Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
El Reglamento General de Protección de Datos (UE) entró en vigor el 25 de mayo de 2018 tras el
periodo de vacatio legis establecida con el objetivo de que las organizaciones fuesen adaptando su
EM
ES
IN
INESEM
1 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Objetivos
Establecer los puntos clave del Reglamento General de Protección de Datos de la UE.
EM
ES
IN
INESEM
2 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Mapa Conceptual
EM
ES
IN
INESEM
3 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
1. Marco normativo
vigor 20 días después de su publicación y siendo aplicable a partir del 25 de mayo de 2018.
Para entender el significado de dicho Reglamento es preciso hacer mención junto con el Convenio
108 del Consejo de Europa a las Directrices de la OCDE de 1980, que fueron determinantes en la
evolución que se ha producido de la protección de datos a nivel global. Estas normas comienzan a
quedarse obsoletas entendiéndose necesaria una gran reforma debido al gran salto tecnológico al
EM
que asistimos durante el comienzo del nuevo siglo. Tanto es así que el referido Reglamento de 2012
No obstante es preciso que no olvidemos la importancia que dicha Directiva ha tenido en la materia,
ya que los principales principios y fundamentos del Reglamente están inspirados en los que ya
ES
recogía la Directiva constituyendo estos la esencia del derecho a la protección de datos.
A continuación, veremos una introducción al nuevo reglamento de LOPD, Reglamento 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016 .
[[[Elemento Multimedia]]]
En cualquier caso el Reglamento introduce importantes innovaciones en la materia, pasándose de
IN
una mera articulación de la gestión de datos a poner gran énfasis en la el uso responsable de los
mismos (art. 5.2 del Reglamento). Del mismo modo, adquiere una notoria importancia la figura de
Analizando el significado de estos dos rasgos fundamentales se deduce que la máxima del nuevo
Reglamento no es otra que la de fortalecer la idea del uso responsable de la información así como su
La finalidad última del Reglamento es generar un marco más unitario y coherente a la hora de su
aplicación que evite las diferencias en la aplicación de los derechos de protección de datos. No
podemos olvidar que dicho Reglamento original del aparato legislativo de la Unión Europea tiene un
alcance general y es obligatorio en todos sus elementos por lo que no cabe transposición aunque sí
INESEM
4 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Este hecho nos hace reflexionar sobre la relevancia de la materia y del elemento unificador que
normativa ha pretendido introducir ya que tal y como establece el artículo 81 de la Constitución esta
materia precisa ser regulada mediante Ley orgánica, si bien, queda contenida en un Reglamento
europeo.
Es preciso analizar el efecto que este hecho puede generar en nuestra Ley Orgánica de Protección
de Datos, que en ningún caso podrá considerarse derogada, sino que asume un papel de
EM
Este asunto lo resuelve el Reglamento en su artículo 2.2 a): “El presente Reglamento no se aplica al
Lo que supone que será precisamente la LOPD la que actúa en estos casos no comprendido en el
ES
ámbito de aplicación del Reglamento.
IN
INESEM
5 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
La protección de datos cuenta con una gran relevancia en ámbito internacional. Como veremos las
legislaciones nacionales se encuentran en gran parte supeditas a la normativa que nos aporta la
Unión Europea, lo que hace indispensable la existencia de mecanismos armonizadores que aporten
notas cooperativas a la aplicación de este compendio de normas tanto nacionales como europeas.
A nivel internacional, las transferencias de datos se han elevado notoriamente, esto determina la
necesidad de encontrar vías que aproximen los marcos legales existentes, nacionales y regionales,
así como se hace necesario crear instrumentos de conexión que faciliten los flujos de datos salvando
EM
un alto nivel de seguridad.
la Agencia Estatal participa en todos los grupos de trabajo así como forma parte de los órganos de
Del mismo modo participa en los comités ad hoc del Consejo de Europa, así como en las
IN
Otro de los principales objetivos de la Agencia Estatal de Protección de Datos es el de colaborar con
los países iberoamericanos que se hallan inmersos en procesos de creación y desarrollo de sistemas
ámbito de la protección de datos así como los avances tecnológicos y el progreso de la comunicación
internacional.
INESEM
6 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
recibe este asunto por parte de las instituciones europeas, conscientes del proceso de globalización
en el que nos encontramos inmersos, pretendiendo además clarificar la materia a través de las
desplazando sus artículos 33 y 34, así como los artículo 65 a 67 y 137 a 144 del Reglamento de 2007.
El Reglamento no hace alusión a una posible definición de los que conocemos como transferencia
EM
internacional, así como tampoco establece que hemos de considerar como terceros países o Estados.
Sí que hemos de tener claro en base al Reglamento que las transferencias de datos entre Estados
transferencias internacionales serán aquellas que tengan lugar entre cualquier Estado miembro de
hemos calificarlos o no como terceros Estados, para ello en primer lugar hemos de hacer mención al
artículo 5.1. s) del Reglamento español de protección de datos aprobado mediante el Real Decreto
1720/2007 que define a las transferencias internacionales como “el tratamiento de datos que supone
una transmisión de los mismos fuera del territorio del Espacio Económico Europeo.” Por otro lado, el
IN
Reglamento deja fuera a los países del Espacio Económico Europeo, considerándolos terceros en lo
Hay que hacer alusión a la situación de Gran Bretaña, la cual una vez ejecutado efectivamente el
Brexit y se confirme su salida de la Unión Europea pasará a considerarse del mismo modo < <
internacionales. En su Considerando 6 ya establece que “la tecnología (…) ha de facilitar aún más la
datos personales.”
INESEM
7 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Del mismo modo el Considerando 101 considera que “Los flujos transfronterizos de datos personales
nuevos retos e inquietudes en lo que respecta a la protección de los datos personal. No obstante, si
de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las
EM
Precisamente en estos Considerandos encontramos la razón última de la regulación de las
la actualidad una realidad ineludible, por lo que intentar limitar las mismas podemos afirmar que
traería aparejado un demoledor fracaso. Si bien es cierto que estás transferencias suponen un riesgo
para la seguridad de los datos personales por ello el Reglamento no sólo ha reconocido su
notoriedad y relevancia sino que ha incluido preceptos que refuercen el derecho a la protección de
ES
datos así que traten de salvaguardad la privacidad de los mismos.
IN
INESEM
8 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
3. La protección de datos en la UE
datos como un elemento fundamental. Lleva más de veinte años ocupando un lugar destacado en
EM
Datos Personales y la Libre Circulación de los mismos, por el que se deroga la Directiva
de aplicación a partir del 25 de mayo de 2018. Este Reglamento constituye la expresión última e
partir de una serie de instrumentos desarrollados desde esta institución, así encontramos:
IN
familiar, así como del domicilio y de la correspondencia, estableciendo una serie de supuestos
en los queda justificada la injerencia por parte de las autoridades públicas en este ámbito.
1981: Convenio del Consejo de Europa para la protección de las personas con respecto al
los derechos y libertades fundamentales con respecto al tratamiento automatizado de los datos
de carácter personal (art. 8). Como ya hicimos mención, los principios que recoge este
INESEM
9 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Desde los años 70, los diferentes Estados miembros de la Unión Europea comenzaron a abordar el
tratamiento del derecho de protección de datos a través de instrumentos legislativos propios. Esto
dio lugar a la aparición de múltiples normas que trataron de regular la materia, que si bien todas
ellas se prestan de la legislación internacional para esta labor, generaron una gran diversidad de
Fue precisamente esta situación la que generó la necesidad de crear un instrumento jurídico propio
EM
de la Unión Europea en materia de protección de datos que garantizara un nuevo marco regulador
de general aplicación.
Esta necesidad trató de ser solventada con la adopción de la Directiva 95/46/CE relativa a la
protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a
múltiples instrumentos nacionales que se habían creado en materia de protección de datos para
tratar de garantizar el funcionamiento del mercado interior; segundo y muy vinculado al primero,
eliminar las barreras que las múltiples legislaciones habían generado en materia de circulación de
datos personales; y por último, introducir una nota de equilibrio en el nivel de protección de los
La revolución tecnológica y la importancia de Internet que irrumpe junto al comienzo del nuevo
siglo, generará que en 2003 se plantee un nuevo reto con respecto al derecho a la vida privada y la
protección de datos personales que tratará de abordar el Tribunal de Justicia de la Unión Europea
INESEM
10 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
materia.
Esta armonización ya se pretendió con la Directiva de 1995 si bien, se pretendía ahora una
armonización absoluta que asegurase la libre circulación de datos personales, pero que garantizase
Del mismo modo, la Comisión Europea en 2003 publica su primer informe referido a la aplicación
que estaba teniendo lugar de la Directiva sobre la protección de datos (95/46/CE). Este informe pone
énfasis en la revolución tecnológica a la que estamos asistiendo así como a la principal amenaza que
EM
En 2007, la Comisión Europea publicó una Comunicación que valoraba la aplicación de la Directiva
en los Estados miembros que había sido valorada positivamente a pesar de que diversos Estado no la
aplicaban correctamente. A pesar de esto, la Comisión determinó que estos casos no constituían
que la Directiva seguía cumpliendo con su finalidad originaria ya no se ajustaba a los nuevos
desafíos generados por la revolución tecnológica. Esta Comunicación resaltó una serie de nuevos
objetivos que tenían que abordarse: primero, tratar los efectos de la introducción de las nuevas
globalización y mejorar los intercambios de datos de carácter internacional; cuarto, reafirmar las
instituciones para asegurar la correcta aplicación de las normas en materia de protección de datos; y
de datos.
Estas notas tomaron cuerpo en las propuestas legislativas de lo que en 2012 sería el Reglamento
protección de datos en la Unión Europea sería la entrada en vigor en 2009 del Tratado de Lisboa.
Este Tratado supuso dos transformaciones en el ámbito de la protección de datos: primero, significó
INESEM
11 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Funcionamiento de la Unión Europea que trae como consecuencia la codificación del derecho de las
normativa en la materia que aquí tratamos. Esta evaluación consistió en el análisis de tres posibles
conseguir el pleno ejercicio de los derechos que regulan la protección de datos así como generar un
espacio que incluya todos los ámbitos competenciales establecidos en la Unión Europea.
EM
Tras este proceso se consensuó el Reglamento como el instrumento más idóneo para el tratamiento
de estas innovaciones, ya que el artículo 288 TFUE establece la aplicabilidad directa de los
La Propuesta del Reglamento General de Protección de Datos tiene lugar el 25 de enero de 2012 y
ES
señala como principales objetivos del mismo: 1) mejorar el acceso a la información a la ciudadanía
en lo que respecta a sus datos personales; 2) elevar la seguridad referida al procesamiento de estos
datos; 3) incrementar la eficacia de los derechos que recoge; 4) elevar la confianza de los
derecho de denegar que los datos sean procesados; 7) creación de un órgano independiente de
IN
Hemos de destacar también que la propuesta introduce principios como el de transparencia así
acompaña esta propuesta con una Directiva sobre normas para la prevención de delitos así como
INESEM
12 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
En el presente epígrafe vamos a analizar el principal reto que ha supuesto el Reglamento sobre los
Es obvio que la normativa nacional en el ámbito de la protección de datos para poder persistir ha de
estar en consonancia, o a través de la reforma o por interpretación, con los nuevos preceptos
recogidos en el Reglamento.
EM
Ya conocemos que el Derecho comunitario prevalece sobre las normas nacionales (principio de
Europea.
Es una realidad que hay ciertas disposiciones nacionales que se presentan incompatibles con el
ES
Reglamento en la rama de la protección de datos (por ejemplo, en España existe obligación de
notificar cuando se cree un fichero así como requerir su inscripción en el Registro general de
Vamos a estudiar en este epígrafe por tanto si los poderes públicos españoles han de llevar a cabo
IN
La primera posibilidad con la que cuenta el sistema normativo español es modificar las disposiciones
Considerando 8 del Reglamento, que establece cuando la claridad de la norma lo hiciese necesario,
esta norma del Reglamento pasaría a formar parte literalmente en la disposición de que se tratase.
Esta vía es compatible con la introducción en la norma estatal de una cláusula derogatoria que
establezca la derogación de todas aquellas disposiciones de igual o inferior rango que contradigan
Otra posibilidad consiste en que el legislador nacional se base en la directa aplicabilidad que reviste
INESEM
13 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Esta posibilidad nos llevaría a que los jueces así como otros sujetos jurídicos ejecutasen una función
interpretativa para solventar los diversos conflictos que pudiesen surgir entre la Ley nacional y el
Reglamento.
apropiada en la materia que nos atañe (la protección de datos). Esto lo basamos en La singularidad y
complejidad que caracteriza al Reglamento que aquí estudiamos, ya que el mismo se corresponde en
EM
La permanencia de la legislación nacional en materia de protección de datos se desprende necesaria
de la lectura del propio Reglamento, que hace que no nos situemos en un escenario en el que la
Una última mención necesaria sería la relativa a la relevancia que este Reglamento ha tenido en la
ES
legislación nacional comparable con el que tuvieron los Reglamentos de Roma sobre ley aplicable así
[[[Elemento Multimedia]]]
IN
INESEM
14 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
No existe como tal una definición de < < código de conducta > > en el Reglamento, pero podemos
buenas prácticas que aun no siendo obligado por los preceptos reguladores de la materia, son
impuestas por la autoridad pública de control, así como por la Comisión y el Comité europeo de
protección de datos, quedando definidas la buenas prácticas de los encargados del tratamiento,
como el compromiso que adquieren estos de cumplir sus funciones atendiendo a los principios que
rigen la correcta aplicación del Reglamento en determinados sectores así como a la protección de
EM
las personas en lo que concierne al tratamiento de sus datos personales y todo esto bajo el amparo
voluntariedad otorgadas por los grupos de responsables del tratamiento en sus relaciones con las ya
mencionadas instituciones públicas sobre las que recae la función de aprobarlos una vez ha sido
ES
controlada tanto su legalidad como su adecuación.
Los códigos de conducta aparecen por tanto en el Reglamento como supuestos autorregulados, que
pueden utilizarse por las entidades que los han suscrito como prueba de que cumplen con lo previsto
En cualquier caso, hemos de hacer constar la multitud de códigos de conducta que existen en
El Reglamento en su artículo 40.1 establece con carácter obligatorio la necesidad de que los Estados
miembro, junto con las autoridades de control, así como el Comité y la Comisión promuevan la
empresas.
La finalidad de los códigos de conducta reside en facilitar la aplicación de las diversas normas
jurídicas, ejercitando el rol de especificador de los principios determinados por la norma jurídica en
esferas muy cambiantes, como por ejemplo el ámbito de las tecnologías de la información.
INESEM
15 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
aprobados a tenor del artículo 40 o a un mecanismo de certificación (…) podrán ser utilizados como
elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del
tratamiento. Del mismo modo el artículo 28.5 determina que La adhesión del encargado del
tratamiento a un código de conducta aprobado a tenor del artículo 40 (…) podrá utilizarse como
elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1
y 4 del presente artículo. Del mismo modo cuando se trata el ámbito de la seguridad establece el
artículo 32.3 del Reglamento, se prevé que la adhesión a un código de conducta aprobado pueda
EM
funcionar como elemento para demostrar el cumplimiento de los requisitos que establece el artículo
32.1.
Por tanto, el empleo de códigos de conducta significará una oportunidad para el responsable del
tratamiento que incumpla cualquier obligación de las enunciadas por el Reglamento; también puede
actuar como minimizador de las consecuencias derivadas del ejercicio de la potestad sancionador
ES
por la autoridad de control competente ya que tendrá que atender a la adhesión que haya podido
Por otra parte, conforme al principio de buena fe, la actuación conforme a un código de conducta no
El Considerando 98 ya establecía la utilidad que los códigos de conducta pueden tener como
aplicadores efectivos del Reglamento. A través de los códigos de conducta se establecen las
obligaciones que recaen sobre los responsables del tratamiento y para que este código se apruebe
debe añadir valor en términos de especificación tratando correctamente los problemas derivados del
tratamiento en un ámbito concreto y aportando posibles soluciones. Esto será lo que haga que las
obligaciones que recoge el Reglamento sean más fácilmente asimiladas por los responsables. Será
en el artículo 40.1 donde quede establecida de forma evidente la finalidad de los códigos de
conducta, determinando que los códigos de conducta están destinados a contribuir a la correcta
aplicación del (…) Reglamento, teniendo en cuenta las características específicas de los distintos
mediana empresas. Para ello en base al artículo 40.2 se confía a las asociaciones y otros organismos
INESEM
16 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
EM
ES
IN
INESEM
17 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Si hacemos una lectura exhaustiva del artículo 2 del Reglamento de Protección de Datos, el cual nos
delimita el ámbito material del mismo, podemos comprobar que coincide sustancialmente con el de
Reglamento incluye ciertos matices, como pueden ser la redefinición de las excepciones, aunque
EM
refiriéndose a las redes sociales, cuestión no contemplada en la Directiva debido a que cuando ésta
Hemos de delimitar el ámbito material o de aplicación del Reglamento para poder comprobar si se
puede aplicar o no esta norma, ya que es una cuestión que se ha de tener en cuenta a priori para
El Reglamento tiene por objeto garantizar y proteger el derecho fundamental de las personas físicas
a la protección de datos.
Este artículo 2.1 del Reglamento nos proporciona una definición positiva sobre cuál es el ámbito de
En cuanto a la definición positiva, el artículo 2.1 del Reglamento nos dice que es de aplicación a:
INESEM
18 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Podemos comprobar una vez hecha la lectura de este artículo, que el ámbito de aplicación
que viene a sustituir, por ello mismo podemos llegar a la conclusión de que la norma no ha
hacer alusión a cada uno de estos conceptos clave, lo cual se llevará a cabo en el siguiente
EM
epígrafe.
numerus clausus, a qué tratamientos de datos no les son de aplicación las previsiones
contempladas en el Reglamento.
ES
A) Actividades fuera del ámbito de aplicación del Derecho de la Unión
Esta primera excepción alude a los tratamientos de datos que sean necesarios para la consecución
Por tanto, si en el Derecho Originario de la UE no posee competencias para tratar una determinada
materia, a los tratamientos de datos que se puedan desarrollar para la realización de esa materia no
El Reglamento sólo se puede aplicar a todas las actividades relacionadas con el tratamiento de datos
personales, en relación con actividades en las que la UE posea competencias sobre las que puede
regular.
B) Actividades de política exterior y de seguridad común realizadas por los Estados Miembros
INESEM
19 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
“El presente Reglamento no se aplica al tratamiento de datos personales: b) por parte de los Estados
miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2
El Reglamento se refiere a la PESC (Política Exterior y de Seguridad Común: art. 24.1 TUE “la
competencia de la Unión en materia de política exterior y seguridad común abarcará todos los
ámbitos de la política exterior y todas las cuestiones relativas a la seguridad de la Unión, incluida la
definición progresiva de una política común de defensa que podrá conducir a una defensa común”)
EM
cuando hace alusión a esta excepción, si bien es cierto que no alude, y por tanto sí están dentro del
ámbito de aplicación material de dicho Reglamento, otras actividades que sean llevadas a cabo en el
desarrollo de la actividad exterior de la UE, inmersas en el capítulo 1 del título V del TUE.
Podemos delimitar los ámbitos materiales de la PESC en sentido negativo y sentido positivo:
ES
En ningún caso podrán formar parte del ámbito material de la PESC los ámbitos de acción
exterior que han sido atribuidos a la Unión como políticas de la acción exterior de las
En sentido positivo: sólo cuando se produce un consenso de los Estados sobre la existencia de
asuntos o cuestiones de política exterior que ofrecen un interés general o común, ese asunto o
IN
La letra c) del punto 2 del artículo 2 del Reglamento nos dice que:
“El presente Reglamento no se aplica al tratamiento de datos personales: c) efectuado por una
El Considerando 18 del Reglamento nos dice que éste no es de aplicación “al tratamiento de datos
de carácter personal por una persona física en el curso de una actividad exclusivamente personal o
INESEM
20 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial”, incluyendo
además que “entre las actividades personales o domésticas cabe incluir la correspondencia y la
realizada en el contexto de las citadas actividades”, sin embargo finaliza exponiendo que sí que se
aplicará a los responsables o encargados del tratamiento que faciliten los medios para el trato de los
datos personales que se encuentren en relación con dichas actividades personales o domésticas.
Añadir que, cuando queremos discernir si las actividades son personales o domésticas y no lo son, el
EM
TJUE se ha pronunciado en varias ocasiones, afirmando que cuando el número de contactos que
puedan tener acceso a la información es infinito, esta salvedad no se aplicaría, a no ser que el
usuario en cuestión decidiese con total autonomía si difundir y hacer pública la información que le
concierne (STJUE Lindqvist, C-101/01 en la que interpreta de manera restrictiva esta exclusión; y
STJUE Satamedia, C-73/07 en la que alude al tratamiento de datos desarrollados por una empresa).
ES
D) Actividades de persecución de infracciones penales
La cuarta excepción viene recogida en la letra d) del apartado segundo del artículo 2 del
Reglamento:
“El presente Reglamento no se aplica al tratamiento de datos personales: d) por parte de las
IN
Esta excepción se puede tratar en la línea del artículo 1 de la Directiva 2016/680 que analizaremos
con posterioridad en la Unidad Didáctica 4. Este artículo 1 de la Directiva 2016/680 recoge que ésta
datos personales por parte de las autoridades competentes con fines de prevención, investigación o
Hemos de aclarar respecto a esta salvedad que, cuando les sea encomendado a las autoridades
competentes por parte de los Estados ciertas funciones que, precisamente no se realicen con fines
de persecución de infracciones penales, al tratamiento de los datos con esos objetivos, sí que se les
INESEM
21 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
aplicará el Reglamento.
Mención especial merece el artículo 87 del Reglamento, el cual recoge el tratamiento del número
nacional de identificación o DNI, el cual reza de la siguiente manera: “Los Estados miembros podrán
identificación o cualquier otro medio de identificación de carácter general. En ese caso, el número
únicamente con las garantías adecuadas para los derechos y las libertades del interesado con
arreglo al presente Reglamento”; haciendo alusión al tratamiento realizado por la Policía Nacional y
EM
otros cuerpos.
Una vez analizado el ámbito de aplicación material del Reglamento UE 2016/679 vamos a pasar al
análisis de su ámbito de aplicación territorial, con el fin de conocer el alcance de aplicación de este
Reglamento Comunitario.
ES
Para hacernos eco de la extensión territorial a la que se aplica dicho Reglamento del que venimos
hablando es importante conocer la STJUE de 13 de mayo de 2014, asunto Google Spain, en la que el
la UE quiso evitar que una persona se quedase aislada de la protección que garantizaba la Directiva
IN
95/46/CE, por ello, para impedir que se pudiese soslayar la aplicación de dicha norma, instauró un
Este asunto Google Spain muestra con claridad las permutas que se estaban produciendo en la
sociedad; cambios estos devenidos por el desarrollo tecnológico producido en la misma, y que
habían hecho que la Directiva 95/46 se quedase en la más absoluta obsolescencia y produjese una
cierta inseguridad jurídica. También se habían producido cambios en el Derecho originario de la UE,
ya que años más tarde de la promulgación de la Directiva 95/46 se aprobaron los Tratados de Lisboa,
Niza y Ámsterdam. Además, el TFUE tiene inmerso en su articulado de aplicación general el derecho
Pues bien, el Reglamento que estamos analizando (Reglamento 2016/679) derogó la Directiva 95/46.
INESEM
22 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
establecimiento del responsable o del encargado esté ubicado en la Unión, aunque ese tratamiento
diversas ocasiones respecto al tema de ofrecer un concepto bastante amplio de < < establecimiento
> >, así, < < establecimiento en la Unión > > “implica el ejercicio efectivo y real de una
EM
actividad mediante una instalación estable, y que la forma jurídica de dicho
establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no
En esta línea jurisprudencial, el Considerando 22 del Reglamento recoge la siguiente definición de <
< establecimiento > >: “Un establecimiento implica el ejercicio de manera efectiva y real de
ES
una actividad a través de modalidades estables. La forma jurídica que revistan tales
modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor
determinante al respecto ”.
Por tanto, podemos concluir a este respecto que el TJUE examina no el establecimiento en sí, sino
IN
que exige que el tratamiento de los datos personales se produzca en el ámbito de las actividades de
dicho establecimiento.
Este precepto recoge la aplicación del Reglamento en caso de que el tratamiento de los datos
INESEM
23 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
establecido en la Unión. Pero en estos supuestos, para que sea de aplicación el acervo comunitario
Que el objeto del tratamiento sean datos personales de residentes en la Unión, pues se trata de < <
garantizar que las personas físicas no sean privadas de la protección a la que tienen derecho en
Que las actividades de tratamiento se refieran a un objeto determinado, que puede ser:
EM
requiere su pago).
< < Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que
ofrecer servicios a interesados en uno o varios Estados miembros. Son factores que permiten
determinar esta intención que el sitio web del responsable o encargado, o de su intermediario en la
ES
UE, use una lengua o una moneda generalmente utilizada en uno o varios Estados miembros, con la
posibilidad de ofrecer bienes o servicios en esa lengua, además de la lengua generalmente utilizada
en el tercer país donde resida. O bien que el sitio web haga mención de clientes o usuarios que
residen en la UE.
ii) La observación del comportamiento de dichos interesados en la medida que este comportamiento
IN
< < Para determinar si se puede considerar que una actividad de tratamiento controla el
comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un
personales que consistan en la elaboración de un perfil de una persona física con el fin, en
“3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable
que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea
INESEM
24 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Este supuesto recoge la posibilidad de aplicación del Reglamento en caso de misión diplomática u
EM
ES
IN
INESEM
25 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
1. Datos personales. Se refiere el Reglamento a “datos personales ” en sus artículos 2.a), 3.a) y 5.f)
respectivamente como “toda información sobre una persona física identificada o identificable
considerando persona física identificable a toda persona cuya identidad pueda determinarse, directa
Además, delimita esta cuestión recogiendo que una persona física no se considerará identificable si
EM
dicha identificación requiere plazos o actividades desproporcionados (Considerando 26).
De esta definición que nos aporta el Reglamento siguen quedando excluidas las personas jurídicas,
Asimismo, el Reglamento recoge los datos necesarios para hacer identificable a una persona, a
saber:
ES
Un nombre;
un número de identificación;
datos de localización;
IN
un identificador en línea;
uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica,
Para finalizar con dicha definición, hemos de mencionar que el Considerando 14 recoge que sólo
lugar de residencia, en relación con el tratamiento de sus datos personales y hasta su fallecimiento;
2. Tratamiento. Para que los datos personales tal y como los acabamos de definir, sean objeto de
INESEM
26 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o
Resulta de interés en este tema del tratamiento de los datos personales la consulta de la STJUE,
(Considerando 42), específica, informada, inequívoca, por la que el interesado acepta, ya sea
EM
mediante una declaración o una clara acción afirmativa (Considerando 32), el tratamiento de datos
2. Destinatario: Persona física o jurídica, autoridad pública, servicio u otro organismo al que se
destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una
IN
tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia
3. Tercero: Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado,
del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para
tratar los datos personales bajo la autoridad directa del responsable o del encargado.
organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de
la Unión o de los Estados Miembros determina los fines y medios de tratamiento, el responsable del
INESEM
27 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
5. Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio u otro
organismo que trate datos personales por cuenta del responsable del tratamiento. El encargado del
tratamiento actúa por cuenta del responsable del fichero y, por tanto, no tiene capacidad para
decidir sobre los datos que recoge, los medios que utiliza para los tratamientos que realiza o la
Además de estas definiciones vamos a pasar a vislumbrar otras de especial relevancia y que resultan
novedosas respecto a la antigua Directiva 95/46 y que por ende, introduce el Reglamento que
estamos tratando:
EM
6. Limitación del tratamiento: El marcado de los datos de carácter personal conservados con el
fin de limitar su tratamiento en el futuro, esto es, el bloqueo de datos, como por ejemplo, suprimir
temporalmente los datos contenidos en una página de Internet. El Considerando 67 del Reglamento
nos dice que inicialmente, esta limitación del tratamiento ha de hacerse por medios técnicos.
persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional,
ubicación o movimientos de dicha persona física, con el fin de evaluar en particular el rendimiento
profesional, la situación económica, la salud, las preferencias personales, los intereses, la fiabilidad,
IN
adquiridas de una persona física provenientes del análisis de una muestra biológica de la persona
física en cuestión. Por ejemplo, a través de un análisis de ADN o de ARN, ya que son análisis que nos
relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan
10. Datos relativos a la salud: Datos personales relativos a la salud física o mental de una persona
física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su
INESEM
28 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
estado de salud. Se incluye la información sobre la persona física recogida con ocasión de su
inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia; todo
número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos
sanitarios; la información obtenida dentro de pruebas o exámenes de una parte del cuerpo o de una
información relativa, por ejemplo a una enfermedad, independientemente de su fuente, por ejemplo,
un hospital, etc.
11. Autoridad de control: Autoridad pública independiente designada por cada Estado miembro
EM
con la responsabilidad de supervisar la aplicación del Reglamento para proteger los derechos y las
libertades fundamentales de las personas físicas en lo que respecta al tratamiento y facilitar la libre
12. Autoridad de control interesada: Definida únicamente para tres supuestos: “1. Cuando el
ES
responsable o el encargado del tratamiento esté establecido en el territorio de esa autoridad de
control; 2. Cuando los interesados que residen en su territorio se vean sustancialmente afectados o
es probable que se vean afectados por el tratamiento; y 3. Cuando se haya presentado una
13. Representante: Persona física o jurídica establecida en la Unión, que habiendo sido designada
por escrito por el responsable o el encargado del tratamiento, le representa en lo que respecta a sus
14. Empresa: Persona física o jurídica dedicada a una actividad económica, independientemente de
su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una
actividad económica.
15. Grupo empresarial: Grupo constituido por una empresa para ejercer el control y sus empresas
controladas, debiendo ser la empresa que ejerce el control la que pueda ejercer una influencia
dominante en las otras empresas, por razones de propiedad, participación financiera, normas por las
que se rige o poder de hacer cumplir las normas de protección de datos personales.
INESEM
29 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
encargado en el tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte
EM
previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente
la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades
fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro
de la Unión.
distancia, por vía electrónica y a petición individual del destinatario. Es necesario observar las
ES
reglas de la responsabilidad de los prestadores de servicios de intermediación con el objetivo de
contribuir al correcto funcionamiento del mercado interior garantizando la libre circulación de los
Derecho Internacional Público o cualquier otro organismo creado mediante un acuerdo entre dos o
Para aclarar este concepto hemos acudido al Manual del Profesor Díez de Velasco, para el cual las
encargados de gestionar unos intereses colectivos y capaces de expresar una voluntad jurídicamente
20. Seudonimización: Tratamiento de datos personales de manera tal que ya no pueden atribuirse
a un interesado sin utilizar información adicional, siempre que dicha información figure por
separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos
INESEM
30 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Los datos personales seudonimizados son los que cabría atribuir a una persona física mediante la
salvo que las decisiones sobre los fines y los medios del establecimiento se tomen en otro
EM
establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer
aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se
presente Reglamento.
internacionales de datos dentro de un grupo empresarial o una unión de empresas dedicadas a una
IN
personales que permitan garantizar la protección de los datos por el responsable o encargado del
Comenzar Actividad
INESEM
31 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
EM
Persona física o jurídica,
autoridad pública, servicio u
organismo distinto del interesado,
del responsable del tratamiento,
del encargado del tratamiento y
de las personas autorizadas para
tratar los datos personales bajo la
ES
autoridad directa del responsable
o del encargado.
distinto del interesado, del responsable del tratamiento, del encargado del
tercero.
servicio u otro organismo que trate datos personales por cuenta del
INESEM
32 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
8. Aspectos subjetivos
En este apartado trataremos los aspectos subjetivos del derecho de la protección de datos, que son
Los derechos que posee todo ciudadano en este ámbito del derecho de protección de datos son, a
EM
8.1. Derecho de acceso
Cuando se ejercita este derecho, la persona puede conocer qué datos de carácter personal suyos
están siendo objeto de tratamiento por parte del responsable, la finalidad de dicho tratamiento, el
Una vez que se ejercita este derecho de acceso, la contestación debe producirse en el plazo máximo
ES
de un mes, y en caso de que éste sea estimado, el acceso se tornará efectivo en un plazo máximo de
La persona puede elegir los medios a través de los cuales desea recibir la información en caso de
Visualización en pantalla.
Telecopia.
Cualquier otro sistema adecuado ofrecido por quien posee los datos personales (responsable
del fichero).
Este derecho de acceso es independiente del derecho de acceso a la información pública que regula
INESEM
33 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
octubre (LPAC).
Respecto al acceso a la historia clínica, éste se regula por la Ley de Autonomía del Paciente. Pero
una vez que se ha ejercitado y la respuesta no sea satisfactoria para el ciudadano o no se haya
Consiste en la modificación de los datos personales de la persona interesada por parte del
EM
responsable que los trata cuando éstos sean inexactos o incompletos, debiendo en la solicitud de
Cuando se ejercita este derecho, la contestación debe ser dada en un plazo máximo de 10 días
hábiles. Si los datos hubieran sido comunicados a un tercero, el responsable tendrá la obligación de
ES
comunicar los datos rectificados para que también este tercero los sustituya.
deberá indicar en su solicitud a qué datos se refiere y la corrección que debe de realizarse. Deberá
Cuando se ejercita este derecho, la persona se puede oponer a que no se lleve a cabo el tratamiento
exista un motivo legítimo y fundado referente a su concreta situación personal (salvo que una
INESEM
34 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Cuando nos hallemos en supuestos de tratamientos de datos personales con el fin de realizar
llevase a cabo mediante los datos que posee una empresa contratada, se trasladará la petición
advertencia) y se encuentre autorizado por una ley que establezca medidas que garanticen tus
EM
intereses legítimos.
Cuando se ejercita este derecho, la contestación se debe producir en un plazo máximo de 10 días
hábiles.
ES
8.4. Derecho de cancelación
Con este derecho se da potestad a la persona para que se pueda producir la cancelación de los datos
De todas formas, se guardarán bloqueados pero siempre de forma que no se pueda llevar a cabo su
IN
tratamiento, sin perjuicio del requerimiento y posterior puesta a disposición de las Administraciones
Públicas, Jueces y Tribunales, para la llevanza de las posibles responsabilidades que se hayan
derivado del tratamiento durante su plazo de prescripción. Cuando este plazo se cumpla, sí se
Cuando la persona solicite la cancelación de sus datos personales, deberá indicar a qué datos se
La contestación se debe producir en un plazo máximo de 10 días hábiles. Si los datos hubiesen
los datos cancelados para que éste último también proceda a su cancelación.
INESEM
35 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Como bien debería saberse, el tratamiento de datos que llevan a cabo los motores de búsqueda de
Internet (como Google o Yahoo), está sometido a las normas de protección de datos de la UE. Los
ciudadanos pueden requerir, bajo ciertas condiciones, que los enlaces a sus datos personales no
aparezcan en los resultados de una búsqueda realizada por su nombre y apellidos. Este criterio fue
EM
fundado por la AEPD y avalado en 2014 por el TJUE, y ahora es popularmente conocido como
"derecho al olvido".
Supone aplicar los derechos de cancelación y oposición a los buscadores para impedir la
ES
difusión de la información cuando ésta es obsoleta o no tiene relevancia ni interés público.
Se debe valorar caso a caso para lograr un equilibrio entre los diferentes derechos e intereses
afectados.
IN
Si los buscadores deniegan tu pretensión puedes interponer una reclamación ante la AEPD.
Los principales buscadores (Google, Yahoo y Bing) han habilitado formularios para facilitar su
Puedes ejercitarlo ante los buscadores sin necesidad de acudir a la fuente original de
publicación.
Respecto a la eliminación de fotos y vídeos que han sido publicados en Internet sin consentimiento,
se puede ejercitar el derecho de cancelación respecto a ellos. Para esto, la persona debe dirigirse,
acreditando su identidad e indicando los enlaces donde aparecen los vídeos y fotos, ante quien los
INESEM
36 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Por otra parte, las redes sociales más populares ofrecen servicios de ayuda que permiten poner en
EM
ES
IN
INESEM
37 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Recuerda
[[[Elemento Multimedia]]]
EM
ES
IN
INESEM
38 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Preguntas de autoevaluación
Falso.
EM
Verdadero.
En ningún caso podrán formar parte del ámbito material de la PESC los ámbitos de
acción exterior que han sido atribuidos a la Unión como políticas de la acción exterior
de las competencias.
IN
Verdadero.
Falso.
INESEM
39 / 40
[AFO023448] Curso en Protección de Datos de Carácter Personal
[MOD020605] Protección de Datos de Carácter Personal
[UDI124295] El Reglamento Europeo 2016/679 de Protección de Datos
Supone aplicar los derechos de cancelación y oposición a los buscadores para impedir
EM
la difusión de la información cuando ésta es obsoleta o no tiene relevancia ni interés
público.
INESEM
40 / 40