El Reglamento Europeo 2016 - 679 de Protección de Datos

[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal

[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Introducción
El Reglamento General de Protección de Datos (UE) entró en vigor el 25 de mayo de 2018 tras el
periodo de vacatio legis establecida con el objetivo de que las organizaciones fuesen adaptando su
actividad al cumplimiento de la normativa comunitaria. En esta unidad analizaremos los aspectos
principales de este reglamento.
EM
ES
IN
INESEM
1 / 40
Objetivos
Analizar las medidas de protección de datos impuestas por la UE.
Conocer la terminología básica en la protección de datos.
Establecer los puntos clave del Reglamento General de Protección de Datos de la UE.
EM
ES
IN
INESEM
2 / 40
Mapa Conceptual
EM
ES
IN
INESEM
3 / 40
1. Marco normativo
El Reglamento General de Protección de Datos, tras un complejo proceso de formación, es
finalmente publicado en el Diario Oficial de la Unión Europea el 4 de mayo de 2016, entrando en
vigor 20 días después de su publicación y siendo aplicable a partir del 25 de mayo de 2018.
Para entender el significado de dicho Reglamento es preciso hacer mención junto con el Convenio
108 del Consejo de Europa a las Directrices de la OCDE de 1980, que fueron determinantes en la
evolución que se ha producido de la protección de datos a nivel global. Estas normas comienzan a
quedarse obsoletas entendiéndose necesaria una gran reforma debido al gran salto tecnológico al
EM
que asistimos durante el comienzo del nuevo siglo. Tanto es así que el referido Reglamento de 2012
en su artículo 94 se encarga expresamente de derogar la Directiva desde que el mismo se comience
a aplicar (25 de mayo de 2018).
No obstante es preciso que no olvidemos la importancia que dicha Directiva ha tenido en la materia,
ya que los principales principios y fundamentos del Reglamente están inspirados en los que ya
ES
recogía la Directiva constituyendo estos la esencia del derecho a la protección de datos.
A continuación, veremos una introducción al nuevo reglamento de LOPD, Reglamento 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016 .
[[[Elemento Multimedia]]]
En cualquier caso el Reglamento introduce importantes innovaciones en la materia, pasándose de
IN
una mera articulación de la gestión de datos a poner gran énfasis en la el uso responsable de los
mismos (art. 5.2 del Reglamento). Del mismo modo, adquiere una notoria importancia la figura de
las autoridades de control independientes, elemento esencial para el derecho fundamental a la
protección de datos (art. 8.3 de la Carta Europea de Derechos fundamentales).
Analizando el significado de estos dos rasgos fundamentales se deduce que la máxima del nuevo
Reglamento no es otra que la de fortalecer la idea del uso responsable de la información así como su
sistema sancionador, creando así un nuevo modelo de protección de datos.
La finalidad última del Reglamento es generar un marco más unitario y coherente a la hora de su
aplicación que evite las diferencias en la aplicación de los derechos de protección de datos. No
podemos olvidar que dicho Reglamento original del aparato legislativo de la Unión Europea tiene un
alcance general y es obligatorio en todos sus elementos por lo que no cabe transposición aunque sí
INESEM
4 / 40
sea posible su posterior desarrollo.
Este hecho nos hace reflexionar sobre la relevancia de la materia y del elemento unificador que
normativa ha pretendido introducir ya que tal y como establece el artículo 81 de la Constitución esta
materia precisa ser regulada mediante Ley orgánica, si bien, queda contenida en un Reglamento
europeo.
Es preciso analizar el efecto que este hecho puede generar en nuestra Ley Orgánica de Protección
de Datos, que en ningún caso podrá considerarse derogada, sino que asume un papel de
complemento con respecto al contenido que aparece en el Reglamento.
EM
Este asunto lo resuelve el Reglamento en su artículo 2.2 a): “El presente Reglamento no se aplica al
tratamiento de datos personales en el ejercicio de una actividad no comprendida en el ámbito de
aplicación del Derecho de la Unión.”
Lo que supone que será precisamente la LOPD la que actúa en estos casos no comprendido en el
ES
ámbito de aplicación del Reglamento.
IN
INESEM
5 / 40
2. La perspectiva internacional en la protección de datos
La protección de datos cuenta con una gran relevancia en ámbito internacional. Como veremos las
legislaciones nacionales se encuentran en gran parte supeditas a la normativa que nos aporta la
Unión Europea, lo que hace indispensable la existencia de mecanismos armonizadores que aporten
notas cooperativas a la aplicación de este compendio de normas tanto nacionales como europeas.
A nivel internacional, las transferencias de datos se han elevado notoriamente, esto determina la
necesidad de encontrar vías que aproximen los marcos legales existentes, nacionales y regionales,
así como se hace necesario crear instrumentos de conexión que faciliten los flujos de datos salvando
EM
un alto nivel de seguridad.
La Agencia Española de Protección de Datos es el mecanismo que tiene atribuida la mencionada
labor de cooperación internacional en el ámbito de la protección de datos y queda establecida como
órgano de autoridad independiente.

ES
La actividad más relevante en este ámbito la encontramos en la esfera de la Unión Europea, donde
la Agencia Estatal participa en todos los grupos de trabajo así como forma parte de los órganos de
control (incluyendo la cooperación en materia judicial y policial).
Del mismo modo participa en los comités ad hoc del Consejo de Europa, así como en las
IN
Conferencias Internacionales y, en otros instrumentos de cooperación bilateral o multilateral con
diversas autoridades de control extranjeras.
Otro de los principales objetivos de la Agencia Estatal de Protección de Datos es el de colaborar con
los países iberoamericanos que se hallan inmersos en procesos de creación y desarrollo de sistemas
legislativos que regules la materia de la protección de datos.
Concluimos con la importancia que la globalización ha tenido a la hora de internacionalizar el
ámbito de la protección de datos así como los avances tecnológicos y el progreso de la comunicación
electrónica, esto ha generado la creación de numerosos instrumentos y organismos encargados
precisamente de salvaguardad la seguridad de las transmisiones de datos personales en el ámbito
internacional.
El Reglamento en su Capítulo V (artículo 44 a 55) trata las transferencias de datos personales a
INESEM
6 / 40
terceros países u organizaciones internacionales. De la extensa regulación que ha tenido lugar en el
ámbito comunitario (también en la Directiva 95/46/CE) ya se desprende la notoria importancia que
recibe este asunto por parte de las instituciones europeas, conscientes del proceso de globalización
en el que nos encontramos inmersos, pretendiendo además clarificar la materia a través de las
innovaciones introducidas en su normativa.
La normativa que contiene el Reglamento en cierto modo afectará a la contenida en la LOPD
desplazando sus artículos 33 y 34, así como los artículo 65 a 67 y 137 a 144 del Reglamento de 2007.
El Reglamento no hace alusión a una posible definición de los que conocemos como transferencia
EM
internacional, así como tampoco establece que hemos de considerar como terceros países o Estados.
Sí que hemos de tener claro en base al Reglamento que las transferencias de datos entre Estados
miembros de la Unión Europea no se considerarán transferencias internacionales. Por lo tanto, las
transferencias internacionales serán aquellas que tengan lugar entre cualquier Estado miembro de
la UE y un tercer Estado u organización internacional.

ES
Dicho esto tenemos que clarificar qué ocurre con los países del Espacio Económico Europeo y si
hemos calificarlos o no como terceros Estados, para ello en primer lugar hemos de hacer mención al
artículo 5.1. s) del Reglamento español de protección de datos aprobado mediante el Real Decreto
1720/2007 que define a las transferencias internacionales como “el tratamiento de datos que supone
una transmisión de los mismos fuera del territorio del Espacio Económico Europeo.” Por otro lado, el
IN
Reglamento deja fuera a los países del Espacio Económico Europeo, considerándolos terceros en lo
que se refiere a las transferencias internacionales.
Hay que hacer alusión a la situación de Gran Bretaña, la cual una vez ejecutado efectivamente el
Brexit y se confirme su salida de la Unión Europea pasará a considerarse del mismo modo < <
tercer país > >.
Vamos ahora a analizar la regulación que el Reglamento hace de estas transferencias
internacionales. En su Considerando 6 ya establece que “la tecnología (…) ha de facilitar aún más la
libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y
organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los
datos personales.”
INESEM
7 / 40
Del mismo modo el Considerando 101 considera que “Los flujos transfronterizos de datos personales
a, y desde, países no pertenecientes a la Unión y organizaciones internacionales son necesarios para
la expansión del comercio y la cooperación internacionales. El aumento de estos flujos plantea
nuevos retos e inquietudes en lo que respecta a la protección de los datos personal. No obstante, si
los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en
terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección
de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las
transferencias ulteriores de datos personales desde el tercer país u organización internacional.”
EM
Precisamente en estos Considerandos encontramos la razón última de la regulación de las
transferencias internacionales, y es que las transferencias de datos transfronterizas constituyen en
la actualidad una realidad ineludible, por lo que intentar limitar las mismas podemos afirmar que
traería aparejado un demoledor fracaso. Si bien es cierto que estás transferencias suponen un riesgo
para la seguridad de los datos personales por ello el Reglamento no sólo ha reconocido su
notoriedad y relevancia sino que ha incluido preceptos que refuercen el derecho a la protección de
ES
datos así que traten de salvaguardad la privacidad de los mismos.
IN
INESEM
8 / 40
3. La protección de datos en la UE
El artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea, consagra la protección de
datos como un elemento fundamental. Lleva más de veinte años ocupando un lugar destacado en
el Derecho de la Unión, desde la introducción de la Directiva sobre protección de datos en 1995
hasta la adopción del Reglamento General de Protección de Datos y de la Directiva de policía en
2016 (Directiva UE 2016/680).
El 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE)
2016/679 relativo a la Protección de las Personas Físicas en el Ámbito de la Protección de
EM
Datos Personales y la Libre Circulación de los mismos, por el que se deroga la Directiva
95/46/CE. El Reglamento General de protección de datos entró en vigor el 24 de mayo de 2016 y es
de aplicación a partir del 25 de mayo de 2018. Este Reglamento constituye la expresión última e
innovación en materia de protección de datos a nivel europeo.

ES
3.1. Antecedentes
En Europa, la protección de datos comienza a desarrollarse en el seno del Consejo de Europa a
partir de una serie de instrumentos desarrollados desde esta institución, así encontramos:
IN
1950: Convenio Europeo de Derechos Humanos (CEDH). En su artículo 8, garantiza el derecho
a la protección de datos a través de la referencia que hace al respeto de la vida privada y
familiar, así como del domicilio y de la correspondencia, estableciendo una serie de supuestos
en los queda justificada la injerencia por parte de las autoridades públicas en este ámbito.
1981: Convenio del Consejo de Europa para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter general. Tiene la finalidad última de proteger
los derechos y libertades fundamentales con respecto al tratamiento automatizado de los datos
de carácter personal (art. 8). Como ya hicimos mención, los principios que recoge este
Convenio se encuentran, en esencia, en la posterior modernización que se ha producido en el
tratamiento de esta materia a partir de otros instrumentos normativos.
INESEM
9 / 40
Desde los años 70, los diferentes Estados miembros de la Unión Europea comenzaron a abordar el
tratamiento del derecho de protección de datos a través de instrumentos legislativos propios. Esto
dio lugar a la aparición de múltiples normas que trataron de regular la materia, que si bien todas
ellas se prestan de la legislación internacional para esta labor, generaron una gran diversidad de
normas diferenciadas que dificultaron la realización del mercado interior de la UE (principalmente
se verá afectada la circulación de datos).
Fue precisamente esta situación la que generó la necesidad de crear un instrumento jurídico propio
EM
de la Unión Europea en materia de protección de datos que garantizara un nuevo marco regulador
de general aplicación.
Esta necesidad trató de ser solventada con la adopción de la Directiva 95/46/CE relativa a la
protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de los mismos.

ES
3.2. Propuesta de reforma de la Directiva 95/46/CE
Ya se ha reseñado la importancia de la Directiva de la protección de datos como primer mecanismo
regulador de la materia en la Unión Europea. La Directiva entró en vigor en 1995 finalizando su

IN
plazo de transposición el 24 de octubre de 1998.
Como principales objetivos de la misma encontramos en primer lugar la armonización de los
múltiples instrumentos nacionales que se habían creado en materia de protección de datos para
tratar de garantizar el funcionamiento del mercado interior; segundo y muy vinculado al primero,
eliminar las barreras que las múltiples legislaciones habían generado en materia de circulación de
datos personales; y por último, introducir una nota de equilibrio en el nivel de protección de los
derechos y libertades de las personas en todos los Estados.
La revolución tecnológica y la importancia de Internet que irrumpe junto al comienzo del nuevo
siglo, generará que en 2003 se plantee un nuevo reto con respecto al derecho a la vida privada y la
protección de datos personales que tratará de abordar el Tribunal de Justicia de la Unión Europea
estableciendo la necesidad de armonizar las diferentes legislaciones nacionales referidas a dicha
INESEM
10 / 40
materia.
Esta armonización ya se pretendió con la Directiva de 1995 si bien, se pretendía ahora una
armonización absoluta que asegurase la libre circulación de datos personales, pero que garantizase
a su vez un alto grado de protección de los mismos.
Del mismo modo, la Comisión Europea en 2003 publica su primer informe referido a la aplicación
que estaba teniendo lugar de la Directiva sobre la protección de datos (95/46/CE). Este informe pone
énfasis en la revolución tecnológica a la que estamos asistiendo así como a la principal amenaza que
la misma plantea: la seguridad y la protección de datos.
EM
En 2007, la Comisión Europea publicó una Comunicación que valoraba la aplicación de la Directiva
en los Estados miembros que había sido valorada positivamente a pesar de que diversos Estado no la
aplicaban correctamente. A pesar de esto, la Comisión determinó que estos casos no constituían
efectos negativos para el funcionamiento del mercado interior.

ES
Será llegado 2010 cuando la Comisión Europea en su nueva Comunicación determinó que a pesar de
que la Directiva seguía cumpliendo con su finalidad originaria ya no se ajustaba a los nuevos
desafíos generados por la revolución tecnológica. Esta Comunicación resaltó una serie de nuevos
objetivos que tenían que abordarse: primero, tratar los efectos de la introducción de las nuevas
tecnologías; segundo, consolidar el mercado interior de la protección de datos; tercero, abordar la

IN
globalización y mejorar los intercambios de datos de carácter internacional; cuarto, reafirmar las
instituciones para asegurar la correcta aplicación de las normas en materia de protección de datos; y
quinto, introducir nuevas notas de coherencia en el marco jurídico de la regulación de la protección
de datos.
Estas notas tomaron cuerpo en las propuestas legislativas de lo que en 2012 sería el Reglamento
General de Protección de Datos.
La principal circunstancia que determinó la revisión de la normativa existente en materia de
protección de datos en la Unión Europea sería la entrada en vigor en 2009 del Tratado de Lisboa.
Este Tratado supuso dos transformaciones en el ámbito de la protección de datos: primero, significó
que la Carta de Derechos Fundamentales de la Unión Europea adquiriese la nota de jurídicamente
vinculante, estableciéndose el derecho a la protección de datos de carácter personal como derecho
INESEM
11 / 40
fundamental independiente (artículo 8); y segundo, se introduce una disposición en el Tratado de
Funcionamiento de la Unión Europea que trae como consecuencia la codificación del derecho de las
personas a la protección de sus datos de ámbito personal (artículo 16 TFUE).
La Comisión continuó evaluando el impacto de las distintas posibilidades de innovación de la
normativa en la materia que aquí tratamos. Esta evaluación consistió en el análisis de tres posibles
objetivos: mejorar el funcionamiento del mercado interior en materia de protección de datos,
conseguir el pleno ejercicio de los derechos que regulan la protección de datos así como generar un
espacio que incluya todos los ámbitos competenciales establecidos en la Unión Europea.
EM
Tras este proceso se consensuó el Reglamento como el instrumento más idóneo para el tratamiento
de estas innovaciones, ya que el artículo 288 TFUE establece la aplicabilidad directa de los
Reglamentos, reduciéndose así la posible fragmentación que pudiese generar el tratamiento de la
materia a través de otros instrumentos jurídicos.
La Propuesta del Reglamento General de Protección de Datos tiene lugar el 25 de enero de 2012 y
ES
señala como principales objetivos del mismo: 1) mejorar el acceso a la información a la ciudadanía
en lo que respecta a sus datos personales; 2) elevar la seguridad referida al procesamiento de estos
datos; 3) incrementar la eficacia de los derechos que recoge; 4) elevar la confianza de los
consumidores en el comercio internacional; 5) recoge el derecho al borrado de datos personales; 6)
derecho de denegar que los datos sean procesados; 7) creación de un órgano independiente de
IN
control; y 8) introducción de recursos, responsabilidad y sanciones.
Hemos de destacar también que la propuesta introduce principios como el de transparencia así
como el de responsabilidad de las autoridades de control en el procesamiento de datos. Se
acompaña esta propuesta con una Directiva sobre normas para la prevención de delitos así como
una Comunicación que regule el marco regulador de la protección de datos.
INESEM
12 / 40
4. La protección de datos desde una perspectiva nacional
En el presente epígrafe vamos a analizar el principal reto que ha supuesto el Reglamento sobre los
Estados miembros y es el conseguir cierto grado de armonización entre la normativa nacional en la
referida materia y el Reglamento.
Es obvio que la normativa nacional en el ámbito de la protección de datos para poder persistir ha de
estar en consonancia, o a través de la reforma o por interpretación, con los nuevos preceptos
recogidos en el Reglamento.
EM
Ya conocemos que el Derecho comunitario prevalece sobre las normas nacionales (principio de
jerarquía normativa y de competencia), es base a esto ningún precepto normativo de ámbito
nacional podrá aplicarse si en su naturaleza es incompatible con un Reglamento de la Unión
Europea.
Es una realidad que hay ciertas disposiciones nacionales que se presentan incompatibles con el
ES
Reglamento en la rama de la protección de datos (por ejemplo, en España existe obligación de
notificar cuando se cree un fichero así como requerir su inscripción en el Registro general de
protección de datos, en cambio, el Reglamento elimina la obligatoriedad de esta acción).
Vamos a estudiar en este epígrafe por tanto si los poderes públicos españoles han de llevar a cabo
IN
esta labor de adaptación normativa.
La primera posibilidad con la que cuenta el sistema normativo español es modificar las disposiciones
nacionales en materia de protección de datos que sean contrarias a lo establecido en el Reglamento.
Esta posibilidad es viable y así es recogida está técnica de modificación de normas en el
Considerando 8 del Reglamento, que establece cuando la claridad de la norma lo hiciese necesario,
esta norma del Reglamento pasaría a formar parte literalmente en la disposición de que se tratase.
Esta vía es compatible con la introducción en la norma estatal de una cláusula derogatoria que
establezca la derogación de todas aquellas disposiciones de igual o inferior rango que contradigan
las mismas del Reglamento.
Otra posibilidad consiste en que el legislador nacional se base en la directa aplicabilidad que reviste
INESEM
13 / 40
a los Reglamentos de la Unión.
Esta posibilidad nos llevaría a que los jueces así como otros sujetos jurídicos ejecutasen una función
interpretativa para solventar los diversos conflictos que pudiesen surgir entre la Ley nacional y el
Reglamento.
En el ámbito de la legislación española vamos a determinar que la primera posibilidad es la más
apropiada en la materia que nos atañe (la protección de datos). Esto lo basamos en La singularidad y
complejidad que caracteriza al Reglamento que aquí estudiamos, ya que el mismo se corresponde en
gran parte a un Directiva.
EM
La permanencia de la legislación nacional en materia de protección de datos se desprende necesaria
de la lectura del propio Reglamento, que hace que no nos situemos en un escenario en el que la
norma comunitaria presida sobre normas reguladoras nacionales.
Una última mención necesaria sería la relativa a la relevancia que este Reglamento ha tenido en la
ES
legislación nacional comparable con el que tuvieron los Reglamentos de Roma sobre ley aplicable así
como el de Bruselas sobre competencia judicial.
IN
INESEM
14 / 40
5. Estándares y buenas prácticas
No existe como tal una definición de < < código de conducta > > en el Reglamento, pero podemos
encontrar la base de la misma en la Directiva 2005/29/CE: que la define como el compromiso de
buenas prácticas que aun no siendo obligado por los preceptos reguladores de la materia, son
impuestas por la autoridad pública de control, así como por la Comisión y el Comité europeo de
protección de datos, quedando definidas la buenas prácticas de los encargados del tratamiento,
como el compromiso que adquieren estos de cumplir sus funciones atendiendo a los principios que
rigen la correcta aplicación del Reglamento en determinados sectores así como a la protección de
EM
las personas en lo que concierne al tratamiento de sus datos personales y todo esto bajo el amparo
de un organismo determinado por la autoridad de control competente.
Los códigos de conducta provienen de las instituciones públicas, se revisten de notas de
voluntariedad otorgadas por los grupos de responsables del tratamiento en sus relaciones con las ya
mencionadas instituciones públicas sobre las que recae la función de aprobarlos una vez ha sido
ES
controlada tanto su legalidad como su adecuación.
Los códigos de conducta aparecen por tanto en el Reglamento como supuestos autorregulados, que
pueden utilizarse por las entidades que los han suscrito como prueba de que cumplen con lo previsto
en el Reglamento, así como con la correcta aplicación del mismo.

IN
En cualquier caso, hemos de hacer constar la multitud de códigos de conducta que existen en
diferentes ámbitos. En nuestro caso destacaremos los contenidos en el Reglamento.
El Reglamento en su artículo 40.1 establece con carácter obligatorio la necesidad de que los Estados
miembro, junto con las autoridades de control, así como el Comité y la Comisión promuevan la
elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente
Reglamento, teniendo en cuenta las características específicas de los distintos sectores de
tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas
empresas.
La finalidad de los códigos de conducta reside en facilitar la aplicación de las diversas normas
jurídicas, ejercitando el rol de especificador de los principios determinados por la norma jurídica en
esferas muy cambiantes, como por ejemplo el ámbito de las tecnologías de la información.
INESEM
15 / 40
En los Considerandos del Reglamento ya se establece la importancia de los códigos de conducta; en
el artículo 24.3 se concreta esta relevancia estableciendo: La adhesión a códigos de conducta
aprobados a tenor del artículo 40 o a un mecanismo de certificación (…) podrán ser utilizados como
elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del
tratamiento. Del mismo modo el artículo 28.5 determina que La adhesión del encargado del
tratamiento a un código de conducta aprobado a tenor del artículo 40 (…) podrá utilizarse como
elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1
y 4 del presente artículo. Del mismo modo cuando se trata el ámbito de la seguridad establece el
artículo 32.3 del Reglamento, se prevé que la adhesión a un código de conducta aprobado pueda
EM
funcionar como elemento para demostrar el cumplimiento de los requisitos que establece el artículo
32.1.
Por tanto, el empleo de códigos de conducta significará una oportunidad para el responsable del
tratamiento que incumpla cualquier obligación de las enunciadas por el Reglamento; también puede
actuar como minimizador de las consecuencias derivadas del ejercicio de la potestad sancionador
ES
por la autoridad de control competente ya que tendrá que atender a la adhesión que haya podido
existir a un determinado código de conducta.
Por otra parte, conforme al principio de buena fe, la actuación conforme a un código de conducta no
constituye por sí misma la atenuación de la responsabilidad ya que podría constituir motivo de

IN
agravio si el responsable incumple numerosas veces el mismo.
El Considerando 98 ya establecía la utilidad que los códigos de conducta pueden tener como
aplicadores efectivos del Reglamento. A través de los códigos de conducta se establecen las
obligaciones que recaen sobre los responsables del tratamiento y para que este código se apruebe
debe añadir valor en términos de especificación tratando correctamente los problemas derivados del
tratamiento en un ámbito concreto y aportando posibles soluciones. Esto será lo que haga que las
obligaciones que recoge el Reglamento sean más fácilmente asimiladas por los responsables. Será
en el artículo 40.1 donde quede establecida de forma evidente la finalidad de los códigos de
conducta, determinando que los códigos de conducta están destinados a contribuir a la correcta
aplicación del (…) Reglamento, teniendo en cuenta las características específicas de los distintos
sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y
mediana empresas. Para ello en base al artículo 40.2 se confía a las asociaciones y otros organismos
INESEM
16 / 40
representativos de categorías de responsables o encargados del tratamiento la iniciativa de crear
códigos de conducta cuya finalidad sea la de clarificar la aplicación del Reglamento.
EM
ES
IN
INESEM
17 / 40
6. Delimitación del Reglamento UE 2016/679
Si hacemos una lectura exhaustiva del artículo 2 del Reglamento de Protección de Datos, el cual nos
delimita el ámbito material del mismo, podemos comprobar que coincide sustancialmente con el de
la Directiva 95/46/CE (Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos ); no obstante, el
Reglamento incluye ciertos matices, como pueden ser la redefinición de las excepciones, aunque
manteniéndose su esencia, o ciertas cuestiones referentes al ámbito material de la Directiva,
EM
refiriéndose a las redes sociales, cuestión no contemplada en la Directiva debido a que cuando ésta
se aprobó no se había producido un gran desarrollo en este ámbito.
Hemos de delimitar el ámbito material o de aplicación del Reglamento para poder comprobar si se
puede aplicar o no esta norma, ya que es una cuestión que se ha de tener en cuenta a priori para
poder estudiar el supuesto de hecho concreto al que nos queramos referir.

ES
El apartado 1 del artículo 2 del Reglamento reza así:
“El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de
datos personales, así como al tratamiento no automatizado de datos personales contenidos
o destinados a ser incluidos en un fichero ”.

IN
El Reglamento tiene por objeto garantizar y proteger el derecho fundamental de las personas físicas
a la protección de datos.
Este artículo 2.1 del Reglamento nos proporciona una definición positiva sobre cuál es el ámbito de
aplicación de la norma en general, y posteriormente enumera una serie de exclusiones son
excepciones a la norma, y por tanto hay que interpretarlas de forma restrictiva.
En cuanto a la definición positiva, el artículo 2.1 del Reglamento nos dice que es de aplicación a:
Los tratamientos total o parcialmente autorizados, y a
Los tratamientos no automatizados de datos personales que se contengan en un fichero o en un
futuro vayan a estarlo.
INESEM
18 / 40
Podemos comprobar una vez hecha la lectura de este artículo, que el ámbito de aplicación
material del Reglamento 2016/649 coincide exactamente con el de la Directiva 95/46, a la
que viene a sustituir, por ello mismo podemos llegar a la conclusión de que la norma no ha
sufrido ninguna variación.
En el ámbito de aplicación material definido por el Reglamento se produce una acotación
del mismo cuando se refiere a: datos personales, tratamiento y fichero.
Por tanto, para comprender y estudiar pormenorizadamente el Reglamento es necesario
hacer alusión a cada uno de estos conceptos clave, lo cual se llevará a cabo en el siguiente
EM
epígrafe.
EXCLUSIONES DEL ÁMBITO DE APLICACIÓN MATERIAL
El apartado segundo del artículo 2 del Reglamento enumera en forma de excepciones,
numerus clausus, a qué tratamientos de datos no les son de aplicación las previsiones
contempladas en el Reglamento.
ES
A) Actividades fuera del ámbito de aplicación del Derecho de la Unión
La letra a) del apartado 2 del artículo 2 del Reglamento reza así:
“El presente Reglamento no se aplica al tratamiento de datos personales: a) en el ejercicio de una

IN
actividad no comprendida en el ámbito de aplicación del Derecho de la Unión”.
Esta primera excepción alude a los tratamientos de datos que sean necesarios para la consecución
de una actividad no comprendida en el ámbito de aplicación del Derecho de la UE.
Por tanto, si en el Derecho Originario de la UE no posee competencias para tratar una determinada
materia, a los tratamientos de datos que se puedan desarrollar para la realización de esa materia no
les puede ser de aplicación el Reglamento.
El Reglamento sólo se puede aplicar a todas las actividades relacionadas con el tratamiento de datos
personales, en relación con actividades en las que la UE posea competencias sobre las que puede
regular.
B) Actividades de política exterior y de seguridad común realizadas por los Estados Miembros
INESEM
19 / 40
El punto b) del apartado 2 del artículo 2 del Reglamento recoge que:
“El presente Reglamento no se aplica al tratamiento de datos personales: b) por parte de los Estados
miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2
del título V del TUE”.
El Reglamento se refiere a la PESC (Política Exterior y de Seguridad Común: art. 24.1 TUE “la
competencia de la Unión en materia de política exterior y seguridad común abarcará todos los
ámbitos de la política exterior y todas las cuestiones relativas a la seguridad de la Unión, incluida la
definición progresiva de una política común de defensa que podrá conducir a una defensa común”)
EM
cuando hace alusión a esta excepción, si bien es cierto que no alude, y por tanto sí están dentro del
ámbito de aplicación material de dicho Reglamento, otras actividades que sean llevadas a cabo en el
desarrollo de la actividad exterior de la UE, inmersas en el capítulo 1 del título V del TUE.
Podemos delimitar los ámbitos materiales de la PESC en sentido negativo y sentido positivo:
ES
En ningún caso podrán formar parte del ámbito material de la PESC los ámbitos de acción
exterior que han sido atribuidos a la Unión como políticas de la acción exterior de las
competencias (en sentido negativo).
En sentido positivo: sólo cuando se produce un consenso de los Estados sobre la existencia de
asuntos o cuestiones de política exterior que ofrecen un interés general o común, ese asunto o
IN
cuestión pasa a formar parte de la PESC (en sentido positivo).
C) Actividades personales o domésticas
La letra c) del punto 2 del artículo 2 del Reglamento nos dice que:
“El presente Reglamento no se aplica al tratamiento de datos personales: c) efectuado por una
persona física en el ejercicio de actividades exclusivamente personales o domésticas”.
Esta salvedad la conocemos como “excepción doméstica” y ya la recogía la Directiva 95/46 y en la
legislación estatal española (LOPD y RLOPD).
El Considerando 18 del Reglamento nos dice que éste no es de aplicación “al tratamiento de datos
de carácter personal por una persona física en el curso de una actividad exclusivamente personal o
INESEM
20 / 40
doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial”, incluyendo
además que “entre las actividades personales o domésticas cabe incluir la correspondencia y la
llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea
realizada en el contexto de las citadas actividades”, sin embargo finaliza exponiendo que sí que se
aplicará a los responsables o encargados del tratamiento que faciliten los medios para el trato de los
datos personales que se encuentren en relación con dichas actividades personales o domésticas.
Resulta de especial interés la consulta de la STJUE, asunto C-212/13.
Añadir que, cuando queremos discernir si las actividades son personales o domésticas y no lo son, el
EM
TJUE se ha pronunciado en varias ocasiones, afirmando que cuando el número de contactos que
puedan tener acceso a la información es infinito, esta salvedad no se aplicaría, a no ser que el
usuario en cuestión decidiese con total autonomía si difundir y hacer pública la información que le
concierne (STJUE Lindqvist, C-101/01 en la que interpreta de manera restrictiva esta exclusión; y
STJUE Satamedia, C-73/07 en la que alude al tratamiento de datos desarrollados por una empresa).
ES
D) Actividades de persecución de infracciones penales
La cuarta excepción viene recogida en la letra d) del apartado segundo del artículo 2 del
Reglamento:
“El presente Reglamento no se aplica al tratamiento de datos personales: d) por parte de las
IN
autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a
amenazas a la seguridad pública y su prevención”.
Esta excepción se puede tratar en la línea del artículo 1 de la Directiva 2016/680 que analizaremos
con posterioridad en la Unidad Didáctica 4. Este artículo 1 de la Directiva 2016/680 recoge que ésta
es de aplicación a la protección de las personas físicas en lo que concierne al tratamiento de los
datos personales por parte de las autoridades competentes con fines de prevención, investigación o
ejecución de sanciones penales, mencionando algunos de los que recoge.
Hemos de aclarar respecto a esta salvedad que, cuando les sea encomendado a las autoridades
competentes por parte de los Estados ciertas funciones que, precisamente no se realicen con fines
de persecución de infracciones penales, al tratamiento de los datos con esos objetivos, sí que se les
INESEM
21 / 40
aplicará el Reglamento.
Mención especial merece el artículo 87 del Reglamento, el cual recoge el tratamiento del número
nacional de identificación o DNI, el cual reza de la siguiente manera: “Los Estados miembros podrán
determinar adicionalmente las condiciones específicas para el tratamiento de un número nacional de
identificación o cualquier otro medio de identificación de carácter general. En ese caso, el número
nacional de identificación o cualquier otro medio de identificación de carácter general se utilizará
únicamente con las garantías adecuadas para los derechos y las libertades del interesado con
arreglo al presente Reglamento”; haciendo alusión al tratamiento realizado por la Policía Nacional y
EM
otros cuerpos.
ÁMBITO DE APLICACIÓN TERRITORIAL
Una vez analizado el ámbito de aplicación material del Reglamento UE 2016/679 vamos a pasar al
análisis de su ámbito de aplicación territorial, con el fin de conocer el alcance de aplicación de este
Reglamento Comunitario.
ES
Para hacernos eco de la extensión territorial a la que se aplica dicho Reglamento del que venimos
hablando es importante conocer la STJUE de 13 de mayo de 2014, asunto Google Spain, en la que el
Tribunal contestó en los epígrafes 42 a 61 de la Sentencia. El Tribunal consideró que el legislador de
la UE quiso evitar que una persona se quedase aislada de la protección que garantizaba la Directiva
IN
95/46/CE, por ello, para impedir que se pudiese soslayar la aplicación de dicha norma, instauró un
ámbito de aplicación territorial bastante extenso.
Este asunto Google Spain muestra con claridad las permutas que se estaban produciendo en la
sociedad; cambios estos devenidos por el desarrollo tecnológico producido en la misma, y que
habían hecho que la Directiva 95/46 se quedase en la más absoluta obsolescencia y produjese una
cierta inseguridad jurídica. También se habían producido cambios en el Derecho originario de la UE,
ya que años más tarde de la promulgación de la Directiva 95/46 se aprobaron los Tratados de Lisboa,
Niza y Ámsterdam. Además, el TFUE tiene inmerso en su articulado de aplicación general el derecho
de protección de datos de carácter general a toda persona que le inmiscuyan.
Pues bien, el Reglamento que estamos analizando (Reglamento 2016/679) derogó la Directiva 95/46.
El artículo 3 del presente Reglamento reza así:
INESEM
22 / 40
I) . “1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto
de las actividades de un establecimiento del responsable o del encargado de la Unión,
independientemente de que el tratamiento tenga lugar en la Unión o no ”.
Este apartado considera que el Reglamento se aplica al tratamiento de datos cuando el
establecimiento del responsable o del encargado esté ubicado en la Unión, aunque ese tratamiento
de los datos personales no se produzca in situ. La Jurisprudencia del TJUE se ha pronunciado en
diversas ocasiones respecto al tema de ofrecer un concepto bastante amplio de < < establecimiento
> >, así, < < establecimiento en la Unión > > “implica el ejercicio efectivo y real de una
EM
actividad mediante una instalación estable, y que la forma jurídica de dicho
establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no
es un factor determinante ” (SSTJUE, Google Spain y Google, C-131/12, apartado 54;
Weltimmo, C-230/14, apartado 28).
En esta línea jurisprudencial, el Considerando 22 del Reglamento recoge la siguiente definición de <
< establecimiento > >: “Un establecimiento implica el ejercicio de manera efectiva y real de
ES
una actividad a través de modalidades estables. La forma jurídica que revistan tales
modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor
determinante al respecto ”.
Por tanto, podemos concluir a este respecto que el TJUE examina no el establecimiento en sí, sino
IN
que exige que el tratamiento de los datos personales se produzca en el ámbito de las actividades de
dicho establecimiento.
II). “2. El presente Reglamento se aplica al tratamiento de datos personales de interesados
que residan en la Unión por parte de un responsable o encargado no establecido en la
Unión, cuando las actividades de tratamiento estén relacionadas con:
La oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si
a estos se les requiere su pago, o
El control de su comportamiento, en la medida en que este tenga lugar en la Unión”.
Este precepto recoge la aplicación del Reglamento en caso de que el tratamiento de los datos
personales de residentes comunitarios se realice por un responsable o encargado que no esté
INESEM
23 / 40
establecido en la Unión. Pero en estos supuestos, para que sea de aplicación el acervo comunitario
es preceptivo que se cumplan dos condiciones recogidas en el Considerando 23:
Que el objeto del tratamiento sean datos personales de residentes en la Unión, pues se trata de < <
garantizar que las personas físicas no sean privadas de la protección a la que tienen derecho en
virtud del presente reglamento > >.
Que las actividades de tratamiento se refieran a un objeto determinado, que puede ser:
i) La oferta de bienes o servicios a dichos interesados (independientemente de si a estos se les
EM
requiere su pago).
< < Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que
residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta
ofrecer servicios a interesados en uno o varios Estados miembros. Son factores que permiten
determinar esta intención que el sitio web del responsable o encargado, o de su intermediario en la
ES
UE, use una lengua o una moneda generalmente utilizada en uno o varios Estados miembros, con la
posibilidad de ofrecer bienes o servicios en esa lengua, además de la lengua generalmente utilizada
en el tercer país donde resida. O bien que el sitio web haga mención de clientes o usuarios que
residen en la UE.
ii) La observación del comportamiento de dichos interesados en la medida que este comportamiento
IN
tenga lugar en la Unión.
< < Para determinar si se puede considerar que una actividad de tratamiento controla el
comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un
seguimiento, en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos
personales que consistan en la elaboración de un perfil de una persona física con el fin, en
particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales,
comportamientos y actitudes > > (Considerando 24).
Por su parte, el apartado 3 del artículo 3 nos dice que:
“3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable
que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea
INESEM
24 / 40
de aplicación en virtud del Derecho Internacional Público”.
Este supuesto recoge la posibilidad de aplicación del Reglamento en caso de misión diplomática u
oficina consular de un Estado miembro (Considerando 25).
EM
ES
IN
INESEM
25 / 40
7. Terminología en la Protección de Datos
Entre las definiciones que el Reglamento recoge encontramos las siguientes:
1. Datos personales. Se refiere el Reglamento a “datos personales ” en sus artículos 2.a), 3.a) y 5.f)
respectivamente como “toda información sobre una persona física identificada o identificable
considerando persona física identificable a toda persona cuya identidad pueda determinarse, directa
o indirectamente, en particular mediante un identificador ”.
Además, delimita esta cuestión recogiendo que una persona física no se considerará identificable si
EM
dicha identificación requiere plazos o actividades desproporcionados (Considerando 26).
De esta definición que nos aporta el Reglamento siguen quedando excluidas las personas jurídicas,
como recoge el Considerando 14.
Asimismo, el Reglamento recoge los datos necesarios para hacer identificable a una persona, a
saber:
ES
Un nombre;
un número de identificación;
datos de localización;
IN
un identificador en línea;
uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica,
cultural o social de dicha persona.
Para finalizar con dicha definición, hemos de mencionar que el Considerando 14 recoge que sólo
debe aplicarse dicha protección a las personas físicas, independientemente de su nacionalidad o
lugar de residencia, en relación con el tratamiento de sus datos personales y hasta su fallecimiento;
y no se protege a las personas fallecidas (Considerando 27), sin perjuicio de lo establecido en el
artículo 3 de la LOPD 3/2018.
2. Tratamiento. Para que los datos personales tal y como los acabamos de definir, sean objeto de
protección, deben ser a su vez, objeto de tratamiento.
El Reglamento define tratamiento como “cualquier operación o conjunto de operaciones realizadas
INESEM
26 / 40
sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o
no, como la recogida, registro, organización, estructuración, conservación, adaptación o
modificación, extracción, consulta utilización, comunicación por transmisión, difusión o cualquier
otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción ”.
Resulta de interés en este tema del tratamiento de los datos personales la consulta de la STJUE,
Gran Sala, Sentencia de 13 de mayo de 2014, asunto C-131/12.
3. Consentimiento. El Reglamento lo define como: “toda manifestación de voluntad libre
(Considerando 42), específica, informada, inequívoca, por la que el interesado acepta, ya sea
EM
mediante una declaración o una clara acción afirmativa (Considerando 32), el tratamiento de datos
personales que le conciernen ”.
7.1. Otras definiciones

ES
1. Fichero: Todo conjunto estructurado de datos personales, accesibles, con arreglo a criterios
determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
2. Destinatario: Persona física o jurídica, autoridad pública, servicio u otro organismo al que se
comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán
destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una
IN
investigación concreta de conformidad con el Derecho de la Unión o de los Estados Miembros. El
tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia
de protección de datos aplicables a los fines del tratamiento.
3. Tercero: Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado,
del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para
tratar los datos personales bajo la autoridad directa del responsable o del encargado.
4. Responsable tratamiento: Persona física o jurídica, autoridad pública, servicio u otro
organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de
la Unión o de los Estados Miembros determina los fines y medios de tratamiento, el responsable del
tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la
Unión o de los Estados Miembros.
INESEM
27 / 40
5. Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio u otro
organismo que trate datos personales por cuenta del responsable del tratamiento. El encargado del
tratamiento actúa por cuenta del responsable del fichero y, por tanto, no tiene capacidad para
decidir sobre los datos que recoge, los medios que utiliza para los tratamientos que realiza o la
finalidad a la que los destina.
Además de estas definiciones vamos a pasar a vislumbrar otras de especial relevancia y que resultan
novedosas respecto a la antigua Directiva 95/46 y que por ende, introduce el Reglamento que
estamos tratando:
EM
6. Limitación del tratamiento: El marcado de los datos de carácter personal conservados con el
fin de limitar su tratamiento en el futuro, esto es, el bloqueo de datos, como por ejemplo, suprimir
temporalmente los datos contenidos en una página de Internet. El Considerando 67 del Reglamento
nos dice que inicialmente, esta limitación del tratamiento ha de hacerse por medios técnicos.
7. Elaboración de perfiles: Toda forma de tratamiento automatizado de datos personales

ES
consistentes en utilizar datos personales para evaluar determinados aspectos personales de una
persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional,
situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento,
ubicación o movimientos de dicha persona física, con el fin de evaluar en particular el rendimiento
profesional, la situación económica, la salud, las preferencias personales, los intereses, la fiabilidad,
IN
el comportamiento y la ubicación o movimientos de dicha persona física.
8. Datos genéticos: Datos personales relativos a las características genéticas heredadas o
adquiridas de una persona física provenientes del análisis de una muestra biológica de la persona
física en cuestión. Por ejemplo, a través de un análisis de ADN o de ARN, ya que son análisis que nos
otorgan información exclusiva de la fisiología personal.
9. Datos biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico,
relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan
o confirmen la identificación única de dicha persona. Por ejemplo, huellas dactilares.
10. Datos relativos a la salud: Datos personales relativos a la salud física o mental de una persona
física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su
INESEM
28 / 40
estado de salud. Se incluye la información sobre la persona física recogida con ocasión de su
inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia; todo
número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos
sanitarios; la información obtenida dentro de pruebas o exámenes de una parte del cuerpo o de una
sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier
información relativa, por ejemplo a una enfermedad, independientemente de su fuente, por ejemplo,
un hospital, etc.
11. Autoridad de control: Autoridad pública independiente designada por cada Estado miembro
EM
con la responsabilidad de supervisar la aplicación del Reglamento para proteger los derechos y las
libertades fundamentales de las personas físicas en lo que respecta al tratamiento y facilitar la libre
circulación de datos personales en la Unión. Asimismo contribuirá a la aplicación coherente del
Reglamento en toda la Unión a través de los mecanismos de cooperación que se establecen en el
Capítulo VII del mismo.
12. Autoridad de control interesada: Definida únicamente para tres supuestos: “1. Cuando el
ES
responsable o el encargado del tratamiento esté establecido en el territorio de esa autoridad de
control; 2. Cuando los interesados que residen en su territorio se vean sustancialmente afectados o
es probable que se vean afectados por el tratamiento; y 3. Cuando se haya presentado una
reclamación ante esa autoridad de control”.

IN
13. Representante: Persona física o jurídica establecida en la Unión, que habiendo sido designada
por escrito por el responsable o el encargado del tratamiento, le representa en lo que respecta a sus
respectivas obligaciones en virtud del Reglamento.
14. Empresa: Persona física o jurídica dedicada a una actividad económica, independientemente de
su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una
actividad económica.
15. Grupo empresarial: Grupo constituido por una empresa para ejercer el control y sus empresas
controladas, debiendo ser la empresa que ejerce el control la que pueda ejercer una influencia
dominante en las otras empresas, por razones de propiedad, participación financiera, normas por las
que se rige o poder de hacer cumplir las normas de protección de datos personales.
INESEM
29 / 40
16. Tratamiento transfronterizo: El realizado en el contexto de las actividades de
establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento
en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro;
además de en el contexto de las actividades de un único establecimiento de un responsable o un
encargado en el tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte
sustancialmente a interesados en más de un Estado miembro.
17. Objeción pertinente y motivada: Objeción a la propuesta de decisión sobre la existencia o no
de infracción del presente Reglamento, o sobre la conformidad con el Reglamento de acciones
EM
previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente
la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades
fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro
de la Unión.
18. Servicios de la sociedad de la información: Servicios a cambio de una remuneración, a
distancia, por vía electrónica y a petición individual del destinatario. Es necesario observar las
ES
reglas de la responsabilidad de los prestadores de servicios de intermediación con el objetivo de
contribuir al correcto funcionamiento del mercado interior garantizando la libre circulación de los
servicios de la sociedad de la información entre los Estados miembros.
19. Organización internacional: Una organización internacional y sus entes subordinados de

IN
Derecho Internacional Público o cualquier otro organismo creado mediante un acuerdo entre dos o
más países o en virtud de tal acuerdo.
Para aclarar este concepto hemos acudido al Manual del Profesor Díez de Velasco, para el cual las
Organizaciones Internacionales se pueden definir como “asociaciones voluntarias de Estados
establecidas por acuerdo internacional, dotadas de órganos permanentes, propios e independientes,
encargados de gestionar unos intereses colectivos y capaces de expresar una voluntad jurídicamente
distinta de la de sus miembros ”.
20. Seudonimización: Tratamiento de datos personales de manera tal que ya no pueden atribuirse
a un interesado sin utilizar información adicional, siempre que dicha información figure por
separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos
personales no se atribuyan a una persona física identificada o identificable.
INESEM
30 / 40
Los datos personales seudonimizados son los que cabría atribuir a una persona física mediante la
utilización de información adicional y quedan sometidos a la normativa sobre protección de datos.
21. Violación de la seguridad de los datos: La destrucción, pérdida o alteración accidental o
ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o
acceso no autorizados a dichos datos.
22. Establecimiento principal: En lo que se refiere a un responsable del tratamiento con
establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión,
salvo que las decisiones sobre los fines y los medios del establecimiento se tomen en otro
EM
establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer
aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se
considerará establecimiento principal; en lo que se refiere a un encargado del tratamiento con
establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o,
si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las
principales actividades de tratamiento en el contexto de las actividades de un establecimiento del

ES
encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al
presente Reglamento.
23. Normas corporativas vinculantes: Instrumento para legitimar las transferencias
internacionales de datos dentro de un grupo empresarial o una unión de empresas dedicadas a una
IN
actividad económica conjunta en base a la adopción de unas políticas de protección de datos
personales que permitan garantizar la protección de los datos por el responsable o encargado del
tratamiento establecido fuera del Espacio Económico Europeo.
Son también conocidas como las Binding Corporate Rules, o BCR.
24. Registro de Actividades de Tratamiento: Es un listado e información resumida de todos los
tratamientos de datos de la entidad.
Comenzar Actividad
INESEM
31 / 40
Relaciona los elementos de la columna Derecha con la columna Izquierda
Tercero 1 Persona física o jurídica,

autoridad pública, servicio u otro
organismo al que se comuniquen
Destinatario 2 datos personales, se trate o no de
un tercero.
Encargado del tratamiento 3

Persona física o jurídica,
autoridad pública, servicio u otro
organismo que trate datos
personales por cuenta del
responsable del tratamiento.
EM
Persona física o jurídica,
autoridad pública, servicio u
organismo distinto del interesado,
del responsable del tratamiento,
del encargado del tratamiento y
de las personas autorizadas para
tratar los datos personales bajo la
ES
autoridad directa del responsable
o del encargado.
Tercero:Persona física o jurídica, autoridad pública, servicio u organismo

IN
distinto del interesado, del responsable del tratamiento, del encargado del
tratamiento y de las personas autorizadas para tratar los datos personales
bajo la autoridad directa del responsable o del encargado.
Destinatario:Persona física o jurídica, autoridad pública, servicio u otro
organismo al que se comuniquen datos personales, se trate o no de un
tercero.
Encargado del tratamiento: Persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento.
INESEM
32 / 40
8. Aspectos subjetivos
En este apartado trataremos los aspectos subjetivos del derecho de la protección de datos, que son
aquellas potestades contenidas en el mismo y la forma en la que se pueden ejercitar.
Los derechos que posee todo ciudadano en este ámbito del derecho de protección de datos son, a
título de mención: derecho de acceso, derecho de rectificación, derecho de oposición, derecho de
cancelación y "derecho al olvido" y eliminación de fotos y vídeos de Internet.
EM
8.1. Derecho de acceso
Cuando se ejercita este derecho, la persona puede conocer qué datos de carácter personal suyos
están siendo objeto de tratamiento por parte del responsable, la finalidad de dicho tratamiento, el
origen de esos datos y si han sido comunicados o lo van a ser a un tercero.
Una vez que se ejercita este derecho de acceso, la contestación debe producirse en el plazo máximo
ES
de un mes, y en caso de que éste sea estimado, el acceso se tornará efectivo en un plazo máximo de
diez días hábiles.
La persona puede elegir los medios a través de los cuales desea recibir la información en caso de
que este derecho se estime, de entre los siguientes:

IN
Visualización en pantalla.
Escrito, copia o fotocopia remitida por correo, certificado o no.
Telecopia.
Correo electrónico u otros sistemas de comunicación electrónica.
Cualquier otro sistema adecuado ofrecido por quien posee los datos personales (responsable
del fichero).
Este derecho de acceso es independiente del derecho de acceso a la información pública que regula
la Ley de Transparencia, Acceso a la información Pública y Buen Gobierno.
También es independiente del derecho de acceso a la documentación en un procedimiento
administrativo cuando se ostenta la condición de interesado, regulado por la Ley 39/2015 de 1 de
INESEM
33 / 40
octubre (LPAC).
Respecto al acceso a la historia clínica, éste se regula por la Ley de Autonomía del Paciente. Pero
una vez que se ha ejercitado y la respuesta no sea satisfactoria para el ciudadano o no se haya
respondido, la Agencia Española de Protección de Datos es competente para tutelar el acceso.
8.2. Derecho de rectificación
Consiste en la modificación de los datos personales de la persona interesada por parte del
EM
responsable que los trata cuando éstos sean inexactos o incompletos, debiendo en la solicitud de
rectificación señalar qué datos son los que se desean modificar.
A la solicitud de rectificación le debe acompañar la documentación justificativa correspondiente.
Cuando se ejercita este derecho, la contestación debe ser dada en un plazo máximo de 10 días
hábiles. Si los datos hubieran sido comunicados a un tercero, el responsable tendrá la obligación de
ES
comunicar los datos rectificados para que también este tercero los sustituya.
El artículo 14 de la LOPD 3/2018 regula que al ejercer el derecho de rectificación, el afectado
deberá indicar en su solicitud a qué datos se refiere y la corrección que debe de realizarse. Deberá
acompañar la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto

IN
de tratamiento, cuando sea preciso.
8.3. Derecho de oposición
Cuando se ejercita este derecho, la persona se puede oponer a que no se lleve a cabo el tratamiento
de sus datos personales en los siguientes casos:
Cuando no siendo preceptivo el consentimiento de la persona para el tratamiento de sus datos,
exista un motivo legítimo y fundado referente a su concreta situación personal (salvo que una
Ley establezca lo contrario). Por ejemplo: si en un procedimiento selectivo de acceso a la
Administración, la no publicación de los datos de un aspirante que ha sido víctima de violencia
de género, constando únicamente las iniciales y el número de DNI.
INESEM
34 / 40
Cuando nos hallemos en supuestos de tratamientos de datos personales con el fin de realizar
actividades de publicidad y prospección comercial. En este caso no es preceptivo justificación
para la oposición al tratamiento de los datos. Si se da el caso de que la campaña publicitaria se
llevase a cabo mediante los datos que posee una empresa contratada, se trasladará la petición
al anunciante en un plazo máximo de 10 días hábiles.
Cuando el tratamiento posea la finalidad de adoptar una decisión referente a la persona en
cuestión que se base exclusivamente en un tratamiento automatizado de sus datos personales.
Este tratamiento se da en los supuestos de celebración o ejecución de un contrato (previa
advertencia) y se encuentre autorizado por una ley que establezca medidas que garanticen tus
EM
intereses legítimos.
Cuando se ejercita este derecho, la contestación se debe producir en un plazo máximo de 10 días
hábiles.
ES
8.4. Derecho de cancelación
Con este derecho se da potestad a la persona para que se pueda producir la cancelación de los datos
personales que sean inadecuados o excesivos.
De todas formas, se guardarán bloqueados pero siempre de forma que no se pueda llevar a cabo su
IN
tratamiento, sin perjuicio del requerimiento y posterior puesta a disposición de las Administraciones
Públicas, Jueces y Tribunales, para la llevanza de las posibles responsabilidades que se hayan
derivado del tratamiento durante su plazo de prescripción. Cuando este plazo se cumpla, sí se
llevará a cabo la eliminación de éstos.
Cuando la persona solicite la cancelación de sus datos personales, deberá indicar a qué datos se
refiere concretamente, aportando de hecho la documentación en que se base la pretensión.
La contestación se debe producir en un plazo máximo de 10 días hábiles. Si los datos hubiesen
pasado a comunicarse a un tercero, el responsable tiene la obligación de comunicarle a este tercero
los datos cancelados para que éste último también proceda a su cancelación.
Si se ha ejercido este derecho y la persona no recibe contestación, o la respuesta que recibe es
INESEM
35 / 40
insatisfactoria, puede interponerse una reclamación de tutela de tu derecho ante la AEPD.
8.5. "Derecho al olvido" y eliminación de fotos y vídeos de

Internet
Como bien debería saberse, el tratamiento de datos que llevan a cabo los motores de búsqueda de
Internet (como Google o Yahoo), está sometido a las normas de protección de datos de la UE. Los
ciudadanos pueden requerir, bajo ciertas condiciones, que los enlaces a sus datos personales no
aparezcan en los resultados de una búsqueda realizada por su nombre y apellidos. Este criterio fue
EM
fundado por la AEPD y avalado en 2014 por el TJUE, y ahora es popularmente conocido como
"derecho al olvido".
El contenido de este derecho puede resumirse en seis puntos clave:
Supone aplicar los derechos de cancelación y oposición a los buscadores para impedir la
ES
difusión de la información cuando ésta es obsoleta o no tiene relevancia ni interés público.
Si se estima la pretensión, la información no aparecerá en los resultados de búsquedas, pero
seguirá publicado en la fuente original.
Se debe valorar caso a caso para lograr un equilibrio entre los diferentes derechos e intereses
afectados.
IN
Si los buscadores deniegan tu pretensión puedes interponer una reclamación ante la AEPD.
Los principales buscadores (Google, Yahoo y Bing) han habilitado formularios para facilitar su
ejercicio. Puedes encontrarlos en la sección web de la AEPD sobre el "Derecho al olvido".
Puedes ejercitarlo ante los buscadores sin necesidad de acudir a la fuente original de
publicación.
Respecto a la eliminación de fotos y vídeos que han sido publicados en Internet sin consentimiento,
se puede ejercitar el derecho de cancelación respecto a ellos. Para esto, la persona debe dirigirse,
acreditando su identidad e indicando los enlaces donde aparecen los vídeos y fotos, ante quien los
haya subido a la red, solicitando el borrado de los mismos.
Si no le responden o la respuesta es insatisfactoria, puede interponer una reclamación de tutela de
INESEM
36 / 40
su derecho ante la Agencia.
Por otra parte, las redes sociales más populares ofrecen servicios de ayuda que permiten poner en
su conocimiento, a través de sus propios formularios, cuando se ha producido una vulneración de la
privacidad o contenidos inapropiados.
EM
ES
IN
INESEM
37 / 40
Recuerda
EM
ES
IN
INESEM
38 / 40
Preguntas de autoevaluación
Indica si este enunciado es verdadero o falso: La primera posibilidad con la que

cuenta el sistema normativo español es modificar las disposiciones nacionales en
materia de protección de datos que sean contrarias a lo establecido en el
Reglamento.
Falso.
EM
Verdadero.
Podemos delimitar los ámbitos materiales de la PESC en sentido negativo:
Ni cuando se produce un consenso de los Estados sobre la existencia de asuntos o

ES
cuestiones de política exterior que ofrecen un interés general o común, ese asunto o
cuestión pasa a formar parte de la PESC.
En ningún caso podrán formar parte del ámbito material de la PESC los ámbitos de
acción exterior que han sido atribuidos a la Unión como políticas de la acción exterior
de las competencias.
IN
Indica si este enunciado es verdadero o falso: Cuando la persona solicite la

cancelación de sus datos personales, deberá indicar a qué datos se refiere
concretamente, pero no hace falta aportar la documentación en que se base la
pretensión.
Verdadero.
Falso.
La finalidad última del Reglamento es generar un marco:
INESEM
39 / 40
Poco unitario y coherente.
Más unitario y coherente.
El derecho al olvido y eliminación de fotos y vídeos de Internet tiene puntos

clave como:
Supone aplicar los derechos de cancelación y oposición a los buscadores para impedir
EM
la difusión de la información cuando ésta es obsoleta o no tiene relevancia ni interés
público.
Si se estima la pretensión, la información no aparecerá en los resultados de

búsquedas, pero seguirá publicado en la fuente original.
ES
Se debe valorar caso a caso para lograr un equilibrio entre los diferentes derechos e
intereses afectados.
Todas las respuestas son correctas.

IN
INESEM
40 / 40

El Reglamento Europeo 2016 - 679 de Protección de Datos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

El Reglamento Europeo 2016 - 679 de Protección de Datos

Cargado por

Copyright:

Formatos disponibles

[AFO023448] Curso en Protección de Datos de Carácter Personal

[MOD020605] Protección de Datos de Carácter Personal

actividad al cumplimiento de la normativa comunitaria. En esta unidad analizaremos los aspectos

principales de este reglamento.

Analizar las medidas de protección de datos impuestas por la UE.

Conocer la terminología básica en la protección de datos.

El Reglamento General de Protección de Datos, tras un complejo proceso de formación, es

finalmente publicado en el Diario Oficial de la Unión Europea el 4 de mayo de 2016, entrando en

en su artículo 94 se encarga expresamente de derogar la Directiva desde que el mismo se comience

a aplicar (25 de mayo de 2018).

las autoridades de control independientes, elemento esencial para el derecho fundamental a la

protección de datos (art. 8.3 de la Carta Europea de Derechos fundamentales).

sistema sancionador, creando así un nuevo modelo de protección de datos.

sea posible su posterior desarrollo.

complemento con respecto al contenido que aparece en el Reglamento.

tratamiento de datos personales en el ejercicio de una actividad no comprendida en el ámbito de

aplicación del Derecho de la Unión.”

2. La perspectiva internacional en la protección de datos

La Agencia Española de Protección de Datos es el mecanismo que tiene atribuida la mencionada

labor de cooperación internacional en el ámbito de la protección de datos y queda establecida como

órgano de autoridad independiente.

control (incluyendo la cooperación en materia judicial y policial).

Conferencias Internacionales y, en otros instrumentos de cooperación bilateral o multilateral con

diversas autoridades de control extranjeras.

legislativos que regules la materia de la protección de datos.

Concluimos con la importancia que la globalización ha tenido a la hora de internacionalizar el

electrónica, esto ha generado la creación de numerosos instrumentos y organismos encargados

precisamente de salvaguardad la seguridad de las transmisiones de datos personales en el ámbito

El Reglamento en su Capítulo V (artículo 44 a 55) trata las transferencias de datos personales a

terceros países u organizaciones internacionales. De la extensa regulación que ha tenido lugar en el

ámbito comunitario (también en la Directiva 95/46/CE) ya se desprende la notoria importancia que

innovaciones introducidas en su normativa.

La normativa que contiene el Reglamento en cierto modo afectará a la contenida en la LOPD

miembros de la Unión Europea no se considerarán transferencias internacionales. Por lo tanto, las

la UE y un tercer Estado u organización internacional.

que se refiere a las transferencias internacionales.

tercer país > >.

Vamos ahora a analizar la regulación que el Reglamento hace de estas transferencias

libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y

organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los

a, y desde, países no pertenecientes a la Unión y organizaciones internacionales son necesarios para

la expansión del comercio y la cooperación internacionales. El aumento de estos flujos plantea

los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en

terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección

transferencias ulteriores de datos personales desde el tercer país u organización internacional.”

transferencias internacionales, y es que las transferencias de datos transfronterizas constituyen en

El artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea, consagra la protección de

el Derecho de la Unión, desde la introducción de la Directiva sobre protección de datos en 1995

hasta la adopción del Reglamento General de Protección de Datos y de la Directiva de policía en

2016 (Directiva UE 2016/680).

El 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE)

2016/679 relativo a la Protección de las Personas Físicas en el Ámbito de la Protección de

95/46/CE. El Reglamento General de protección de datos entró en vigor el 24 de mayo de 2016 y es

innovación en materia de protección de datos a nivel europeo.

En Europa, la protección de datos comienza a desarrollarse en el seno del Consejo de Europa a

1950: Convenio Europeo de Derechos Humanos (CEDH). En su artículo 8, garantiza el derecho

a la protección de datos a través de la referencia que hace al respeto de la vida privada y

tratamiento automatizado de datos de carácter general. Tiene la finalidad última de proteger

Convenio se encuentran, en esencia, en la posterior modernización que se ha producido en el

tratamiento de esta materia a partir de otros instrumentos normativos.

normas diferenciadas que dificultaron la realización del mercado interior de la UE (principalmente

se verá afectada la circulación de datos).

la libre circulación de los mismos.