.
 Los datos personales hayan sido tratados ilícitamente.
 Los datos personales deban suprimirse para el cumplimiento de una
obligación legal.
 Los datos personales se hayan obtenido en relación con la oferta de
servicios de la sociedad de la información.
En el caso de que dichos datos estén copiados o siendo usados también

por terceros, se deberá solicitar a dichos terceros que procedan a su
cancelación por parte del responsable (por ejemplo en el caso de los
buscadores).
No obstante, todo ello no se aplicará cuando los tratamientos sean necesarios

para:
 Ejercer el derecho a la libertad de expresión e información.

 Cumplir una obligación legal.
 Razones de interés público o fines de archivo publico estadístico, etc.
 Para la formulación, el ejercicio o la defensa de reclamaciones.
Aclaraciones
 A fin de reforzar el «derecho al olvido» en el entorno de Internet,

aparece el Derecho de Supresión; no se borran los datos que
aparecen en un buscador sino que se toman medidas para que esa
información no aparezca, que sea invisible para el buscador pero sigue
existiendo en la base de datos de contenidos.
 No debe confundirse con el derecho de cancelación que existía en la
LOPD. El Reglamento europeo conserva el derecho de cancelación pero
cambia su denominación al de Limitación del tratamiento, refiriéndose al
bloqueo de los datos para limitar y/o impedir su tratamiento.
Por ejemplo un periódico online, deberá tomar las medidas oportunas para que
una noticia no aparezca, para que sea invisible al buscador, para que no se
pueda indexar, si bien la noticia no será eliminada de su base de datos.
El derecho al olvido supone impedir la difusión de la información cuando

ésta es obsoleta o no tiene relevancia ni interés público.
 Si se estima la pretensión del interesado, la información no aparecerá

en los resultados de búsquedas, pero existiendo en la fuente original.
 Si los buscadores deniegan el ejercicio, el interesado puede
interponer una reclamación ante la Autoridad de Control.
Los principales buscadores, han habilitado formularios para facilitar su ejercicio.
El derecho al olvido se lo debemos a Mario Costeja, por el que el Tribunal de

Justicia, obligó a Google a retirar los datos relacionados con Mario sobre su
pasado moroso, estableciendo que no sólo Google sino el buscador (todos) son
responsables del tratamiento y en consecuencia se puede pedir el derecho de
cancelación, el derecho al olvido, no sólo ante el editor sino ante el buscador.
 Los interesados deben tener derecho a que sus datos personales se

supriman y dejen de tratarse si ya no son necesarios para los fines para los
que fueron recogidos o tratados de otro modo, si los interesados han retirado
su consentimiento para el tratamiento o se oponen al tratamiento de datos
personales que les conciernen.
Importante
Derecho a la limitación del tratamiento
 El derecho a la limitación del tratamiento es otra de las novedades de este

reglamento y lo podemos definir como el derecho del interesado a que no se realice
tratamiento con respecto a una parte de sus datos personales si se dan las circunstancias
para ello.
Definición
Así el interesado podrá ejercitar la limitación del tratamiento cuando se cumpla alguna
de las siguientes circunstancias:
 El interesado indique que son inexactos, mientras el responsable confirma dicha

inexactitud.
 Cuando el tratamiento sea ilícito, pero en vez de cancelar, solicite limitar el
tratamiento (por ejemplo, porque le interese el servicio).
 El responsable ya no necesite los datos personales para los fines del tratamiento,
pero el interesado si que los necesita en el ámbito de una reclamación.
 En caso de interés legítimo, mientras se acredita que interés prevalece.
Es decir, nos encontramos con, por definirlo de un modo más simple, un derecho de
cancelación temporal o parcial en función de los requisitos que se den.
Derecho a la portabilidad de los datos
El interesado tiene derecho a recibir los datos personales que le incumben, que
haya facilitado de forma automatizada a un Responsable del tratamiento, que
éste se los devuelva en un formato estructurado, automatizado y de uso
común para que a su vez sean transmitidos a un nuevo Responsable de
tratamiento (de forma directa o no) y todo ello sin que se lo impida el primer
Responsable del tratamiento.
Aclaraciones
 Por tanto, nos encontramos ante un derecho doble, de portabilidad al

interesado y de transmisión de Responsable a Responsable, es decir, el
interesado puede exigir a las empresas que estén tratando sus datos
que se los devuelvan o que se los pase a otra empresa.
 Para que el interesado, o el nuevo Responsable del tratamiento, pueda
hacer uso de los datos que se solicitan mediante el ejercicio de
portabilidad, la empresa que recibe el derecho, debe disponer de
un sistema informático y /o base de datos que cumpla la premisa de
datos estructurados y de uso común y que el nuevo Responsable del
tratamiento también disponga de un sistema informático y /o base de
datos adecuada a “un formato electrónico comúnmente utilizado”.
Por ejemplo si estoy en Vodafone y me voy a Orange, podré decirle “oiga

Vodafone haga usted la portabilidad”, es decir, no voy a perder los datos si
cierro mi cuenta porque le diré a Vodafone que efectúe la portabilidad a
Orange.
Tratamiento de datos personales y libertad de expresión
En las consideraciones iniciales del Reglamento Europeo de Protección de

Datos se indica que la evolución tecnológica y la globalización han provocado
un aumento significativo de la recogida e intercambio de datos
personales. Esto ha exigido la creación de un marco legislativo más sólido y
acorde a estas nuevas circunstancias con el fin de generar confianza, tanto a
personas físicas como a las empresas.
Por ello, uno de los aspectos más interesantes que se han tratado en el
Reglamento Europeo de Protección de Datos es la introducción y el
reconocimiento de una serie de nuevos derechos para los ciudadanos, que
van a cambiar la manera de gestionar los interesados, los ciudadanos y sus
datos personales. El ejercicio de los derechos no deberá afectar
negativamente a los derechos y libertades de terceros.
Concretamente en el Considerando 153 del Reglamento Europeo de

Protección de datos se indica:
“El Derecho de los Estados miembros debe conciliar las normas que rigen la
libertad de expresión e información, incluida la expresión periodística,
académica, artística o literaria, con el derecho a la protección de los datos
personales con arreglo al presente Reglamento. El tratamiento de datos
personales con fines exclusivamente periodísticos o con fines de expresión
académica, artística o literaria debe estar sujeto a excepciones o exenciones
de determinadas disposiciones del presente Reglamento si así se requiere
para conciliar el derecho a la protección de los datos personales con el
derecho a la libertad de expresión y de información consagrado en el artículo
11 de la Carta”.
Por otro lado, más adelante en el artículo 85.1 del Reglamento Europeo se

indica:
“Los Estados miembros conciliarán por ley el derecho a la protección de los

datos personales en virtud del presente Reglamento con el derecho a la
libertad de expresión y de información, incluido el tratamiento con fines
periodísticos y fines de expresión académica, artística o literaria”.
Por su parte, recientemente en el LOPD de España se han

introducido modificaciones en relación al tratamiento de datos
personales centrándose en las redes sociales.
Artículos 93
Artículo 93. Derecho al olvido en búsquedas de Internet
1. Toda persona tiene derecho a que los motores de búsqueda en Internet

eliminen de las listas de resultados que se obtuvieran tras una búsqueda
efectuada a partir de su nombre los enlaces publicados que contuvieran
información relativa a esa persona cuando fuesen inadecuados,
inexactos, no pertinentes, no actualizados o excesivos o hubieren
devenido como tales por el transcurso del tiempo, teniendo en cuenta
los fines para los que se recogieron o trataron, el tiempo transcurrido y
la naturaleza e interés público de la información.
Del mismo modo deberá procederse cuando las circunstancias

personales que en su caso invocase el afectado evidenciasen la
prevalencia de sus derechos sobre el mantenimiento de los enlaces por
el servicio de búsqueda en Internet.
Este derecho subsistirá aun cuando fuera lícita la conservación de la

información publicada en el sitio web al que se dirigiera el enlace y no se
procediese por la misma a su borrado previo o simultáneo.
2. El ejercicio del derecho al que se refiere este artículo no impedirá el

acceso a la información publicada en el sitio web a través de la
utilización de otros criterios de búsqueda distintos del nombre de quien
ejerciera el derecho.
Artículo 94. Derecho al olvido en servicios de redes sociales y servicios

equivalentes
1. Toda persona tiene derecho a que sean suprimidos, a su simple

solicitud, los datos personales que hubiese facilitado para su
publicación por servicios de redes sociales y servicios de la sociedad
de la información equivalentes.
2. Toda persona tiene derecho a que sean suprimidos los datos
personales que le conciernan y que hubiesen sido facilitados por
terceros para su publicación por los servicios de redes sociales y
servicios de la sociedad de la información equivalentes cuando fuesen
inadecuados, inexactos, no pertinentes, no actualizados o excesivos o
hubieren devenido como tales por el transcurso del tiempo, teniendo
en cuenta los fines para los que se recogieron o trataron, el tiempo
transcurrido y la naturaleza e interés público de la información.
Del mismo modo deberá procederse a la supresión de dichos datos

cuando las circunstancias personales que en su caso invocase el
afectado evidenciasen la prevalencia de sus derechos sobre el
mantenimiento de los datos por el servicio.
Se exceptúan de lo dispuesto en este apartado los datos que

hubiesen sido facilitados por personas físicas en el ejercicio de
actividades personales o domésticas.
3. En caso de que el derecho se ejercitase por un afectado respecto de

datos que hubiesen sido facilitados al servicio, por él o por terceros,
durante su minoría de edad, el prestador deberá proceder sin dilación
a su supresión por su simple solicitud, sin necesidad de que concurran
las circunstancias mencionadas en el apartado 2.
¿Podemos pensar que estas normas sesgan nuestra libertad de

expresión? En la difusión por canales privados de algún dato personal de un
tercero, en principio, la Ley de Protección de Datos española y el Reglamento
europeo no intervendría como difusión de datos aunque no hay que olvidar que
con este hecho se podría generar una ofensa que sí podría acarrear una
demanda en virtud del derecho a la protección de la vida privada, la imagen y al
honor. Por ello, siempre es bueno aplicar el sentido común para evitar tener
problemas.
Tratamiento y acceso del público a documentos oficiales
El Reglamento europeo en sus consideraciones iniciales expone que:

(Consideración 154)
“El presente Reglamento permite que, al aplicarlo, se tenga en cuenta el

principio de acceso del público a los documentos oficiales. El acceso del
público a documentos oficiales puede considerarse de interés público. Los
datos personales de documentos que se encuentren en poder de una autoridad
pública o un organismo público deben poder ser comunicados públicamente
por dicha autoridad u organismo si así lo establece el Derecho de la Unión o
los Estados miembros aplicable a dicha autoridad u organismo. Ambos
Derechos deben conciliar el acceso del público a documentos oficiales y la
reutilización de la información del sector público con el derecho a la protección
de los datos personales y, por tanto, pueden establecer la necesaria
conciliación con el derecho a la protección de los datos personales de
conformidad con el presente Reglamento. La referencia a autoridades y
organismos públicos debe incluir, en este contexto, a todas las autoridades u
otros organismos a los que se aplica el Derecho de los Estados miembros
sobre el acceso del público a documentos”.
Posteriormente en al artículo 86 del Reglamento “Tratamiento y acceso del

público a documentos oficiales”:
“Los datos personales de documentos oficiales en posesión de alguna

autoridad pública o u organismo público o una entidad privada para la
realización de una misión en interés público podrán ser comunicados por dicha
autoridad, organismo o entidad de conformidad con el Derecho de la Unión o
de los Estados miembros que se les aplique a fin de conciliar el acceso del
público a documentos oficiales con el derecho a la protección de los datos
personales en virtud del presente Reglamento”.
Tratamiento del número nacional de identificación y tratamiento en el

ámbito laboral

(Consideración 155)
“El Derecho de los Estados miembros o los convenios colectivos, incluidos los
«convenios de empresa», pueden establecer normas específicas relativas al
tratamiento de datos personales de los trabajadores en el ámbito laboral, en
particular en relación con las condiciones en las que los datos personales en el
contexto laboral pueden ser objeto de tratamiento sobre la base del
consentimiento del trabajador, los fines de la contratación, la ejecución del
contrato laboral, incluido el cumplimiento de las obligaciones establecidas por
la ley o por convenio colectivo, la gestión, planificación y organización del
trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y seguridad en
el trabajo, así como a los fines del ejercicio y disfrute, sea individual o colectivo,
de derechos y prestaciones relacionados con el empleo y a efectos de la
rescisión de la relación laboral”.
En al artículo 87 del Reglamento Tratamiento del número nacional de

identificación:
“Los Estados miembros podrán determinar adicionalmente las condiciones

específicas para el tratamiento de un número nacional de identificación o
cualquier otro medio de identificación de carácter general. En ese caso, el
número nacional de identificación o cualquier otro medio de identificación de
carácter general se utilizará únicamente con las garantías adecuadas para los
derechos y las libertades del interesado con arreglo al presente Reglamento”.
Por otro lado en el artículo 88 Tratamiento en el ámbito laboral:
1. “Los Estados miembros podrán, a través de disposiciones legislativas o

de convenios colectivos, establecer normas más específicas para
garantizar la protección de los derechos y libertades en relación con el
tratamiento de datos personales de los trabajadores en el ámbito
laboral, en particular a efectos de contratación de personal, ejecución
del contrato laboral, incluido el cumplimiento de las obligaciones
establecidas por la ley o por el convenio colectivo, gestión, planificación
y organización del trabajo, igualdad y diversidad en el lugar de trabajo,
salud y seguridad en el trabajo, protección de los bienes de empleados
o clientes, así como a efectos del ejercicio y disfrute, individual o
colectivo, de los derechos y prestaciones relacionados con el empleo y a
efectos de la extinción de la relación laboral.
2. Dichas normas incluirán medidas adecuadas y específicas para
preservar la dignidad humana de los interesados así como sus intereses
legítimos y sus derechos fundamentales, prestando especial atención a
la transparencia del tratamiento, a la transferencia de los datos
personales dentro de un grupo empresarial o de una unión de empresas
dedicadas a una actividad económica conjunta y a los sistemas de
supervisión en el lugar de trabajo”.
Tratamiento con fines de archivo en interés público, de investigación

científica o histórica o fines estadísticos
 Consideración 156: “El tratamiento de datos personales con fines de

archivo en interés público, fines de investigación científica o histórica o
fines estadísticos debe estar supeditado a unas garantías adecuadas
para los derechos y libertades del interesado de conformidad con el
presente Reglamento. Esas garantías deben asegurar que se aplican
medidas técnicas y organizativas para que se observe, en particular, el
principio de minimización de los datos. El tratamiento ulterior de datos
personales con fines de archivo en interés público, fines de investigación
científica o histórica o fines estadísticos ha de efectuarse cuando el
responsable del tratamiento haya evaluado la viabilidad de cumplir esos
fines mediante un tratamiento de datos que no permita identificar a los
interesados, o que ya no lo permita, siempre que existan las garantías
adecuadas (como, por ejemplo, la seudonimización de datos). Los
Estados miembros deben establecer garantías adecuadas para el
tratamiento de datos personales con fines de archivo en interés público,
fines de investigación científica o histórica o fines estadísticos. Debe
autorizarse que los Estados miembros establezcan, bajo condiciones
específicas y a reserva de garantías adecuadas para los interesados,
especificaciones y excepciones con respecto a los requisitos de
información y los derechos de rectificación, de supresión, al olvido, de
limitación del tratamiento, a la portabilidad de los datos y de oposición,
cuando se traten datos personales con fines de archivo en interés
público, fines de investigación científica e histórica o fines estadísticos.
Las condiciones y garantías en cuestión pueden conllevar
procedimientos específicos para que los interesados ejerzan dichos
derechos si resulta adecuado a la luz de los fines perseguidos por el
tratamiento específico, junto con las medidas técnicas y organizativas
destinadas a minimizar el tratamiento de datos personales atendiendo a
los principios de proporcionalidad y necesidad. El tratamiento de datos
personales con fines científicos también debe observar otras normas
pertinentes, como las relativas a los ensayos clínicos”.
 Consideración 157: “Combinando información procedente de registros,
los investigadores pueden obtener nuevos conocimientos de gran valor
sobre condiciones médicas extendidas, como las enfermedades
cardiovasculares, el cáncer y la depresión. Partiendo de registros, los
resultados de las investigaciones pueden ser más sólidos, ya que se
basan en una población mayor. Dentro de las ciencias sociales, la
investigación basada en registros permite que los investigadores
obtengan conocimientos esenciales acerca de la correlación a largo
plazo, con otras condiciones de vida, de diversas condiciones sociales,
como el desempleo y la educación. Los resultados de investigaciones
obtenidos de registros proporcionan conocimientos sólidos y de alta
calidad que pueden servir de base para la concepción y ejecución de
políticas basada en el conocimiento, mejorar la calidad de vida de
numerosas personas y mejorar la eficiencia de los servicios sociales.
Para facilitar la investigación científica, los datos personales pueden
tratarse con fines científicos, a reserva de condiciones y garantías
adecuadas establecidas en el Derecho de la Unión o de los Estados
miembros”.
 Consideración 158: “El presente Reglamento también debe aplicarse al
tratamiento de datos personales realizado con fines de archivo, teniendo
presente que no se debe aplicar a personas fallecidas. Las autoridades
públicas o los organismos públicos o privados que llevan registros de
interés público deben ser servicios que están obligados, con arreglo al
Derecho de la Unión o de los Estados miembros, a adquirir, mantener,
evaluar, organizar, describir, comunicar, promover y difundir registros de
valor perdurable para el interés público general y facilitar acceso a ellos.
Los Estados miembros también deben estar autorizados a establecer el
tratamiento ulterior de datos personales con fines de archivo, por
ejemplo a fin de ofrecer información específica relacionada con el
comportamiento político bajo antiguos regímenes de Estados totalitarios,
el genocidio, los crímenes contra la humanidad, en particular el
Holocausto, o los crímenes de guerra”.
 Consideración 159: “El presente Reglamento también debe aplicarse al
tratamiento datos personales que se realice con fines de investigación
científica. El tratamiento de datos personales con fines de investigación
científica debe interpretarse, a efectos del presente Reglamento, de
manera amplia, que incluya, por ejemplo, el desarrollo tecnológico y la
demostración, la investigación fundamental, la investigación aplicada y
la investigación financiada por el sector privado. Además, debe tener en
cuenta el objetivo de la Unión establecido en el artículo 179, apartado 1,
del TFUE de realizar un espacio europeo de investigación. Entre los
fines de investigación científica también se deben incluir los estudios
realizados en interés público en el ámbito de la salud pública. Para
cumplir las especificidades del tratamiento de datos personales con
fines de investigación científica deben aplicarse condiciones específicas,
en particular en lo que se refiere a la publicación o la comunicación de
otro modo de datos personales en el contexto de fines de investigación
científica. Si el resultado de la investigación científica, en particular en el
ámbito de la salud, justifica otras medidas en beneficio del interesado,
las normas generales del presente Reglamento deben aplicarse
teniendo en cuenta tales medidas”.
 Consideración 160: “El presente Reglamento debe aplicarse asimismo
al tratamiento datos personales que se realiza con fines de investigación
histórica. Esto incluye asimismo la investigación histórica y la
investigación para fines genealógicos, teniendo en cuenta que el
presente Reglamento no es de aplicación a personas fallecidas”.
 Consideración 162: “El presente Reglamento debe aplicarse al
tratamiento de datos personales con fines estadísticos. El contenido
estadístico, el control de accesos, las especificaciones para el
tratamiento de datos personales con fines estadísticos y las medidas
adecuadas para salvaguardar los derechos y las libertades de los
interesados y garantizar la confidencialidad estadística deben ser
establecidos, dentro de los límites del presente Reglamento, por el
Derecho de la Unión o de los Estados miembros. Por fines estadísticos
se entiende cualquier operación de recogida y tratamiento de datos
personales necesarios para encuestas estadísticas o para la producción
de resultados estadísticos. Estos resultados estadísticos pueden
además utilizarse con diferentes fines, incluidos fines de investigación
científica. El fin estadístico implica que el resultado del tratamiento con
fines estadísticos no sean datos personales, sino datos agregados, y
que este resultado o los datos personales no se utilicen para respaldar
medidas o decisiones relativas a personas físicas concretas”.
Concretamente en el artículo 89 “Garantías y excepciones aplicables al
tratamiento con fines de archivo en interés público, fines de investigación
científica o histórica o fines estadísticos”:
1. El tratamiento con fines de archivo en interés público, fines de

investigación científica o histórica o fines estadísticos estará sujeto a las
garantías adecuadas, con arreglo al presente Reglamento, para los
derechos y las libertades de los interesados. Dichas garantías harán que
se disponga de medidas técnicas y organizativas. (…). Tales medidas
podrán incluir la seudonimización, siempre que de esa forma puedan
alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse
mediante un tratamiento ulterior que no permita o ya no permita la
identificación de los interesados, esos fines se alcanzarán de ese modo.
2. Cuando se traten datos personales con fines de investigación científica
o histórica o estadísticos el Derecho de la Unión o de los Estados
miembros podrá establecer excepciones a los derechos contemplados
en los artículos 15, 16, 18 y 21, sujetas a las condiciones y garantías
indicadas en el apartado 1 del presente artículo, siempre que sea
probable que esos derechos imposibiliten u obstaculicen gravemente el
logro de los fines científicos y cuanto esas excepciones sean necesarias
para alcanzar esos fines.
3. Cuando se traten datos personales con fines de archivo en interés
público, el Derecho de le Unión o de los Estados miembros podrá prever
excepciones (…), sujetas a las condiciones y garantías citadas en el
apartado 1 del presente artículo, siempre que esos derechos puedan
imposibilitar u obstaculizar gravemente el logro de los fines científicos y
cuanto esas excepciones sean necesarias para alcanzar esos fines.
4. En caso de que el tratamiento a que hacen referencia los apartados 2 y
3 sirva también al mismo tiempo a otro fin, las excepciones solo serán
aplicables al tratamiento para los fines mencionados en dichos
apartados.
Otras situaciones
En el Reglamento Europeo 2016/679 que estamos analizando sobre la

Protección de personas físicas en lo que respecta al tratamiento de sus datos
personales y a la libre circulación de estos datos, determina en sus artículos
90 y 91 las obligaciones respecto al secreto profesional y sobre la protección
de datos de iglesias y asociaciones religiosas, respectivamente.
En el artículo 90.1 donde se trata sobre las Obligaciones de secreto, el

reglamento establece que:
1. “Los Estados miembros podrán adoptar normas específicas (…) a una

obligación de secreto profesional o a otras obligaciones de secreto
equivalentes, cuando sea necesario y proporcionado para conciliar el
derecho a la protección de los datos personales con la obligación de
secreto. Esas normas solo se aplicarán a los datos personales que el
responsable o el encargado del tratamiento hayan recibido como
resultado o con ocasión de una actividad cubierta por la citada
obligación de secreto”.
Por otro lado, en el artículo 91 sobre Normas vigentes sobre protección de

datos de las iglesias y asociaciones religiosas, se expone que:
1. “Cuando en un Estado miembro iglesias, asociaciones o comunidades

religiosas apliquen, en el momento de la entrada en vigor del presente
Reglamento, un conjunto de normas relativas a la protección de las
personas físicas en lo que respecta al tratamiento, tales normas podrán
seguir aplicándose, siempre que sean conformes con el presente
Reglamento.
2. Las iglesias y las asociaciones religiosas que apliquen normas
generales de conformidad con el apartado 1 del presente artículo
estarán sujetas al control de una autoridad de control independiente,
que podrá ser específica, siempre que cumpla las condiciones
establecidas en el capítulo VI del presente Reglamento”.
3. El responsable del tratamiento. La privacidad desde el diseó.

el encargado del tratamiento. Introducción y objetivos
Introducción
El Reglamento 2016/679 de protección de datos (RGPD), cuya entrada en

vigor fue pasado 25 de mayo de 2018, ofrece un marco de cumplimiento
modernizado basado en la rendición de cuentas por lo que se refiere a la
protección de datos en Europa. Los delegados de la protección de
datos (DPO) serán el elemento nuclear de este nuevo marco jurídico para
muchas organizaciones, lo que facilita el cumplimiento de las disposiciones del
RGPD.
Según el RGPD, será obligado para determinados responsables y encargados

del tratamiento de datos la designación de un DPO, lo que será aplicable a
todas las autoridades y organismos públicos (con independencia de los datos
que procesen) y a otras organizaciones que, como actividad principal, realicen
un seguimiento de personas de forma sistemática y a gran escala, o que
procesen categorías especiales de datos personales a gran escala.
Incluso en los casos en los que la RGPD no requiera específicamente el

nombramiento de un DPO, las organizaciones puede que en ocasiones
consideren útil designar un DPO de forma voluntaria.
El DPO es la piedra angular de la rendición de cuentas y que el nombramiento

de un DPO puede facilitar el cumplimiento de la normativa y, por otra parte,
convertirse en una ventaja competitiva para las empresas. Además de facilitar
el cumplimiento mediante la implementación de herramientas de rendición de
cuentas (tales como facilitar o llevar a cabo evaluaciones de impacto y
auditorías de protección de datos), los DPO actúan de intermediarios entre las
partes interesadas correspondientes (p. ej. autoridades supervisoras,
interesados y unidades de negocio dentro de las organizaciones).
Los DPO no son personalmente responsables en caso de incumplimiento
del RGPD. El RGPD declara taxativamente que es el responsable o el
encargado del tratamiento quien está obligado a garantizar y poder demostrar
que el tratamiento se lleva a cabo con arreglo a sus disposiciones (artículo 24).
La protección de datos es responsabilidad del responsable o el encargado
del tratamiento, quien asimismo tiene un papel crucial a la hora de hacer
posible el desempeño efectivo de las tareas del DPO. El nombramiento de un
DPO es el primer paso, pero debe conferírsele suficiente autonomía y recursos
para que lleve a cabo su cometido de forma efectiva.
 La RGPD reconoce al DPO como un actor clave en el nuevo sistema de

gestión de los datos y establece las condiciones de su nombramiento, su
puesto y sus tareas. El objeto de estas directrices es aclarar las disposiciones
relevantes del RGPD para ayudar a los responsables y encargados del
tratamiento a cumplir con la legislación y, asimismo, ayudar a los DPO en el
desempeño de su función.
Qué es
 Si pudiéramos resumir el nuevo Reglamento en unas pocas palabras,

diríamos que busca la responsabilidad proactiva y no reactiva del
Responsable y Encargado del tratamiento. Dicha responsabilidad debe estar
presente desde el inicio del proyecto “privacy by design”.
Importante
Debemos implantar medidas que garanticen y permitan demostrar el

cumplimiento del Reglamento.
Por ejemplo os imaginaríais una marca de automóviles saca al mercado un

coche sin cinturón de seguridad, sin frenos ABS, sin dirección asistida, sin
potentes luces… no verdad. Esto es la privacidad desde el diseño, aplicada
desde el comienzo del proyecto y no al finalizar. Este mismo criterio es el que
deben implantar las empresas que se involucren en un proyecto por el cual van
a tratar datos personales.
Ambos principios se basan en el buen hacer desde el mismo momento en el

cual empezamos a pensar en el desarrollo de un proyecto
El responsable de tratamiento es el máximo responsable en garantizar la

confidencialidad de los datos que trata y de dotar de seguridad a todos los
intervinientes y mecanismos tanto humanos como técnicos que intervengan en
la vida del dato, desde la recogida, tratamiento, almacenamiento y destrucción.
Obligaciones
- Artículo 32. Seguridad del tratamiento -
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la

naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos
de probabilidad y gravedad variables para los derechos y libertades de las
personas físicas, el responsable y el encargado del tratamiento aplicarán
medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo.
El responsable de tratamiento está obligado a demostrar que cumple con las

obligaciones y requisitos exigidos en el Reglamento, para ello impone al
Responsable y encargado de tratamiento adoptar las medidas de índole técnica
y organizativas necesarias que garanticen la seguridad de los datos de carácter
personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado
durante toda la vida del dato.
Entre las nuevas obligaciones están:
 Registro de actividades de tratamiento.

 Medidas de Protección de Datos desde el Diseño.
 Medidas de Protección de Datos por Defecto.
 Medidas de seguridad adecuadas.
 Análisis de Riesgos.
 Evaluaciones de Impacto.
 Delegado Protección de Datos.
 Notificación de Quiebras de Seguridad.
 Códigos de conducta y esquemas de certificación.
 Responsabilidad en la elección de Encargados de Tratamiento.
 Transparencia e información al interesado.

 Consentimiento inequívoco, expreso y explícito.
 Bases de legitimación para el tratamiento de los datos.
 Nuevos derechos del titular de los datos.
 Autorización previa o consultas previas al tratamiento con la Autoridad
de Control.
En téminos prácticos, se requiere que las organizaciones analicen qué datos

tratan, con qué finalidades lo hacen y qué tipo de operacionesde
tratamiento llevan a cabo. A partir de este conocimiento deben determinar de
forma explícita la forma en que aplicarán las medidas que el RGPD prevé,
asegurándose de que esas medidas son las adecuadas para cumplir con el
mismo y de que pueden demostrarlo ante los interesados y ante las
autoridades de supervisión.
En síntesis, debemos tener una actitud consciente, diligente y proactiva por

parte de las organizaciones frente a todos los tratamientos de datos personales
que lleven a cabo.
Representantes de responsables o encargados del tratamiento

Los Corresponsables del tratamiento, son dos responsables de
tratamiento que conjuntamente determinan el tratamiento de los datos
personales.
¿Deben formalizar la relación de alguna manera? Si, deben hacerlo

mediante un acuerdo en el cual determinarán:
 Las funciones de cada Corresponsable respecto al tratamiento de los

datos personales.
 Las responsabilidades de cada Corresponsable respecto al RGPD.
 Los procedimientos para el ejercicio de los derechos de los interesados,
que podrá ser frente a cada uno de ellos.
El acuerdo y los aspectos esenciales del acuerdo deben estar a

disposición de los interesados.
Por ejemplo:
 Organizaciones empresariales donde una matriz ejerce el control sobre

el resto, determina y participa conjuntamente en el tratamiento de los
datos personales de sus filiales.
 Empresas públicas dependientes de un Organismo público.
- Artículo 4. Definiciones -
<<representante>>: persona física o jurídica establecida en la Unión que,

habiendo sido designada por escrito por el responsable o el encargado del
tratamiento con arreglo al artículo 27 (Representantes de responsables o
encargados del tratamiento no establecidos en la Unión), represente al
responsable o al encargado en lo que respecta a sus respectivas obligaciones
en virtud del presente Reglamento.
¿Cuándo es necesario designar un representante? Para responsables o

encargados de tratamiento no establecidos en la UE que realicen un
tratamiento de datos personales de personas que residan en la UE y cuyos
tratamientos se relacionen con ofertas de bienes y servicios para dichas
personas.
3. Registro de las actividades de tratamiento
Los responsables o los encargados del tratamiento deberán mantener registros

de las actividades de tratamiento que se encuentren bajo su responsabilidad.
La derogada Ley Orgánica 15/99 establecía la obligación de notificar ficheros,

sin embargo esto no contribuyó en todos los casos a mejorar la protección de
los datos personales. Por ello el RGPD no considera la obligación general de
notificar el tratamiento de datos personales a las autoridades de control.
¿Cómo debe presentarse el Registro de tratamiento? Debe constar siempre

por escrito aunque también se consideras válidos en formato electrónico.
El contenido de registro de operaciones debe contener:
Responsabilidad
 Responsable del tratamiento: Nombre y datos de contacto del

responsable y, en su caso, del corresponsable o del representante del
responsable.
 Delegado de Protección de Datos: Nombre y datos de contacto del
Delegado de Protección de Datos.
Descripción de la actividad de tratamiento y de los datos tratados
 Actividad de Tratamiento: Conjunto de operaciones, procesos o

procedimientos, automatizados o manuales, que conlleve la recogida,
consulta, grabación, modificación, cesión o destrucción de datos de
carácter personal.
 Finalidad: Descripción de los fines explícitos y la base jurídica en virtud
de los cuales el Responsable del tratamiento procede a la realización de
las actividades de tratamiento sobre datos personales.
 Interesados: Categorías de personas físicas identificadas o
identificables a quien corresponden los datos personales que son
tratados: Categorías de personas físicas identificadas o identificables a
quien corresponden los datos personales que son tratados: clientes,
proveedores, empleados, pacientes, alumnos, concursantes, junta
directiva, socios, videovigilancia….
 Categorías de datos: Detalle de los datos objeto del tratamiento en
función de su clasificación:
o Datos identificativos (nombre, DNI, dirección, …).
o Datos financieros (cuenta bancaria, solvencia, …).
o Datos profesionales (profesión, experiencia, …).
o Datos de salud (enfermedades, alergias, …).
o Datos ideológicos y políticos.
o Datos de menores (herencia, seguros, …).
o Otros tipos de datos: especificar qué datos.
Transferencias y cesiones
 Cesiones: Categorías de destinatarios a quienes se comunicaron o se
comunicarán los datos personales, incluidos los destinatarios en terceros
países u organizaciones internacionales.
 Transferencias Internacionales de Datos: Se debe identificar a dicho
tercer país u organización internacional junto a la base jurídica que la
hace posible en ausencia de una decisión de adecuación o de garantía
adecuadas:
o Consentimiento explícito del interesado a la transferencia.
o Transferencia necesaria para la ejecución de un contrato entre el
interesado y el responsable del tratamiento.
o Transferencia necesaria para la celebración o ejecución de un
contrato, en interés del interesado, entre el responsable del
tratamiento y otra persona física o jurídica.
o Transferencia necesaria por razones importantes de interés
público.
o Transferencia necesaria para la formulación, el ejercicio o la
defensa de reclamaciones.
o Transferencia necesaria para proteger los intereses vitales del
interesado o de otras personas.
Si fuese de aplicación, medidas y garantías adecuadas adoptadas.
 Periodo de conservación: Indicador de los plazos de conservación de

la información establecidos en función del tratamiento, la finalidad, la
categoría del dato y las leyes establecidas.
Medidas de Seguridad: Descripción general de las medidas técnicas y organizativas de

seguridad, como:
 Seudonimización y cifrado de datos personales.

 Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
 Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en
caso de incidente físico o técnico.
 Proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
4. Protección de datos desde el diseño
En materia de protección este principio (Privacy by Design) alude a la

responsabilidad de las entidades en la implantación de medidas, de garantía y
cumplimiento de los principios y obligaciones desde el principio no del
desarrollo de un proyecto sino desde la primera idea o diseño del proyecto.
“Se trata de buscar la privacidad desde el primer momento de concepción de

un bien o servicio y no a posteriori como ahora hacen muchas empresas”.
 Todo aquel que vaya a llevar a cabo un sistema, un servicio, una

aplicación que implique tratamiento de datos, va a tener que diseñar ese
programa conforme a la privacidad.
Importante
Por ejemplo hay empresas que diseñan aplicaciones que se olvidan de la

privacidad, como las consolas que permiten jugar en línea con otros y no te
informan antes, que si juegas en línea los otros jugadores tendrán acceso a tus
datos, o la muñeca a la que le hablas y graba la conversación, que
posteriormente la enviará por wifi, cuando te conectes, a la marca y con ellos
harán un estudio de lo que los niños les dicen a sus muñecos, incluso de lo que
puedan grabar a la familia.
5. Protección de datos por defecto
Privacidad por defecto “Privacy by Default”, este principio alude a que la

privacidad del interesado esté configurada por defecto y no que sea el
interesado quien deba preocuparse de dotar de seguridad a sus datos para
garantizar su confidencialidad e intimidad.
Ejemplo
En materia de redes sociales, los perfiles de privacidad de los usuarios

estarán por defecto ocultos a otros usuarios, debiendo ser el usuario quien
los abra a otros.
Es decir, la privacidad por defecto, los perfiles son privados desde el primer
momento, no públicos.
6. La certificación como mecanismo de acreditación
El RGPD determina que podrán utilizarse para verificar el cumplimiento de la

normativa, la adhesión a Códigos de Conducta o mediante losmecanismos
de certificación.
Los códigos de conducta constituyen una muestra de lo que se

denomina autorregulación, es decir, la capacidad de las entidades,
instituciones y organizaciones para regularse a sí mismas a partir de la
normativa establecida.
Además especificarán la aplicación del Reglamento a las características y
necesidades de los distintos sectores de actividad, pymes o micropymes.
Un código de conducta depende de una asociación empresarial que haya

sido aprobado por una autoridad de control de protección de datos y podrá
servir para demostrar:
 Que el encargado adherido a un código ofrece garantías suficientes.

 El cumplimiento de las obligaciones sobre medidas de seguridad.
Un certificado tiene como objetivo demostrar el cumplimiento del RGPD por

parte del responsable o encargado de tratamiento.
Un mecanismo de certificación depende de un organismo de
certificación que haya recibido la acreditación de una autoridad de control de
protección de datos o un organismo de acreditación nacional o ambos. El
organismo de certificación tendrá un nivel adecuado de pericia en protección de
datos y estar acreditados por organismos de acreditación como La Autoridad
de Control de Protección de Datos competente y/o El organismo nacional de
acreditación (ENAC Reglamento 765/2008) con arreglo a la norma EN
ISO/IEC 17065/2012 y los requisitos establecidos por la APD competente o El
Comité Europeo de Protección de Datos.
Los responsables y encargados facilitarán toda la información y acceso a las

actividades de tratamiento al organismo de certificación. Tienen una validez de
3 años.
La expedición y renovación de una certificación por un organismo de
certificación habrá de comunicarse previamente a la APD.
Tanto el código de conducta como la certificación son instrumentos

voluntarios.
 El encargado del tratamiento es la persona física o jurídica, autoridad

pública, servicio u otro organismo que presta un servicio al responsable del
tratamiento y conlleva el tratamiento de datos personales por cuenta de éste.
Definición
El encargado del tratamiento tiene el deber de proteger los datos personales

en cualquier fase del tratamiento de los datos, desde el diseño del tratamiento
y por defecto durante todo el ciclo de vida del mismo: recogida, tratamiento,
conservación, supresión o destrucción, debiendo ser tratados de manera que
se garantice una seguridad, así como su honor e intimidad, evitando el
tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño
accidental, mediante la aplicación de medidas técnicas u organizativas
apropiadas.
Para ello debe cumplir los principios básicos de cumplimiento del RGPD en

todas las fases del tratamiento de los datos:
 La responsabilidad proactiva.
 Llevar un registro de las actividades o tratamiento de datos.
 Implantar una política de información y consentimiento al interesado.
 Implantar una política de seguridad, de análisis de riesgos y evaluación
del impacto.
 Adecuar Medidas de seguridad, a través de procedimientos específicos
según el tipo y categoría de los datos.
Regulación contractual de su relación con el responsable
El Responsable del tratamiento debe elegir un encargado del

tratamiento que ofrezca garantías suficientes respecto al tratamiento de los
datos y de la seguridad de las medidas técnicas y organizativas, de acuerdo
con lo establecido en el Reglamento, y que garantice la protección de los
derechos de las personas afectadas.
La relación entre el responsable y el encargado del tratamiento debe regularse

y establecerse a través de un contrato o un acto jurídico similar. El contrato
o acto jurídico debe ser por escrito o en formato electrónico.
El contenido del contrato debe incluir los siguientes puntos:
 1. Las instrucciones del responsable del tratamiento.

 2. El deber de confidencialidad.
 3. Las medidas de seguridad.
 4. Subcontratación.
 5. Los derechos de los interesados.

 6. La colaboración en el cumplimiento de las obligaciones del
responsable.
 7. El destino de los datos al finalizar la prestación.
 8. La colaboración con el responsable para demostrar el cumplimiento.
Si queremos que un proveedor nos demuestre que cumple con el Reglamento

y por tanto nos ofrece las garantías suficientes para elegirlo como encargado
del tratamiento, podemos solicitarle información sobre la adhesión a
códigos de conducta o la posesión por parte de su Delegado en Protección
de Datos “DPO”, del certificado correspondiente emitido por una certificadora
autorizada por la Autoridad de Control.
8. Subcontratación de servicios
 Cuando un encargado de tratamiento recurre a otro encargado para

realizar las actividades que el responsable de tratamiento solicitó, estamos ante
una subcontratación de servicios.
Definición
Las obligaciones del subencargado serán las mismas de las estipuladas en el

contrato entre responsable de tratamiento y encargado de tratamiento.
Si el subencargado incumple sus obligaciones, el encargado inicial seguirá

siendo responsable ante el responsable del tratamiento por lo que respecta al
cumplimiento de las obligaciones del subencargado.
En los supuestos de contratación de subencargados del tratamiento será

necesaria la autorización del responsable de tratamiento.
Tutela de la actividad y registro de las actividades de tratamiento

En el caso de que el encargado de tratamiento sea quien se ocupe del registro
de tratamiento, éste debe estar compuesto por:
 Nombre y datos de contacto del encargado y de cada responsable por

cuenta del cual actúe el encargado.
 Las categorías de tratamientos efectuados por cuenta del responsable.
 Transferencias internacionales de datos personales, así como la
documentación sobre garantías adecuadas para determinados casos.
 Cuando sea posible, una descripción general de las medidas técnicas y
organizativas de seguridad que el responsable aplique para garantizar la
integridad y confidencialidad de los datos.
8. Subcontratación de servicios
 Cuando un encargado de tratamiento recurre a otro encargado para

realizar las actividades que el responsable de tratamiento solicitó, estamos ante
una subcontratación de servicios.
Definición
Las obligaciones del subencargado serán las mismas de las estipuladas en el

contrato entre responsable de tratamiento y encargado de tratamiento.
Si el subencargado incumple sus obligaciones, el encargado inicial seguirá

siendo responsable ante el responsable del tratamiento por lo que respecta al
cumplimiento de las obligaciones del subencargado.
En los supuestos de contratación de subencargados del tratamiento será

necesaria la autorización del responsable de tratamiento
Tutela de la actividad y registro de las actividades de tratamiento
En el caso de que el encargado de tratamiento sea quien se ocupe del registro

de tratamiento, éste debe estar compuesto por:
 Nombre y datos de contacto del encargado y de cada responsable por

cuenta del cual actúe el encargado.
 Las categorías de tratamientos efectuados por cuenta del responsable.
 Transferencias internacionales de datos personales, así como la
documentación sobre garantías adecuadas para determinados casos.
 Cuando sea posible, una descripción general de las medidas técnicas y
organizativas de seguridad que el responsable aplique para garantizar la
integridad y confidencialidad de los datos.
1. Comunicación de violaciones de seguridad a la autoridad y al

interesado
Las violaciones de la seguridad. Notificación de violaciones de seguridad.
Los procedimientos de seguridad que debemos implantar para garantizar la

confidencialidad de los ciudadanos y su buen uso, no siempre dependen solo
de nuestro buen hacer. Hay situaciones que pueden provocar lo que se
llama brechas de seguridad, incidencias de seguridad o violaciones de
seguridad.
Hablamos de cosas tan habituales como un ataque informático, los famosos

hackers, que si son capaces de vulnerar la seguridad del pentágono, que no
harán con la seguridad de nuestras entidades.
Lógicamente, esto no es óbice para no implantar todas las medidas de
seguridad que se correspondan con el tratamiento de los datos que haga y
hagamos en nuestra empresa como responsable del tratamiento.
Si en algún momento, se produce una incidencia que ponga en peligro los

datos personales de aquellas personas con las que nuestra entidad mantenga
algún tipo de relación, debemos actuar rápidamente, tal y como veremos en
esta lección.
Violaciones de seguridad de los datos personales
El responsable de tratamiento debe notificar a la autoridad de control tan

pronto como tenga conocimiento de que se ha producido una violación de la
seguridad de los datos personales.
 Dicha notificación deberá realizarse sin dilación indebida y a más tardar

en el plazo de 72 horas. Además, también debemos notificar dicha incidencia al
interesado.
Importante
El objetivo de notificar la violación de seguridad es siempre que el afectado

pueda reaccionar tan pronto como sea posible y tomar las medidas
oportunas para proteger su intimidad, honor y posibles consecuencias. Por
ello, el Reglamento exige que se realice de manera inmediata.
Aclaración
Será necesario notificar la incidencia a la autoridad de control salvo que el

responsable del tratamiento pueda demostrar la improbabilidad de que la
violación de seguridad entrañe un riesgo para los derechos y libertades de los
interesados.
Tampoco será necesario comunicarlo a los interesados cuando se hayan
tomado medidas para acabar con ese riesgoo cuando la notificación requiera
un gasto desproporcionado.
Si la notificación no fuese posible realizarla en 72h, debemos detallar

los motivos de la dilación, pudiendo ser notificada de manera escalonada, en
varias fases.
Ejemplos de incidencia
Una incidencia puede ser:
 Accesos a equipos, aplicaciones o ficheros (automatizados o no), sin

contar con la debida autorización.
 Acceso indiscriminado a impresoras, fotocopiadoras.
 Imposibilidad, por causas diversas, de acceder a un equipo, aplicación o
fichero para el que presuntamente se tiene permiso.
 Comunicación de datos personales a personas no autorizadas.
 Comunicación de datos personales a terceras empresas no autorizadas:
o Falta de contrato entre Responsable y Encargado del tratamiento.
o Transferencia internacional de datos sin estar sujeta a una
Decisión de suficiencia de la UE o Garantías adecuadas de
 Pérdida total o parcial de datos personales almacenados en ficheros.
 Irregularidades o deficiencias relativas a la resolución de las incidencias
de seguridad detectadas y registradas.
 Incidencia en los procesos de recuperación de datos.
 Cambios o incidencias producidas, no comunicadas o no autorizadas en
el software y/o hardware.
 Incidencia relativas a deficiencias en el uso, suministro, reutilización o
desechado de soportes.
 Incidencias relativas a las redes de comunicaciones.
 Detección de pruebas con datos reales sin autorización.
 Incidencias con el cifrado de información.
 Detección de virus en el sistema, equipos.
 Pérdida o extravío de documentos.
 Pérdida o extravío de soportes automatizados (portátil, teléfono, tablet,
memoria de almacenamiento, discos duros extraíbles…).
 Intentos de hurto o robo en las instalaciones.
 Extravío de llaves de locales, oficinas, despachos o armarios que
contengan ficheros con datos personales y/o soportes automatizados.
 Publicación de imágenes sin autorización del interesado.
 Vulnerar el derecho del secreto profesional.
 Envío de correos electrónicos masivos sin ocultar los destinatarios “cco”.
 Cualquier violación o situación que pueda conducir a un incumplimiento
de la normativa de acceso físico.
 ...
2. La violación de la seguridad
El Reglamento dice que una violación de la seguridad de los datos

personales es “toda violación de la seguridad que ocasione la destrucción,
pérdida o alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos” que pueda producirse en cualquier fase del
tratamiento: obtención, acceso, intervención, transmisión, conservación o
supresión de datos.
 Aclarar que la notificación de las violaciones o brechas de seguridad no

es nuevo y ya fue introducida por el artículo 4.2 de la Directiva sobre
privacidad y comunicaciones electrónicas (2002/58/CE) y transpuesta al
derecho español por la Ley General de Telecomunicaciones (Ley 9/2014 de
9 de Mayo) a través de su artículo 41.2 y 41.33 y en los artículos 2 y 3 del
Reglamento UE (611/2013). Si bien dichas notificaciones o violaciones de
seguridad sólo afectaban a los operadores de servicios de comunicaciones
electrónicas, a partir del 25 de mayo de 2018 las notificaciones sobre
violaciones o brechas de seguridad deberán ser notificadas por los
responsables de tratamiento a las Autoridades de Control y, en su caso, a
los interesados si las mismas suponen un alto riesgo para los derechos y
libertades de las personas físicas.
Saber más
¿Cuándo una violación de seguridad puede comportar alto riesgo?
El criterio para notificar una incidencia basándonos en el alto riesgo que

menciona el Reglamento, debemos entenderlo en el sentido de que sea
probable que la violación de seguridad ocasione importantes daños a los
interesados.
Por ejemplo, en casos en que se desvelen contraseñas, números identificativos

como DNI, pasaporte, se difundan de forma masiva datos sensibles como
salud, políticas, raza/etnias, vida sexual, perfil concreto de usuario que permita
conocer aspectos privados, circunstancias financieras o que se puedan
producir perjuicios económicos para los afectados.
El criterio que debemos seguir para valorar una incidencia se basará en:
 El potencial daño para los datos de los interesados.

 Valorar el riesgo según el tipo de datos y sus consecuencias.
 El volumen de datos personales afectados.
 El nivel de sensibilidad de los datos personales.
3. Notificación a la autoridad de control
Según el artículo 33 de la Notificación de una violación de datos a la

autoridad de control, la comunicación deberá contener como mínimo la
siguiente información:
 Una descripción de la naturaleza de la violación de la seguridad de los

datos personales.
 Las categorías de los datos.
 El número aproximado de interesados afectados.
 El número aproximado de registros de datos personales afectados.
 El nombre y los datos de contacto del delegado de protección de datos o
de otro perfil de contacto (antiguo responsable de seguridad) en el que
pueda obtenerse más información.
 Descripción de las posibles consecuencias de la violación de seguridad.
 Descripción de las medidas adoptadas para solventar la violación de
seguridad.
 Medidas adoptadas para paliar los posibles efectos negativos sobre los
interesados.
Aclaración
Con independencia de la notificación a la autoridad de control, los responsables

deben documentar todas las violaciones de seguridad. Se trata de una
obligación que establece el RGPD y que se aproxima en gran medida al
registro de incidencias que existe en el Real Decreto 1720/2007 de la Ley
Orgánica 15/99 de Protección de Datos de Carácter Personal.
4. Notificación al interesado
Comunicación de una violación de datos al interesado (artículo 34)
Afectados
Como ya sabemos, además de la comunicación a la autoridad de control el

responsable del tratamiento deberá comunicar al interesado sin dilación
indebida, la violación de la seguridad de los datos personales cuando la misma
entrañe un alto riesgo para los derechos y libertades de las personas físicas.
No será necesaria la comunicación al interesado, si el responsable cumple

con alguna de las siguientes condiciones:
 El responsable del tratamiento ha adoptado con anterioridad a la

violación de seguridad, medidas de protección técnicas y organizativas
apropiadas sobre los datos que sufrieron dicha brecha o violación de
seguridad, de manera que hagan ininteligibles los datos personales para
cualquier persona que no esté autorizada a acceder a ellos, como por
ejemplo el cifrado.
 El responsable del tratamiento tras la violación de seguridad ha tomado
medidas para garantizar que ya no se materializará un alto riesgo para
los derechos y libertades del interesado.
 Suponga un esfuerzo desproporcionado. En este caso, se optará en su
lugar por una comunicación pública o una medida semejante por la que
se informe de manera igualmente efectiva a los interesados.
Contenido
La comunicación al interesado describirá en un lenguaje claro y sencillo una

descripción de la violación de la seguridad de los datos personales
y contendrá como mínimo la siguiente información:
 El nombre y los datos de contacto del delegado de protección de datos o
de otro perfil de contacto (antiguo responsable de seguridad) en el que
pueda obtenerse más información.
 Descripción de las posibles consecuencias de la violación de seguridad.
 Descripción de las medidas adoptadas para solventar la violación de
seguridad.
 Medidas adoptadas para paliar los posibles efectos negativos sobre los
interesados.
Aclaración
El Reglamento establece que en aquellos supuestos en los que el responsable

del tratamiento no haya comunicado al interesado la violación de la
seguridad de los datos personales, la Autoridad de Control, podrá exigirle que
lo haga, si considera que existe probabilidad de que la violación de seguridad
entrañe un alto riesgo para los derechos y libertades de las personas físicas.
5. La evaluación de impacto y la autorización previa
 La Evaluación de Impacto en Protección de Datos “EIPD” es una

evaluación o mecanismo con carácter preventivo que debe realizar el
responsable del tratamiento para poder identificar, evaluar y gestionar los
riesgos a los que están expuestas sus actividades de tratamiento con el
objetivo de garantizar los derechos y libertades de las personas físicas.
Definición
En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un

tratamiento, con el objetivo de establecer las medidas de control más
adecuadas para reducir el mismo hasta un nivel considerado aceptable.
Todas las empresas, sin excepción, deben analizar las vulnerabilidades de

seguridad y potenciales brechas de seguridad, con la finalidad de implementar
las mejores soluciones destinadas a impedir la pérdida de confidencialidad de
los datos personales.
Debemos entender una EIPD como un proceso constante de mejora, por ello
ante cualquier cambio, modificación, actualización o incidencias que puedan
generar nuevos riesgos, se debe realizar una nueva evaluación de impacto,
generando el informe correspondiente y tomando las acciones y medidas de
control necesarias.
En caso de que no generen nuevas amenazas y riesgos sobre los derechos
y libertades de los interesados, igualmente se debe realizar una valoración de
los cambios producidos y documentar claramente la no necesidad de implantar
nuevas medidas de control adicionales.
Aclaración
Este análisis, así como la selección de las soluciones, debe realizarse teniendo
en cuenta el estado de la técnica. Es decir, deben implementarse medidas de
seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o
bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería
el uso de sistemas de cifrado obsoletos.
La autorización previa, regulada en el artículo 36 del Reglamento, consiste en

la consulta por parte del responsable a la autoridad de control, antes del
tratamiento de datos, cuando la evaluación de impacto relativa a la protección
de los datos muestre un alto riesgo en el proceso de tratamiento de los datos si
el responsable no toma medidas para paliar ese riesgo.
Ampliaremos este tema en el apartado 7 de este tema.
6. La evaluación de impacto
Cuando las operaciones de tratamiento entrañen riesgos específicos para los

derechos y libertades de los interesados en razón de su naturaleza, alcance o
fines, el Responsable o el Encargado del tratamiento que actúe por cuenta del
Responsable llevarán a cabo una evaluación del impacto de las operaciones
de tratamiento previstas en la protección de datos personales.
El responsable del tratamiento recabará el asesoramiento del Delegado de

Protección de Datos para realizar la evaluación de impacto.
Los supuestos que el Reglamento General de Protección de Datos contempla

como obligatorios son aquellos en que se produzcan:
 Decisiones automatizadas, que originen efectos jurídicos hacia el

interesado (persona a quien corresponden los datos personales) o le
afecte significativamente.
 Tratamientos a gran escala de categorías especiales de datos o de
datos personales relativos a condenas e infracciones penales o medidas
de seguridad conexas.
 Observación sistemática a gran escala de una zona de acceso público.
 Operaciones que, a criterio de la autoridad de control competente,
impliquen un alto riesgo para los derechos de los interesados.
 Cualquier tratamiento de datos que, por su naturaleza, alcance, contexto
o fines, implique un alto riesgo para los derechos y libertades de las
personas físicas, y en particular si utiliza nuevas tecnologías.
Ejemplos:
 Centros Sanitarios.
 Entidades de crédito, seguros, servicios de inversión, solvencia
patrimonial.
 Centros Docentes.
 Tratamiento de datos de menores de 14 años.
 Tratamiento de grandes volúmenes de datos a través de sistemas como
Big Data.
 Videovigilancia a gran escala.
 Transferencias internacionales de datos que no forman parte del
Espacio Económico Europeo.
 Una Evaluación de Impacto va más allá de un Análisis de Riesgos,

podemos decir que consiste en analizar los riesgos sobre un producto,
servicio o sistema de información que puede entrañar para la protección de
datos de las personas afectadas cuyos datos serán tratados y como
consecuencia de la evaluación de impacto, afrontar de manera eficaz la
gestión de dichos riesgosmediante la adopción y gestión de medidas
necesarias para eliminarlos o mitigarlos.
Importante
En la siguiente pantalla se mostrarán las fases en las que se debe basar una
evaluación de impacto.
Una evaluación de impacto, debe basarse en una serie de fases:
 1. ¿Es necesario?- ¿Cuál es la finalidad? – Calidad de los datos: Se

trata de obtener el detalle de las categorías de datos que se tratan. Los
datos personales serán usados únicamente para la finalidad para la cual
han sido recabados, y nunca para una finalidad que sea incompatible.
 2. Describir los flujos de información: Se trata de conocer cómo se
van a recabar los datos de carácter personal. Ver ejemplo.
 3. Identificar los riesgos que afecten a la privacidad: Identificar los
posibles riesgos sobre los datos personales, que pueden ser:
o Sobre los afectados, relacionada con los principios del tratamiento
de datos personales.
o Riesgos técnicos, relacionados con las medidas de seguridad.
o Riesgos legales, relacionados con el incumplimiento de la
normativa correspondiente.
 4. Mantenimiento de los datos personales: Una vez terminada la
finalidad, ¿qué vamos a hacer? Ver ejemplo.
 5. Garantizar los derechos: Como ya sabemos, uno de los principios
que debemos garantizar al interesado y cumplir, es el ejercicio de los
derechos, por tanto, debemos verificar que estamos preparados para su
cumplimiento. Ver ejemplo.
 6. Medidas de seguridad: La seguridad de los datos debe estar
presente en toda la vida del dato personal. Debemos tener un plan
estratégico de seguridad informática y de gestión para datos no
almacenados en soportes automatizados, así como los procedimientos
que debemos divulgar entra todas las personas involucradas en el
tratamiento de los datos. Ver ejemplo.
 7. Cesiones de datos - Transferencias internacionales: Por último y
no menos importante, debemos evaluar el tratamiento de los datos
personales por parte de terceros “proveedores de servicios”.
Debemos preguntarnos si es necesaria la cesión y en caso de que la
respuesta sea afirmativa, debemos disponer de los controles que
garanticen que los prestadores de servicios cumplen el Reglamento,
dado que este es uno de los cambios que debemos adaptar a nuestra
empresa, verificar que el proveedor cumple la normativa. Ver ejemplo.
8. Informe final: El Responsable del tratamiento debe disponer de un documento con la

relación detallada de los riesgos identificados y de las recomendaciones y propuestas para
eliminarlos o mitigarlos.
El lenguaje del informe debe ser lo más claro y transparente posible, huyendo de
tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los
destinatarios del mismo o, al menos, si no es posible dejar de evitar ciertos términos
jurídicos o tecnológicos. Es conveniente incluir un glosario con las definiciones y no dar
por supuesto que cualquier lector los conoce con precisión.
El informe final de la Evaluación de Impacto debe contener:
 Una descripción general de las operaciones de tratamiento previstas.

 Una evaluación de los riesgos para los derechos y libertades de los interesados.
 Las medidas contempladas para hacer frente a los riesgos y amenazas.
 Garantías, medidas de seguridad y mecanismos destinados a garantizar la
protección de datos personales y a demostrar la conformidad con el reglamento,
teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras
personas afectadas.
 Recomendaciones y acciones que deben realizarse.
Una vez presentado el informe, la dirección del Responsable del tratamiento debe tomar
una decisión en relación al mismo, para dotar de los recursos necesarios sobre
las recomendaciones para su ejecución e implantación y la máxima dirección del
Responsable del tratamiento, debe valorar el mismo para tomar una decisión y dotar de
los recursos necesarios (organizativas, tecnológicas, contractuales, etc) con la finalidad
de ejecutar e implantar las medidas oportunas para dar cumplimiento al Reglamento.
Para la elaboración del documento final, es imprescindible la colaboración del DPO.

Se debe comprobar la efectividad de la implantación de las medidas resultantes del
informe, examinando el proyecto una vez puesta en marcha y verificar si se han realizado
correctamente.
Cuando cambien las condiciones del tratamiento es necesario realizar una nueva
Evaluación de impacto por si hubiera nuevos riesgos.
7. La consulta previa
En el artículo 36 del Reglamento se expone que el responsable consultará a la

autoridad de control antes de proceder al tratamiento cuando una evaluación
de impacto relativa a la protección de los datos muestre que el tratamiento
entrañaría un alto riesgo si el responsable no toma medidas para para
mitigarlo.
Además, cuando la autoridad de control considere que el tratamiento previsto

anterior infringe el presente Reglamento, en particular cuando el responsable
no haya identificado o mitigado suficientemente el riesgo, la autoridad de
control deberá, en un plazo de ocho semanas desde la solicitud de la
consulta, asesorar por escrito al responsable.
 Dicho plazo podrá prorrogarse seis semanas, en función de la
complejidad del tratamiento previsto. La autoridad de control informará al
responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes
a partir de la recepción de la solicitud de consulta, indicando los motivos de la
dilación. Estos plazos podrán suspenderse hasta que la autoridad de control
haya obtenido la información solicitada a los fines de la consulta.
Saber más
Cuando consulte a la autoridad de control, el responsable del tratamiento

le facilitará la información siguiente:
 En su caso, las responsabilidades respectivas del responsable, los

corresponsables y los encargados implicados en el tratamiento, en
particular en caso de tratamiento dentro de un grupo empresarial.
 Los fines y medios del tratamiento previsto.
 Las medidas y garantías establecidas para proteger los derechos y
libertades de los interesados de conformidad con el presente
Reglamento.
 En su caso, los datos de contacto del delegado de protección de datos.
 La evaluación de impacto relativa a la protección de datos establecida
en el artículo 35.
 Cualquier otra información que solicite la autoridad de control.
Los Estados miembros garantizarán que se consulte a la autoridad de

control durante la elaboración de toda propuesta de medida legislativa que
haya de adoptar un Parlamento nacional, o de una medida reglamentaria
basada en dicha medida legislativa, que se refiera al tratamiento.
No obstante, el Derecho de los Estados miembros podrá obligar a los

responsables del tratamiento a consultar a la autoridad de control y a
recabar su autorización previa en relación con el tratamiento por un
responsable en el ejercicio de una misión realizada en interés público, en
particular el tratamiento en relación con la protección social y la salud pública.
Designación
El Reglamento convierte al Delegado de Protección de Datos en una figura

muy importante para la empresa. Su rol es fundamental para velar por el
cumplimiento del Reglamento y el Responsable de protección de datos, es
una figura muy parecida en cuanto a su configuración a la que ya conocemos
del Compliance Officer en materia penal.
Aclaración
Como ya sabemos, el Reglamento establece una serie de medidas para

aumentar la responsabilidad y la rendición de cuentas para garantizar el
pleno cumplimiento de las nuevas normas de protección de datos.
El objetivo es que las normas persistan en el tiempo y la empresa tenga
presente el criterio de “desde el diseño y por defecto”, para ello los
Responsables del tratamiento deben poner en práctica una serie de medidas,
procedimientos y protocolos de seguridad y organizativos donde la figura del
DPO es fundamental.
El DPD ha de ser nombrado atendiendo a sus cualificaciones

profesionales y, en particular, a su conocimiento de la legislación y
la prácticade la protección de datos.
La designación del DPD y sus datos de contacto deben hacerse públicos por

los responsables y encargados y deberán ser comunicados a las autoridades
de supervisión competentes.
Posición ante la protección de datos
El Delegado de Protección de Datos (DPD). Marco normativo
El Reglamento 2016/679 de protección de datos (RGPD), ofrecerá un marco

de cumplimiento modernizado basado en la rendición de cuentas por lo que se
refiere a la protección de datos en Europa. Los delegados de la protección de
datos serán el elemento nuclear de este nuevo marco jurídico para muchas
organizaciones, lo que facilita el cumplimiento de las disposiciones del RGPD.
Según el RGPD, será obligado para determinados responsables y

encargados del tratamiento de datos la designación de un DPO, lo que será
aplicable a todas las autoridades y organismos públicos (con independencia de
los datos que procesen) y a otras organizaciones que, como actividad principal,
realicen un seguimiento de personas de forma sistemática y a gran escala,
o que procesen categorías especiales de datos personales a gran escala.
Incluso en los casos en los que la RGPD no requiera específicamente el
nombramiento de un DPO, las organizaciones puede que en ocasiones
consideren útil designar un DPO de forma voluntaria.
El Grupo de Trabajo del artículo 29 anima a llevar a cabo estos esfuerzos

voluntarios. El DPO es la piedra angular de la rendición de cuentas. El
nombramiento de un DPO puede facilitar el cumplimiento de la normativa y, por
otra parte, convertirse en una ventaja competitiva para las empresas. Además
de facilitar el cumplimiento mediante la implementación de herramientas de
rendición de cuentas (tales como facilitar o llevar a cabo evaluaciones de
impacto y auditorías de protección de datos), los DPO actúan
de intermediarios entre las partes interesadas correspondientes (p. ej.
autoridades supervisoras, interesados y unidades de negocio dentro de las
organizaciones).
Los DPO no son personalmente responsables en caso de incumplimiento

del RGPD. El RGPD declara taxativamente que es el responsable o el
encargado del tratamiento quien está obligado a garantizar y poder demostrar
que el tratamiento se lleva a cabo con arreglo a sus disposiciones (artículo 24).
La protección de datos es responsabilidad del responsable o el encargado del
tratamiento, quien asimismo tiene un papel crucial a la hora de hacer posible el
desempeño efectivo de las tareas del DPO. El nombramiento de un DPO es el
primer paso, pero debe conferírsele suficiente autonomía y recursos para que
lleve a cabo su cometido de forma efectiva.
 La RGPD reconoce al DPO como un actor clave en el nuevo sistema de

gestión de los datos y establece las condiciones de su nombramiento, su
puesto y sus tareas. El objeto de estas directrices es aclarar las disposiciones
relevantes del RGPD para ayudar a los responsables y encargados del
tratamiento a cumplir con la legislación y, asimismo, ayudar a los DPO en el
desempeño de su función.
Importante
Funciones
Veamos la figura del DPO desde distintos parámetros:
 Posición en la empresa
o Total autonomía en el ejercicio de sus funciones.
o Necesidad de que se relacione con el nivel superior de la
dirección.
o Obligación de que el responsable o el encargado faciliten al DPD
todos los recursos necesarios para desarrollar su actividad.
 Asesoramiento
o Debe informar y asesorar al responsable o al encargado del
tratamiento de las obligaciones normativas en protección de datos
que les incumban.
o Tiene que asesorar tanto al responsable como al encargado
acerca de la evaluación de impacto que realice relativa a la
o Asesorar a los empleados durante el tratamiento de datos.
 Supervisión del cumplimiento normativo
o Supervisar el adecuado cumplimiento de las normas sobre
protección de datos en la entidad.
o Revisar las políticas internas de privacidad en la organización y
su adecuación normativa.
o Asignar responsabilidades entre los miembros de la organización,
respecto a las obligaciones en materia de protección de datos.
o Realización de acciones de concienciación internas respecto al
cumplimiento efectivo de la normativa.
o Formar al personal que participa en las operaciones de
tratamiento de datos.
o Supervisar las evaluaciones de impacto.
o Control, coordinación y verificación de las medidas de seguridad
aplicables.
 Cooperación y enlace con la autoridad de control
o Actuar como punto de contacto con la Agencia Española de
Protección de Datos para las cuestiones relacionadas con el
tratamiento de datos personales, incluyendo la consulta previa.
o Cooperar con la autoridad de control.
 Atención a los interesados
o Atender las consultas que los interesados realicen a la entidad, ya
sea para cuestiones relativas al tratamiento de sus datos o para el
ejercicio de sus derechos.
Aspectos fundamentales
 Los códigos de conducta tienen como función principal mantener la

correcta aplicación del Reglamento, de todas las entidades que tratan los datos
independientemente del sector o el tipo de entidad que sea.
Importante
El Reglamento dedica cuatro artículos a la especificación de estos códigos (del

artículo 40 al 43) de carácter voluntario pero que a su vez son una facilidad
para ayudar a la cumplimentación del Reglamento.
 Según el artículo 40.2, las asociaciones y demás organismos

representativos, son los que pueden crear los tipos de conducta o
modificarlos con la finalidad estipulada.
Los códigos de conducta podrán tener ámbito nacional o utilizarse

en varios estados miembros regulando así el cumplimiento de
objetivos. Dependiendo del ámbito en el que se encuentren las
asociaciones u organismos desarrolladores de estos códigos, tendrán
que presentarlos para su aprobación ante la autoridad de control
competente.
Los organismos que podrán supervisar el cumplimiento de un código de

conducta serán los que tengan «el nivel adecuado de pericia en
relación con el objeto del código y que haya sido acreditado para tal fin
por la autoridad de control competente».
 El artículo 41.2 especifica los requisitos que hacen falta para que un

organismo sea acreditado para la supervisión de códigos de conducta.
Si un organismo ha sido acreditado, es porque:
o Ha demostrado, a satisfacción de la autoridad de control
competente, su independencia y pericia en relación con el objeto
del código.
o Ha establecido procedimientos que le permitan evaluar la
idoneidad de los responsables y encargados correspondientes
para aplicar el código, supervisar el cumplimiento de sus
disposiciones y examinar periódicamente su aplicación.
o Ha establecido procedimientos y estructuras para tratar las
reclamaciones relativas a infracciones del código o a la manera
en que el código haya sido o esté siendo aplicado por un
responsable o encargado del tratamiento, y para hacer dichos
procedimientos y estructuras transparentes para los interesados y
el público.
o Ha demostrado, a satisfacción de la autoridad de control
competente, que sus funciones y cometidos no dan lugar a
conflicto de intereses
El considerando 98 aboga por el incentivar a los organismos a crear códigos

de conducta que permitan un mejor cumplimento de la normativa y
el considerando 99 señala la consulta a la hora de elaborar un código de
conducta. Veamos los 2 apartados en su forma íntegra:
Considerando 98: Se debe incitar a las asociaciones u otros organismos que

representen a categorías de responsables o encargados a que elaboren
códigos de conducta, dentro de los límites fijados por el presente Reglamento,
con el fin de facilitar su aplicación efectiva, teniendo en cuenta las
características específicas del tratamiento llevado a cabo en determinados
sectores y las necesidades específicas de las microempresas y las pequeñas y
medianas empresas. Dichos códigos de conducta podrían en particular
establecer las obligaciones de los responsables y encargados, teniendo en
cuenta el riesgo probable para los derechos y libertades de las personas físicas
que se derive del tratamiento.
Considerando 99: Al elaborar un código de conducta, o al modificar o ampliar

dicho código, las asociaciones y otros organismos que representan a
categorías de responsables o encargados deben consultar a las partes
interesadas, incluidos los interesados cuando sea posible, y tener en cuenta
las consideraciones transmitidas y las opiniones manifestadas en respuesta a
dichas consultas.
Procedimiento de elaboración, modificación o ampliación
Se podrán elaborar por las asociaciones y otros organismos representativos de

categorías de responsables y encargados.
En la elaboración de los mismos, se deben consultar con todas las partes
interesadas, incluidos los interesados cuando sea posible y tener en cuenta sus
consideraciones.
¿Cómo se elaboran, modifican o amplían? Aquellas asociaciones u

organismos que pretendan elaborar, modificar o ampliar un código de
conducta, deben presentar el proyecto a la autoridad de control competente
con arreglo al artículo 55 del RGPD, en nuestro caso a la AEPD.
La autoridad de control deberá determinará si el proyecto, es conforme a lo

establecido en el RGPD para proceder a su aprobación, registro y publicación.
Podemos distinguir 2 ámbitos en la elaboración, modificación o ampliación de

los códigos:
 Códigos de ámbito nacional, la AEPD debe evaluar si es conforme al
RGPD y si ofrece garantías suficientes y lo aprobará.
La AEPD le dará publicidad y procederá al registro del código.
 Códigos de ámbito UE, la autoridad de control de protección de datos,
antes de su aprobación, lo enviará al Comité Europeo de Protección de
Datos para que:
o Dictamine sobre su adecuación al RGPD (art. 64.1.b).
o Dictamine sobre las garantías ofrecidas para las Transferencias
Internacionales de Datos.
El Comité Europeo de Protección de Datos enviará el dictamen favorable a la

Comisión, que decidirá sobre si el código tiene validez dentro de la UE y, en
ese caso, le dará publicidad. Además llevará un registro de los códigos y los
pondrá a disposición pública.
Artículo 64. Dictamen del Comité
1. El Comité emitirá un dictamen siempre que una autoridad de control

competente proyecte adoptar alguna de las medidas enumeradas a
continuación. A tal fin, la autoridad de control competente comunicará el
proyecto de decisión al Comité, cuando la decisión:
o b) afecte a un asunto de conformidad con el artículo 40, apartado
7, cuyo objeto sea determinar si un proyecto de código de
conducta o una modificación o ampliación de un código de
conducta es conforme con el presente Reglamento;
Menú
Novedades en la seguridad de los datos personales
Índice
 Mapa conceptual
 1. Los códigos de conducta
 Aspectos fundamentales
 Procedimiento de elaboración, modificación o ampliación
 Supervisión de los códigos de conducta
 2. Los códigos de certificación
 Mecanismos de certificación, sellos y marcas
 El organismo de certificación
 Requisitos para acreditar un organismo de certificación
 Otras obligaciones
 3. Transferencias de datos a terceros países u organizaciones
internacionales
 Tratamiento transfronterizo y transferencia internacional de datos
 Transferencia internacional de datos
 Decisión de la comisión de adecuación al RGPD
 Mediante el establecimiento de garantías adecuadas
 Binding Corporate Rules (BCR) o normas corporativas vinculantes
 Comunicaciones o transferencias de datos no autorizadas por el
derecho de la Unión y excepciones para situaciones específicas
 Actividades
5. Los códigos de conducta. Los códigos de

certificación. Transferencias de datos a terceros
países. Introducción y objetivos
Supervisión de los códigos de conducta
La supervisión o control del código de conducta podrá ser llevado a cabo por
un organismo de supervisión con el nivel de pericia adecuado en relación
con el objeto del código y que haya sido acreditado por la AEPD, entre sus
funciones se encuentran las siguientes:
 Tomará medidas adecuadas en caso de infracción del código, pudiendo

suspender y expulsar al infractor.
 Informará de las sanciones y de los motivos a la AEPD.
 El incumplimiento de sus obligaciones implica una sanción de hasta 10
millones de €.
Las APD competentes fijarán los criterios de acreditación y los someterán al

CEPD para su dictamen a través del mecanismo de coherencia.
2. Los códigos de certificación
 Los códigos de certificación pretenden ser meras demostraciones de

que se está cumpliendo la normativa en protección de datos por parte del
responsable y encargado del tratamiento. El Reglamento europeo desarrolla
estos conceptos en el artículo 42 y en el 43.
Definición
Estos mecanismos de certificación pueden establecerse mediante sellos o

marcas « con objeto de demostrar la existencia de garantías adecuadas
ofrecidas por los responsables o encargados no sujetos al presente
Reglamento».
Los certificados serán expedidos por un máximo de tres años y se

podrá renovar siempre y cuando se cumplan las mismas condiciones, de lo
contrario se procederá a la retirada.
Los responsables o encargados del tratamiento de datos que soliciten un

mecanismo de certificación deberán aportar a la autoridad de control
competente la información acerca del tratamiento de datos requerida para
el sometimiento a evaluación.
El Reglamento establece que los organismos encargados de la expedición y
renovación de certificaciones serán acreditados por la autoridad de control o el
organismo nacional de acreditación designado.
Los requisitos que necesita un organismo para poder expedir o renovar una

certificación, los recoge el artículo 43.3 de manera que sólo serán acreditados
si:
a. han demostrado, a satisfacción de la autoridad de control competente,

su independencia y su pericia en relación con el objeto de la
certificación.
b. se han comprometido a respetar los criterios mencionados en el artículo
42, apartado 5, y aprobados por la autoridad de control que sea
competente en virtud del artículo 55 o 56, o por el Comité de
conformidad con el artículo 63.
c. han establecido procedimientos para la expedición, la revisión periódica
y la retirada de certificaciones, sellos y marcas de protección de datos.
d. han establecido procedimientos y estructuras para tratar las
reclamaciones relativas a infracciones de la certificación o a la manera
en que la certificación haya sido o esté siendo aplicada por un
responsable o encargado del tratamiento, y para hacer dichos
procedimientos y estructuras transparentes para los interesados y el
público.
e. han demostrado, a satisfacción de la autoridad de control competente,
que sus funciones y cometidos no dan lugar a conflicto de intereses.
1. Los códigos de conducta
El Considerando 100 recoge cuál es la finalidad principal de los códigos de

certificaciones:
«A fin de aumentar la transparencia y el cumplimiento del presente

Reglamento, debe fomentarse el establecimiento de mecanismos de
certificación y sellos y marcas de protección de datos, que permitan a los
interesados evaluar con mayor rapidez el nivel de protección de datos de los
productos y servicios correspondientes.»
Diferencias
Las certificaciones a diferencia de los códigos de conducta tendrán una validez

de 5 años con posibilidad de renovación o en su caso de retirada
dependiendo de si sigue cumpliendo o no los requisitos establecidos. Los
organismos de certificación deberán informar a la autoridad de control la razón
de por qué han retirado la certificación o por qué la han expedido.
Tanto los códigos de conducta como los códigos de certificación son nombres
nuevos que aparecen en el nuevo Reglamento Europeo de Protección de
Datos, pero estos elementos de ayuda y certificación del cumplimiento de la
normativa de protección de datos ya existían en la LOPD bajo el nombre de
“códigos tipo” (de conducta) y “mecanismos de supervisión” (de
certificación).
Ejemplo:
Algunos de los códigos tipo a los que podemos acogernos son:
 Fichero Prevención del fraude en seguros.

 Entidades de gestión de cobro.
 Organizaciones sanitarias.
 ASNEF.
 Automóviles, pérdida total, robo o incendio.
 Intermediación Inmobiliaria.
 Confianza On-line.
 Odontólogos y Estomatólogos.
 Etc.
El organismo de certificación
Los organismos de acreditación son:
 La APD competente, en España será la Agencia Española de Protección

de Datos.
 El organismo nacional de acreditación (ENAC Reglamento 765/2008)
con arreglo a la norma EN ISO/IEC 17065/2012 y los requisitos
establecidos por la APD competente “AEPD”.
 El CEPD.
Requisitos para acreditar un organismo de certificación
Se acreditarán organismos de certificación si:
 Demuestran independencia y pericia en el objeto de la certificación.

 Se comprometen a respetar los criterios de certificación.
 Establecen procedimientos para la expedición, revisión periódica y
retirada de certificaciones, sellos y marcas.
 Establecen procedimientos y estructuras para tramitar reclamaciones
relativas a infracciones de la certificación por responsables/encargados,
que sean transparentes para los interesados y el público.
 Demuestran que no hay conflicto de intereses.
 La acreditación es válida por 5 años máximo, renovable en las mismas
condiciones. La APD competente o el organismo nacional las revocarán
si no se cumplen las condiciones de la acreditación o si el organismo de
certificación incumple el RGPD.
Otras obligaciones
 El CEPD dispondrá de un registro público de los certificados, sellos y
marcas, los organismos acreditados y responsables y encargados
acreditados (certificados) establecidos en terceros países cuando sirven
de garantías para las Transferencias Internacionales de Datos.
 Las APD debe hacer públicos los criterios y requisitos de acreditación y
de certificación de forma fácilmente accesible y los comunicarán al
CEPD.
 La Comisión podrá adoptar actos delegados para especificar las
condiciones a tener en cuenta en los mecanismos de certificación en
materia de protección de datos, previo dictamen del CEPD sobre los
requisitos de certificación.
 La Comisión podrá establecer actos de ejecución, es decir, normas
técnicas para los certificados, sellos y marcas y mecanismos para
promoverlos y reconocerlos.
Tratamiento transfronterizo y transferencia internacional de datos
Veamos las diferencias más notables entre la Ley Orgánica 15/99 de

Protección de Datos y el Reglamento europeo 2016/679:
ANTES DESPUÉS
 PRIVACY SHIELD .
 El exportador puede ser el
 SAFE HARBOR responsable del tratamiento y el
 El exportador ha de ser siempre el encargado de tratamiento.
responsable del tratamiento.  Las transferencias se pueden
 Solicitar de la Agencia Española llevar a cabo sin necesidad de
de Protección de Datos una autorización previa (si ofrecen
autorización previa para poder garantías adecuadas).
transferir datos.  Códigos de conducta y normas
corporativas vinculantes para
grupos empresariales.
Vamos a pararnos un momento en el Safe Harbor y el Privacy Shield para

entender la razón por la cual la transferencia internacional de datos debe ser
controlada y gestionada con las máximas garantías de seguridad.
Se pasa del Safe Harbor “Puerto Seguro” al Privacy Shield “Escudo de

Seguridad”. Las transferencias internacionales de datos de carácter personal
adquirieron una mayor relevancia pública tras las revelaciones de Edward
Snowden (experto consultor informático que prestó servicios para la CIA y la
NSA) sobre la vigilancia masiva que hacían de nuestros datos y haciendo
públicos documentos clasificados.
Sobre todo con la sentencia del Tribunal de Justicia de la Unión Europea, de
octubre de 2015, se invalidó el Safe Harbor que consideraba que las
entidades de EEUU adheridas a dicho sistema proporcionaban un nivel
adecuado de protección de datos. Esta sentencia dio lugar a que muchos
responsables de ficheros adquirieran consciencia de que estaban
realizando transferencias internacionales con motivo de la contratación de
determinados servicios, como cloud computing, es decir, la famosa nube y sus
servicios.
¿Sabías que...? – El porqué de derogar el Safe Harbor
Max Schrems estaba cursando su último semestre en la famosa Universidad

de Santa Clara en Silicon Valley cuando asistió a una conferencia de Ed
Palmieri, el abogado de Facebook especializado en privacidad. Max quedó
atónito al descubrir que Facebook tenía un gran y grave desconocimiento de
la legislación europea red social a los tribunales en materia de protección de
datos. Ya de vuelta en casa, empezó a hacer un seguimiento de los derechos
que tienen nuestros datos cuando cruzan el Atlántico. Descubrió que no tenían
más suerte que intentar cruzar en canoa sin remo, motor ni vela la costa de
EEUU hasta Europa en plena galerna.
Así que decidió llevar a esta red social a los tribunales en 2011, tras
conocerse las revelaciones que Edward Snowden hizo sobre la red de
vigilancia mundial organizada por la Agencia de Seguridad Nacional
Estadounidense (NSA), en colaboración con la CIA. Su denuncia argumentó
que la empresa estadunidense no garantizaba la protección de datos de los
ciudadanos europeos, que gracias a los acuerdos con la U.E. se transferían a
EEUU.
El joven abogado austríaco empezó entonces a poner denuncias ante las

agencias responsables de la Protección de Datos en aquellos países donde las
grandes empresas puntocom tenían sede. Esto es: contra Facebook y Apple en
Irlanda, Skype y Microsoft en Luxemburgo, y Yahoo en Alemania.
Fue en Irlanda que el Tribunal Superior interpelo al Tribunal de Justicia de la

U.E. para que interpretara la legislación europea al respecto.
De ahí el cambio y que ahora solo se podrán transmitir datos a países u

organismos internacionales que la Comisión Europea haya considerado que
aseguran un nivel óptimo de protección de datos, esto es cuando:
 1. Exista una decisión de adecuación tomada por la Comisión de la UE.
 2. Existan garantías adecuadas de protección de datos.
 3. Se hayan elaborado y aprobado normas vinculantes “NCV”.
 4. A falta de lo anterior, podamos acogernos a alguna excepción:

o Sea necesaria para satisfacer intereses legítimos imperiosos del
responsable.
o No sea repetitiva.
o Se comunique a la Autoridad de Protección de Datos.
o Afecte solo a un número limitado de interesados.
o No prevalezcan los derechos, libertades e intereses de los
afectados.
Glosario.
Países declarados con nivel adecuado de protección de datos. (Hasta la

fecha):
 Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.

 Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de
2001.
 Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de
2003.
 Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre
de 2003.
 Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de
2004.
 Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
 Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de
2010.
 Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de

2010.
 Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
 Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de
2012.
 Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de
diciembre de 2012.
 Estados Unidos. Aplicable a las entidades certificadas en el marco del
Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la
Comisión, de 12 de julio de 2016.
Queda por ver qué pasa con Reino Unido por el tema Brexit.
 Si la entidad a la que realizamos la transferencia internacional no se

encentra en esta lista, no podremos basar la transferencia en la decisión de
adecuación.
Transferencia internacional de datos
Obligaciones
específicas
Evidentemente se deben cumplir todas las medidas de seguridad y

procedimientos implantados para el tratamiento de los datos personales que
garanticen la confidencialidad, privacidad, honor, intimidad y seguridad, pero
además, en este caso debemos cumplir concretamente las siguientes:
 Identificar en el Registro del tratamiento: Entre otra información, la

identificación de las transferencias internacionales de datos a terceros países o
a organizaciones internacionales con documentación de las garantías
adecuadas de protección que se hayan adoptado.
 Información y comunicación a los interesados: Informar al interesado sobre
la intención de realizar transferencias internacionales, detallando la existencia o
ausencia de una decisión de adecuación con una referencia a las garantías
adecuadas y a los medios para obtener copia de ellas o al momento en que se
hayan facilitado las mismas.
 Ejercicio de los derechos de los interesados: Posibilitar el ejercicio del
derecho de acceso informando al interesado de los Destinatarios o categorías
de destinatarios internacionales.
Cuando exista un encargo del tratamiento, el Responsable del tratamiento

posibilitará el ejercicio del derecho de acceso informando de las garantías
adecuadas de protección de datos aplicadas.
Decisión de la comisión de adecuación al RGPD
Como podéis observar, el RGPD parte de los criterios ya establecidos en

la Directiva 95/46 (derogada por el Reglamento 2016/679) e incorporados en
la LOPD, es decir, que sólo se podrán transmitir datos a aquellos países,
territorios, sectores u organismos internacionales respecto de los que la
Comisión Europea haya considerado que disponen de un nivel adecuado de
protección o, en otro caso, se aporten garantías suficientes o se den algunas
de las circunstancias previstas como excepciones, y siempre y cuando se
observen los demás requisitos del Reglamento.
Aclaración
No cabe duda que todas estas modificaciones van a facilitar las relaciones
comerciales y la cooperación internacional al evitar tener que solicitar la
autorización de la Agencia en la mayoría de los casos, pero siempre
garantizando los derechos de los afectados en la transmisión de los datos fuera
de la UE.
Mediante el establecimiento de garantías adecuadas
 Como recordaréis, hemos dicho que solo se podrán realizar

transferencias internacionales a terceros países cuando exista unadecisión de
adecuación, sin embargo hay excepciones que se establecen en ausencia de
dicha decisión de adecuación y solo se podrán realizar cuando los terceros
países ofrezcan garantías adecuadas de protección de datos y dispongan
de recursos legalespara ejercer los derechos.
Binding Corporate Rules (BCR) o normas corporativas vinculantes
 Las siglas BCR (en inglés Binding Corporate Rules) o normas

corporativas vinculantes son “políticas de protección de datos asumidas por
un responsable o encargado del tratamiento establecido en el territorio de un
Estado miembro para transferencias de datos personales a un responsable o
encargado en uno o más países terceros, dentro de un grupo empresarial o
una unión de empresas dedicadas a una actividad económica conjunta”.
Definición
¿Qué son los grupos empresariales?
Según el portal de la Agencia Española de Protección de Datos, los grupos

empresariales son aquellos “constituidos por una empresa que ejerce el
control y sus empresas controladas”.
Podríamos decir que es un contrato vinculante jurídicamente entre dos

partes para proteger y garantizar la transferencia internacional de datos,
cuando esa transferencia se va a realizar a un tercer país que no cuenta con
las garantías mínimas de seguridad. - Fuente: guiasjuridicas.wolterskluwer.
Los grupos empresariales interesados en la elaboración de normas

corporativas vinculantes pueden solicitar información en la siguiente dirección
de correo electrónico: rgpd@agpd.es.
Comunicaciones o transferencias de datos no autorizadas por el

derecho de la Unión y excepciones para situaciones específicas
Por tanto, en ausencia de una decisión de adecuación o de garantías

adecuadas, podrá realizarse cuando se cumpla alguna de
lascondiciones siguientes:
Aprobadas por la Autoridad de control
 Acuerdos jurídicamente vinculantes y ejecutivos entre Autoridades u

Organismos públicos.
 Cláusulas contractuales tipo de protección de datos con el Responsable,
Encargado o Destinatario de los terceros países u Organizaciones
internacionales
 Pertenencia a un grupo de empresas con normas corporativas vinculantes
aprobadas por la Autoridad de control.
 Adhesión a un código de conducta aprobado por la Autoridad de control.
 Posesión de un certificado, sello o marca de protección de datos expedido por
un Organismo de certificación acreditado.
 Autorización específica de la Autoridad de control obtenida mediante la
presentación de una solicitud para realizar la transferencia internacional.
Por interés del interesado
 El interesado dé explícitamente su consentimiento, tras haber sido

informado de los riesgos debidos a la ausencia de garantías adecuadas
de protección de datos.
 Sea necesario para la ejecución de un contrato o precontrato entre el
Responsable y el interesado.
 Sea necesario para la ejecución de un contrato por interés del
interesado, entre el Responsable y otra persona física o jurídica.
 Sea necesario para proteger los intereses vitales del interesado u otras
personas, cuando esté física o jurídicamente incapacitado para dar su
consentimiento.
Transferencias internacionales de datos por interés del interesado pueden

ser los servicios en la nube, seguros de viaje, tratamientos médicos en países
fuera de la U.E.
Por interés legítimo e imperioso del Responsable o Encargado del

tratamiento
Las transferencias internacionales podrán ser lícitas por un interés legítimo

e imperioso del Responsable o Encargado del tratamiento, siempre y cuando
se cumplan todas las siguientes condiciones:
 La transferencia no sea repetitiva y afecte un número limitado de

interesados.
 El interés legítimo del Responsable no quede anulado por los intereses o
derechos y libertades del interesado.
 Se realice una evaluación de impacto y se hayan puesto en práctica las
garantías adecuadas de protección.
Por interés público
Las transferencias internacionales también podrán ser lícitas cuando se

realizan por motivos importantes y legítimos de interés público, cuando:
 Sea necesario para el reconocimiento, ejercicio o defensa de un derecho

en un procedimiento judicial.
 Se realice desde un registro público legal que tenga por objeto facilitar
información al público en general o a cualquier persona que pueda
acreditar un interés legítimo y no implique la consulta de la totalidad de
los datos personales o de las categorías de datos
1. Las autoridades de control
Posición de la Agencia Española de Protección de Datos
 Una autoridad de control es la autoridad pública independiente

establecida en un Estado miembro, en nuestro caso hablamos de la Agencia
Española de Protección de Datos.
Naturaleza y actividad
La Agencia Española de Protección de Datos se encarga de supervisar la

aplicación del presente Reglamento, con el fin de proteger los derechos y las
libertades fundamentales de las personas físicas en lo que respecta al
tratamiento y de facilitar la libre circulación de datos personales en la Unión.
Independencia
Requisitos
El artículo 52 RGPD establece los requisitos de independencia de la APD para

el desempeño de sus funciones, estableciendo que los miembros:
 Deben ser ajenos a toda influencia externa,

 No solicitarán ni admitirán ninguna instrucción.
 Deben abstenerse de cualquier acción que sea incompatible con sus funciones.
 Durante su mandato, no podrán participar, en ninguna actividad profesional
remunerada o no que sea incompatible.
 Se les debe garantizar que la disposición en todo momento de los recursos
humanos, técnicos y financieros, así como de los locales y las infraestructuras
necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus
poderes.
 Se les debe garantizar que puedan elegir y disponer de su propio personal, que
estarán sujetos a la autoridad exclusiva de la autoridad de control interesada.
 Deben estar sujetas a un control financiero que no afecte a su independencia y
que disponga de un presupuesto anual, público e independiente, que podrá
formar parte del presupuesto general del Estado o de otro ámbito nacional.
Condiciones generales aplicables a los miembros de la autoridad de

control
1. Todos los miembros de la APD de los Estados miembros serán nombradas

mediante el mismo procedimiento, por su:
o Parlamento.
o Gobierno.
o Jefe de Estado.
o Organismo independiente encargado del nombramiento en virtud del
Derecho de los Estados miembros.
2. Cada miembro debe poseer y demostrar, en el ámbito de la protección de
datos personales, los siguientes requisitos necesarios para el cumplimiento de
sus funciones y el ejercicio de sus poderes:
o Titulación.
o Experiencia.
o Aptitudes.
3. Los miembros darán por concluidas sus funciones en caso de:
o Terminación del mandato.
o Dimisión.
o Jubilación.
4. Un miembro será destituido únicamente en caso de:
o Conducta irregular grave.
o Deja de cumplir las condiciones exigidas en el desempeño de sus
funciones.
Normas relativas al establecimiento de la autoridad de control
Las normas de las Autoridades de control, así como de los miembros (visto

en el punto anterior 6.1.3), serán establecidos por Ley por el Estado miembro y
son los siguientes:
a. El establecimiento de la Autoridad de control.

b. Las cualificaciones y condiciones de los miembros de la Autoridad de control.
c. Las normas para nombrar a los miembros de la Autoridad de control.
d. La duración del mandato de los miembros de la Autoridad de control, que no
será inferior a 4 años.
e. Condiciones de las obligaciones de los miembros de la Autoridad de control:
a. Prohibiciones relativas a acciones.
b. Prohibiciones relativas a ocupaciones.
c. Prohibiciones relativas a acciones.
d. Incompatibilidades durante y después del cargo.
 i. Normas que rigen el cese del miembro, por ejemplo el deber
de secreto
Competencias
 El termino competencia se refiere a la autonomía de la autoridad de

control para llevar a cabo las funciones que le son asignadas, es decir, que son
de su competencia.
Definición
La excepción la encontramos con los tratamientos efectuados por los

tribunales en el ejercicio de su función judicial. En este caso, la Autoridad de
control no tendrá la competencia necesaria para controlar dichas operaciones
de tratamientos.
Funciones
Podemos distinguir 3 funciones diferentes:

Afectan al interesado
 Promover la sensibilización del Reglamento entre el público.

 Facilitar información al interesado de los derechos que le otorga el
Reglamento.
 Facilitar la presentación de reclamaciones mediante formularios por vía
electrónica u otros medios de comunicación.
 Resolver las reclamaciones presentadas por un interesado.
Afectan al Responsable y Encargado de tratamiento
 Recibir las notificaciones de violaciones de seguridad.

 Adoptar cláusulas contractuales tipo (contratos con terceros,
transferencias internacionales de datos).
 Elaborar guías de ayuda para Responsables y Encargados del
tratamiento.
 Asesorar al Responsable o al Encargado del tratamiento del
procedimiento para realizar una consulta previa a la Autoridad de control
Afectan a las garantías de cumplimiento
 Establecer los requisitos de certificación, expedir mecanismos de

certificación, sellos y marcas de protección de datos, renovarlos o
retirarlos a su vencimiento.
 Elaborar y publicar los criterios para la acreditación de un organismo de
certificación o de supervisión de códigos de conducta
Poderes
Debemos distinguir entre poderes investigadores y correctores:
PODERES INVESTIGADORES PODERES CORRECTORES
1. Ordenar al Responsable y al 1. Imponer sanciones.

Encargado del tratamiento o, si lo 2. Formular advertencias o amonestaciones
PODERES INVESTIGADORES PODERES CORRECTORES
al Responsable y al Encargado del

tratamiento cuando las operaciones de
tratamiento puedan infringir el
Reglamento.
hubiere, al representante de estos, 3. Ordenar al Responsable y al Encargado del
que faciliten cualquier información tratamiento que atiendan las solicitudes
que soliciten. del interesado para ejercer sus derechos.
2. Llevar a cabo investigaciones en 4. Ordenar al Responsable del tratamiento la
forma de auditorías comunicación de una violación de
3. Llevar a cabo una revisión de las seguridad a los interesados afectados por
certificaciones expedidas la misma.
4. Notificar al Responsable y al 5. Imponer una limitación temporal o
Encargado del tratamiento las definitiva del tratamiento.
presuntas infracciones del 6. Ordenar la rectificación, limitación o
Reglamento. supresión de datos.
7. Retirar una certificación si no se cumplen
los requisitos legales.
8. Ordenar la suspensión de una
transferencia internacional de datos.
Cooperación entre la autoridad de control principal y demás

autoridades de control interesadas
Las APD de los Estados miembros deben cooperar con otras APD para

facilitar la aplicación eficaz del RGPD, así como prestarse asistencia mutua,
principalmente en lo relacionado a:
 Reclamaciones y denuncias.
 Asistencia en investigaciones.
 Intercambio de información y documentación.
Recordemos que se trata de una norma igual para todos los países de la

UE, por tanto no tiene sentido que se apliquen acciones diferentes en relación
a las competencias de la APD de cada Estado Miembro.
La cooperación entre la APD de los Estados miembros se antoja indispensable

para poder llegar a un consenso común y coherente en la aplicación del
RGPD, principalmente en lo relacionado con:
 Inspecciones.
 Investigaciones.
 Consultas previas.
 Solicitudes de información.
 Medidas de control.
 Autorizaciones.
Por ello, una APD principal, podrá solicitar en cualquier momento a otras APD
que presten asistencia mutua en virtud a uno de los puntos mencionados
anteriormente, por ejemplo solicitudes de un Responsable o Encargado de
tratamiento.
¿Cómo se realiza la solicitud de asistencia? La APD principal comunicará a

las demás APD información relacionada con el fin de obtener un dictamen al
respecto y tendrá debidamente en cuenta sus puntos de vista.
¿Pueden las demás APD presentar objeciones a la información

aportada? Si, en un plazo de cuatro semanas a partir de la consulta realizada
por la APD principal.
Si la APD principal decide seguir lo indicado, deberá presentar al resto de
APD un informe revisado. Si el resto de APD no presentan objeciones, se
considerará que la autoridad de control principal y las autoridades de control
interesadas están de acuerdo con dicho proyecto de decisión y estarán
vinculadas por este.
 La APD notificará la decisión al establecimiento principal o al establecimiento

único del Responsable o el Encargado del tratamiento, según proceda, e
informará de la decisión a las autoridades de control interesadas, incluyendo un
resumen de los hechos pertinentes y la motivación.
 Tras recibir la notificación de la decisión de la APD principal, el Responsable o
el Encargado del tratamiento adoptará las medidas necesarias para
garantizar el cumplimiento de la decisión.
El responsable o el encargado notificarán las medidas adoptadas para

dar cumplimiento a dicha decisión a la APD principal, que a su
vez informará a las restantes APD.
 Una APD en caso de considerar necesarias medidas urgentes para proteger

los intereses de los interesados, podrá intervenir sin dilación para proteger los
intereses de los interesados, adoptando medidas provisionales destinadas a
producir efectos jurídicos en su propio territorio, con un periodo de validez
determinado que no podrá ser superior a tres meses.
Asistencia mutua y operaciones conjuntas
Las autoridades de control se facilitarán información útil y se

prestarán asistencia mutua a fin de aplicar el presente Reglamento de manera
coherente.
Como ya hemos explicado en los puntos anteriores, las APD se ayudarán en el
ejercicio de sus funciones, para ello se prestarán asistencia mutua a fin de
aplicar el presente Reglamento de manera coherente, principalmente en
lo relacionado a:
 Solicitudes de información.
 Medidas de control.
 Inspecciones.
 Investigaciones.
 Autorizaciones.
Las APD podrán realizar operaciones conjuntas, incluidas investigaciones

conjuntas y medidas de ejecución conjuntas, en las que participen miembros o
personal de las autoridades de control de otros Estados miembros.
La APD competente, origen, invitará al resto de APD de cada uno de los

Estados miembros a participar en las operaciones conjuntas.
Por ejemplo en el caso de que un Responsable o Encargado del tratamiento

tengo diferentes establecimientos, es decir ubicaciones empresariales, en
varios Estados miembros, una APD de cada uno de estos Estados miembros
tendrá derecho a participar en las operaciones conjuntas.
Se actuará de igual modo, en el caso de que sea probable que un número
significativo de personas físicas se vean afectadas por la operaciones y
tratamientos
Características
 Cada APD adoptará todas las medidas oportunas requeridas para responder a
una solicitud de otra autoridad de control sin dilación indebida y a más tardar
en el plazo de un mes.
 Como norma general, las autoridades de control requeridas facilitarán la
información solicitada por otras autoridades de control por medios electrónicos,
utilizando un formato normalizado.
 Las solicitudes de asistencia deberán contener toda la información necesaria,
entre otras cosas respecto de la finalidad y los motivos de la solicitud.
 La autoridad de control requerida no podrá negarse a responder a una
solicitud. Excepto:
a. no es competente en relación con el objeto de la solicitud o con las
medidas cuya ejecución se solicita.
b. el hecho de responder a la solicitud infringiría el RGPD o el Derecho de
la Unión o de los Estados miembros que se aplique a la APD a la que
se dirigió la solicitud.
 Las APD requeridas no cobrarán tasa alguna por las medidas adoptadas a raíz
de una solicitud de asistencia mutua.
 Las APD podrán acordar normas de indemnización recíproca por gastos
específicos derivados de la prestación de asistencia mutua en circunstancias
excepcionales.
Mecanismo de coherencia
A lo largo del tema hemos incidido en la necesidad de cooperación entre las

APD con la finalidad de adaptar de manera eficaz del RGPD, además
la cooperación entre APD debe ser coherente, es decir, no tiene sentido un
RGPD común a los Estados miembros y que cada APD establezca
procedimientos diferentes relativos a, entre otros, medidas de control,
inspecciones e investigaciones o autorizaciones.
Pueden existir varias APD en un Estado miembro, en este caso, se debe

designar a la autoridad de control que representará a dichas autoridades en el
Comité Europeo de Protección de Datos Europeo de Protección de Datos, y
establecerá el mecanismo que garantice el cumplimiento por las demás APD
sobre las normas relativas al mecanismo de coherencia.
- Artículo 63. Mecanismo de coherencia -
A fin de contribuir a la aplicación coherente del presente Reglamento en toda la

Unión, las autoridades de control cooperarán entre sí y, en su caso, con la
Comisión, en el marco del mecanismo de coherencia establecido en la
presente sección.
Recursos
La entrada en vigor del régimen sancionador del RGPD, supone un cambio

sustancial y un cuantioso incremento de las sanciones que se puedan
imponer por incumplimiento del RGPD.
Además, el RGPD, prevé las sanciones a las administraciones

públicas (autoridades y organismos públicos), y establece la capacidad de las
autoridades de control de imponer dichas sanciones económicas.
Aclaración
Es decir, el RGPD otorga a los Estados miembros la capacidad de establecer

normas respecto a si se puede imponer multas administrativas a la
administración pública y la medida de las mismas.
Multas administrativas: condiciones y criterios
¿Por qué me pueden sancionar?
Básicamente por lo mismo que con la anterior Directiva y normativas de cada

estado miembro de la U.E., en nuestro caso de la Ley Orgánica 15/99 de
Protección de Datos y Real Decreto 1720/2007, pero además, como ya
sabemos tenemos nuevos procedimientos que implantar como Análisis de
Riesgos, Evaluaciones de Impacto, Registros de Tratamientos, Notificación de
Incidencias, nuevos derechos y la manera de informar y solicitar el
consentimiento.
Las sanciones pueden ascender a:
10 millones de euros o el 2% como máximo del volumen de negocio total

anual global
Multas para infracciones de las siguientes disposiciones del RGPD:
 Condiciones aplicables al consentimiento del menor en relación con los

 Tratamientos que no requieren identificación.
 Condiciones aplicables al consentimiento del menor en relación con los
 Tratamientos que no requieren identificación.
 Encargados del tratamiento.
 Corresponsables del tratamiento.
 Tratamientos bajo la autoridad del Responsable y del Encargado del
tratamiento.
 Representantes de los Responsable del tratamiento no establecidos en
la UE.
 Registro de las actividades del tratamiento.
 Protección de datos desde el diseño y por defecto.
 Seguridad del tratamiento.
 Evaluación de impacto relativa a la protección de datos.

 Notificación de una violación de seguridad a la Autoridad de control.
 Comunicación de una violación de seguridad al interesado.
 Garantías de certificación.
 Organismos y procedimientos de certificación.
 Designación del DPO.
 Funciones del DPO.
 Poderes del DPO.
 Cooperación con la Autoridad de Control.
20 millones de euros o el 4% como máximo del volumen de negocio total

anual global
Multas para infracciones de las siguientes disposiciones del RGPD:
 Principios relativos al tratamiento de datos personales.

 Licitud del tratamiento.
 Condiciones para el consentimiento.
 Tratamiento de categorías especiales de datos personales.
 Transferencias de datos personales a terceros países u organizaciones
internacionales.
 Disposiciones relativas a situaciones específicas de tratamiento de

datos.
 Derechos del interesado.
 No facilitar el acceso a la Autoridad de control para ejercer sus
facultades investigadoras.
 El incumplimiento de un requerimiento de la Autoridad de control
 El incumplimiento de las resoluciones de la Autoridad de control
Sanciones
Las sanciones se impondrán, en función de las circunstancias de cada caso, es

decir, se tendrá en cuenta una serie de condicionantes que hará que la
sanción sea limitada o agravatoria y son:
 La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate
así como el número de interesados afectados y el nivel de los daños y
perjuicios que hayan sufrido.
 La intencionalidad o negligencia en la infracción.
 Cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados.
 El grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado.
 Toda infracción anterior cometida por el responsable o el encargado del
tratamiento.
 El grado de cooperación con la autoridad de control con el fin de poner remedio
a la infracción y mitigar los posibles efectos adversos de la infracción.
 Las categorías de los datos de carácter personal afectados por la infracción.
 La forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida.
 Cuando hubiera medidas, ya ordenadas contra el responsable o el encargado
de tratamiento por la autoridad de control, en relación con el mismo asunto.
 La adhesión a códigos de conducta en virtud o a mecanismos de certificación.
 Cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente.
Aclaración
En todos estos condicionantes existe un criterio clave ya comentado en

muchas ocasiones durante el curso, la protección de datos desde el diseño,
y lo que implica que para la realización de un tratamiento se deben tener en
cuenta aspectos como:
 El estado de la técnica, coste de la aplicación y la naturaleza.

 Ámbito, entorno y finalidad del tratamiento.
 Los riesgos basados en la probabilidad y gravedad que ocasionaría el
tratamiento para los derechos y libertades de las personas físicas.
 La obligación del responsable del tratamiento de implantar, en toda la vida útil
del dato, medidas técnicas y organizativas adecuadas con el fin de garantizar
la seguridad y confidencialidad de los datos y que solo serán objeto de
tratamiento los datos personales imprescindibles para cada uno de los fines
específicos del tratamiento.

Proteccion de Datos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proteccion de Datos

Cargado por

Copyright:

Formatos disponibles

Antecedentes

El 15 de diciembre 2015, la Comisión, Consejo y el Parlamento Europeo

Las entidades deben estar adecuadas desde el 25 Mayo del 2018, es en este

Privacidad y protección de datos en el panorama internacional

En la actualidad, cada país cuenta con normas específicas sobre protección

La globalización, ha permitido que grandes potencias como EEUU o Europa,

Algunos de los países con autoridad responsable de la protección de datos

 Que un país sea adecuado para la transferencia de nuestros datos lo

La protección de datos en Europa

El nuevo Reglamento Europeo en Protección de Datos es una de las normas

En la UE los estados miembros ceden soberanía, de manera que son las

 Las directivas: fijan un objetivo a alcanzar pero dejan libertad a los

Países con una base jurídica distinta, saben ya regular el derecho a la

Esta normativa actual va a tener un impacto esencial a nivel mundial, porque

Millones de datos circulan a nivel mundial, pues bien, la inmensa mayoría de

La normativa tiene 2 objetivos: regular la protección de datos y la libre

Porque el mercado europeo se basa en el mercado único y requiere la libre

El marco legislativo europeo reconoce el derecho a la protección de datos,

La protección de datos en España

El derecho a la protección de datos personales deriva directamente del derecho

Como ya sabemos, hasta la entrada en vigor de este nuevo Reglamento

 Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de

La Autoridad de control sobre la protección de datos en España, es la Agencia

Estándares y buenas prácticas

En aras de cooperar y facilitar las transferencias de datos de manera

Estos estándares que fueron aprobados en el año 2016 en Colombia, tienen

Aplicación de las normas y textos oficiales

 La adaptación de esta norma a la legislación se realiza a través de

Como señala la Exposición de Motivos de esta nueva Ley, la protección de

A nivel legislativo, la concreción y desarrollo del derecho fundamental de

La Ley Orgánica 5/1992 fue reemplazada por la Ley Orgánica 15/1999, de 5

2. Principales novedades del Reglamento

 La Protección de Datos es el derecho que tenemos todas las personas

Seguramente usted recibirá información comercial a través de medios

Actualmente para cualquier actividad, nos solicitan información personal:

 Cuando damos nuestros datos para la factura de una compra.

 Cuando inscribimos a nuestros hijos en el colegio.

 Cuando rellenamos la papeleta para un concurso.

Debemos ser conscientes de que toda esta información revela aspectos de

¿Cuándo sé que estoy tratando/manejando datos? La normativa en

La recogida más habitual de datos son a través de soportes no

Objetivo del reglamento

Como ya comentamos en la introducción, el objeto del RGPD es la protección

El Reglamento Europeo en Protección de Datos es una norma única de

1. Armonizar a todos los Estados miembros de la UE.

A través del principio de responsabilidad proactiva o “Accountability” que

El cumplimiento de las medidas debe basarse en el buen hacer y uso de los

 Licitud: lealtad y transparencia con el interesado.

Aplicación del reglamento

¿A quién afecta el Reglamento? La protección se otorga a las personas

¿Quién debe cumplir el Reglamento? Toda organización empresarial

El GDPR se aplica a las operaciones (tanto tratamiento automatizado como

 Establecido en la UE, independientemente de que el tratamiento tenga

Las novedades más destacables son:

 Contar con un Data Protection Officer “DPO”.

erechos de los interesados

Un dato personal es “toda información (numérica, alfabética, gráfica,

Por tanto, un dato personal, permite identificar a una persona, así

La persona/titular de los datos, es lo que conoceremos partir de ahora como “el

¿Cuándo una persona es identificable? Cuando podamos determinar la

Por tanto tenemos que distinguir entre:

 Persona identificada: Toda persona cuya identidad está determinada

 Una persona física no se considerará identificable si dicha identificación