Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LA PROTECCIÓN DE DATOS.
EL REGLAMENTO GENERAL DE
PROTECCIÓN DE DATOS UE.
1. La protección dedatos
1.1. Concreción y desarrollo legislativo del derecho fundamental de protección de las personas físicas en relación con el
tratamiento de datos personales
2. Régimen jurídico. Ley Orgánica 15/1999, de 5 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de Desarrollo
aprobado por Real Decreto 1720/2007, de 21 de diciembre
2.1. Ámbito de aplicación de la LOPD
2.1.1. Objetivo
2.1.2. Ámbito de aplicación territorial
2.2. Principios generales de la protección de datos en la LOPD
2.2.1. Calidad de losdatos
2.2.2. Derecho de información en la recogida de datos
2.2.3. Consentimiento del afectado
2.2.4. Datos especialmente protegidos
2.2.5. Seguridad de losdatos
2.2.6. Deber de secreto
2.2.7. Comunicación o cesión de datos
2.3. Derechos de las personas en la LOPD
2.3.1. Derecho de acceso
2.3.2. Derecho de rectificación y cancelación
2.3.3. Derecho de oposición
2.3.4. Otros derechos: Consulta, reclamación de tutela de los derechos ARCO, impugnación de va- loraciones e
indemnización
2.4. Obligaciones
3. El Reglamento (UE) 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos
4. Principos y derechos en el Reglamento (UE) 2016/679, de 27 de abril
4.1. Ámbito de aplicación
4.1.1. Objeto
4.1.2. Ámbito de aplicación material
4.1.3. Ámbito de aplicación territorial
4.2. Principios en el Reglamento (UE) 2016/679, de 27 de abril
Sumario
4.2.1. Principios relativos al tratamiento
4.2.2. Licitud del tratamiento
4.2.3. Condiciones para el consentimiento
4.2.4. Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información
4.2.5. Tratamiento de categorías especiales de datos personales
4.2.6. Tratamiento de datos personales relativos a condenas e infracciones penales
4.2.7. Tratamiento que no requiere identificación
4.3. Derechos del interesado en el Reglamento (UE) 2016/679, de 27 de abril
4.3.1. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado
4.3.2. Información que deberá facilitarse cuando los datos personales se obtengan del interesado
4.3.3. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del inte- resado
4.3.4. Derecho de acceso del interesado
4.3.5. Derecho de rectificación
4.3.6. Derecho de supresión: el «derecho al olvido»
4.3.7. Derecho a la limitación del tratamiento
4.3.8. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limi- tación del tratamiento
4.3.9. Derecho a la portabilidad de los datos
4.3.10. Derecho de oposición
4.3.11. Decisiones individuales automatizadas, incluida la elaboración de perfiles
4.3.12. Limitaciones
4.3.13. Otros derechos: reclamación, tutela judicial e indemnización
Sumario
7. La Agencia Española de Protección de Datos
7.1. La Agencia Española de Protección de Datos
7.2. Estructura orgánica
7.2.1. El Director de la AEPD
7.2.2. El Consejo Consultivo
7.2.3. El Registro General de Protección de Datos
7.3. Funciones de la AEPD
Sumario
La protección de datos. Régimen jurídico. El Reglamento (UE) 2016/679, de
27 de abril, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos. Principios y derechos. Obligaciones. El delegado de protección de
datos en las Administraciones públicas. La Agencia Española de
Protección de Datos
1. LA PROTECCIÓN DE DATOS
La protección de las personas físicas en relación con el tratamiento de datos personales es un de-
recho fundamental protegido por el artículo 18.4 de la Constitución española. De esta manera, nuestra
Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos de ca-
rácter personal cuando dispuso que «la ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Se hacía así eco
de los trabajos desarrollados desde finales de la década de 1960 en el Consejo de Europa y de las pocas
disposiciones legales adoptadas en países de nuestro entorno. Nuestros constituyentes tomaron, en este
caso, el ejemplo de la Constitución portuguesa, solo 2 años anterior a la española.
Poco tiempo después de la aprobación de la Constitución de 1978, se produjeron dos hitos impor-
tantes en la evolución y reconocimiento expreso de este derecho.
Desde el punto de vista normativo, la entrada en vigor el 1 de octubre de 1985 del Convenio 108
del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de
datos de carácter personal, primer texto internacional sobre la materia. El Convenio, ratificado por Espa-
ña el 27 de enero de 1984, reconoce el derecho a la intimidad y a la protección de datos respectivamente.
Volviendo al ámbito interno, una primera interpretación del artículo 18.4 de la Constitución llevó a
considerar este derecho como una especificación del derecho a la intimidad, pero el Tribunal Constitu-
cional ha interpretado que se trata de un derecho independiente, aunque obviamente estrechamente rela-
cionado con aquel (SSTC 254/1993, de 20 de julio y 290/2000, de 30 de noviembre). El Alto Tribunal
además señaló la vinculación directa de este derecho para los poderes públicos sin necesidad de desa-
rrollo normativo (STC 254/1993).
13 ‒ 1
En concreto, la STC 94/1988 señala que nos encontramos ante un derecho fundamental a la pro-
tección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos per-
sonales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y
los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una
facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distin-
tos a aquel que justificó su obtención.
Este derecho se halla estrechamente vinculado con la libertad ideológica, pues evidentemente el al-
macenamiento y la utilización de datos informáticos puede suponer un riesgo para aquella, no solamente
por lo que se refiere a «datos sensibles», entre los que se encuentran los de carácter ideológico o religio-
so sobre los cuales, según indica el artículo 16 de la Constitución, nadie estará obligado a declarar, sino
también por su posible utilización ajena a las finalidades para los que fueron recabados (SSTC 11/98,
de 13 de enero; 44 y 45/1999, de 22 de marzo, entre otras, en relación con la libertad sindical), o la in-
clusión de datos sin conocimiento del afectado (STC 202/1999, de 8 de noviembre). Otro riesgo puede
provenir por efectuarse accesos indebidos a ficheros ajenos (STC 144/1999, de 22 de julio, en torno a
una indebida utilización por parte de una Junta Electoral de Zona de datos incluidos en el Registro Cen-
tral de Penados y Rebeldes).
Con el cambio de milenio se intensificaron los impulsos tendentes a lograr una regulación más uni-
forme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más glo-
balizada. Así, se fueron adoptando en distintas instancias internacionales propuestas para la reforma del
marco vigente. Y en este marco la Comisión lanzó el 4 de noviembre de 2010 su Comunicación titula-
da «Un enfoque global de la protección de los datos personales en la Unión Europea», que constituye el
germen de la posterior reforma del marco de la Unión Europea. Al propio tiempo, el Tribunal de Justi-
cia de la Unión ha venido adoptando a lo largo de los últimos años una jurisprudencia que resulta fun-
damental en su interpretación.
El último hito en esta evolución tuvo lugar con la adopción del Reglamento (UE) 2016/679 del Par-
lamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en
13 ‒ 2
lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (Reglamento
general de protección de datos) y por el que se deroga, entre otras, la Directiva 95/46/CE.
El Reglamento general (UE) 2016/679 de protección de datos entró en vigor el 25 de mayo de 2016,
si bien, debido a su complejidad, el mismo será de aplicación a partir del 25 de mayo de 2018.
En España, la concreción y desarrollo del derecho fundamental de protección de las personas físicas
en relación con el tratamiento de datos personales tuvo lugar en sus orígenes mediante la aprobación de
la Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos de carác-
ter personal, conocida como LORTAD. Esta norma fue reemplazada por la Ley Orgánica 15/1999, de
5 de diciembre, de protección de datos de carácter personal, a fin de trasponer a nuestro ordenamiento
jurídico la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, re-
lativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos, mencionada anteriormente. Esta Ley Orgánica supuso un segundo
hito en la evolución de la regulación del derecho fundamental a la protección de datos en España y se
complementó con la aprobación de su reglamento ejecutivo por Real Decreto 1720/2007, de 21 de di-
ciembre, y con una cada vez más abundante jurisprudencia procedente de los órganos de la jurisdicción
contencioso-administrativa.
A partir del 25 de mayo de 2018, la normativa aplicable será directamente el Reglamento general
(UE) 2016/679 de protección de datos, al no requerir transposición alguna.
Tal y como se ha señalado anteriormente, hasta el 24 de mayo de 2018 la protección de datos de ca-
rácter personal se regula en la Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos de carác-
ter personal (LOPD) y en su reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de
diciembre (RLOPD).
A continuación se analizan algunos de los aspectos principales del régimen jurídico recogido en
ambas normas. Previamente, y siguiendo la misma sistemática que la normativa vigente, se incluyen al-
gunas definiciones y aclaraciones con el fin de facilitar la correcta comprensión de las cuestiones que
serán analizadas posteriormente.
13 ‒ 3
• Fichero: conjunto organizado de datos de carácter personal, que permita el acceso a los datos
con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su crea-
ción, almacenamiento, organización y acceso.
Atendiendo a la naturaleza de su titularidad, estos pueden ser de titularidad privada o pú-
blica (de los que sean responsables los órganos constitucionales o con relevancia constitu-
cional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las
Administraciones públicas territoriales, así como las entidades u organismos vinculados o
dependientes de las mismas y las Corporaciones de derecho público siempre que su finali-
dad sea el ejercicio de potestades de derecho público).
Conforme al proceso de almacenamiento elegido, los ficheros podrán ser automatizados o
no automatizados.
• Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatiza-
do, que permita la recogida, grabación, conservación, elaboración, modificación, consulta,
utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos
que resulten de comunicaciones, consultas, interconexiones y transferencias.
• Responsable del fichero o tratamiento: persona física o jurídica, pública o privada, u órgano
administrativo que solo o conjuntamente con otros decide sobre la finalidad, el contenido y
el uso del tratamiento de datos.
• Encargado del fichero o tratamiento: persona física o jurídica, pública o privada, u órgano
administrativo que solo o conjuntamente con otros, trate datos personales por cuenta del
responsable fichero o tratamiento como consecuencia de una relación jurídica que le vincu-
la con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
• Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cual-
quier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso,
el abono de una contraprestación
De acuerdo con lo establecido en la LOPD, únicamente tienen la consideración de fuentes
de acceso público: el censo promocional, los repertorios telefónicos, las listas de personas
pertenecientes a grupos de profesionales que contengan únicamente determinados datos, los
diarios y boletines oficiales y los medios de comunicación.
Para más información y detalle se puede consultar el artículo 3 de la LOPD y el artículo 5 del RLOPD.
2.1.1. Objetivo
La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico que los haga
susceptibles de tratamiento –automatizado o no– y a toda modalidad de uso posterior de estos datos por
los sectores público y privado.
Teniendo en cuenta lo anterior, se excluye expresamente de su ámbito objetivo de aplicación los tra-
tamientos de datos referidos a personas jurídicas y los datos relativos a empresarios individuales, cuando
hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.
Asimismo, y aunque contengan datos personales relativos a personas físicas, no se aplicará la LOPD
y el RLOPD a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente
13 ‒ 4
personales o domésticas; a los ficheros sometidos a la normativa sobre protección de materias clasifica-
das; a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia
organizada. Tampoco se aplicará a los datos referidos a personas fallecidas, aunque, en este caso, las per-
sonas a ellas vinculadas –por consanguinidad o afinidad– podrán solicitar que sean cancelados.
La LOPD regula en su título II (arts. 4-12) los principios generales de la protección de datos en Es-
paña y que, por tanto, deberán ser respetados por todo responsable de un fichero o tratamiento.
De acuerdo con la doctrina, y sin perjuicio de que a continuación se relacionen todos ellos, hay tres
principios que constituyen el eje principal de la protección de datos: información, consentimiento y fi-
nalidad.
Los datos de carácter personal deberán cumplir las siguientes características: ser adecuados, perti-
nentes, no excesivos, y tratados de forma leal y lícita en relación con el ámbito y finalidades legítimas
para las que se hayan recabado, lo cual implica que:
• Los datos obtenidos no podrán usarse para finalidades incompatibles –distintas– para las que
fueron recogidos (no se considerará incompatible su tratamiento posterior con fines histó-
ricos, estadísticos o científicos).
13 ‒ 5
• Los datos deberán ser exactos y puestos al día, respondiendo con veracidad a la situación
actual del interesado. Es decir, no podrán. permanecer en el fichero por un tiempo superior
a la finalidad para la que se obtuvieron, salvo ciertas excepciones (mantenimiento por va-
lores históricos, científicos o estadísticos y el periodo de bloqueo de datos que se analizará
más adelante en relación con el derecho de cancelación). Deberán ser cancelados o susti-
tuidos, de oficio, sin son inexactos, innecesarios o no pertinentes.
Se establece expresamente que se prohíbe la recogida de datos por medios fraudulentos, desleales
o ilícitos.
El deber de información al afectado, previo al tratamiento de sus datos de carácter personal, es uno
de los principios fundamentales sobre los que se asienta la LOPD, distinguiéndose según la información
haya sido aportada por el interesado o no.
Cuando los datos de carácter personal no hayan sido recabados del interesado, este deberá ser in-
formado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, den-
tro de los 3 meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado
con anterioridad: del contenido del tratamiento, de la procedencia de los datos, de la existencia del fiche-
ro, de la posibilidad de ejercitar los derechos ARCO y de la identidad del responsable del tratamiento.
Este principio –deber de información– únicamente queda excepcionado si se da alguna de las si-
guientes circunstancias:
13 ‒ 6
2.2.3. Consentimiento del afectado
Define la LOPD el consentimiento del afectado como toda manifestación de voluntad, libre, inequí-
voca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales
que le conciernen.
El principio del consentimiento es el pilar central que enmarca la protección de datos. Así, siguiendo
el artículo 6 de la LOPD, como regla general, puede afirmarse que todo tratamiento de datos de carácter
personal requiere el consentimiento inequívoco del interesado.
Este consentimiento se podrá otorgar en cualquiera de las formas admisibles en derecho. Salvo para
aquellos casos en que la LOPD prevé que el consentimiento ha de otorgarse expresamente, puede esta-
blecerse de forma tácita (en este caso, para que se considere inequívoco será preciso otorgar al afecta-
do un plazo de 30 días para que pueda tener claramente conocimiento de que su omisión de oponerse al
tratamiento implica su consentimiento al mismo). Por otra parte, el consentimiento podrá revocarse en
cualquier momento por causa justificada, sin que se atribuyan efectos retroactivos a dicha revocación.
Este principio también tiene un régimen de excepciones, así, no es necesario el consentimiento del
interesado para el tratamiento de datos de carácter personal:
• Cuando se recojan para el ejercicio de las funciones propias de las Administraciones pú-
blicas.
• Cuando se refieran a personas vinculadas por una relación negocial, laboral, administrativa
o un contrato o precontrato siempre que sean necesarios para el mantenimiento de las rela-
ciones o para el cumplimiento del mismo, o para proteger su interés vital.
• Que el tratamiento sea necesario para la protección de un interés vital delinteresado (pre-
vención o diagnóstico médico, prestación de asistenciasanitaria o tratamientos médicos o
la gestión de servicios sanitarios).
• Cuando los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público
y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés
legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y li-
bertades fundamentales del interesado.
En estos supuestos, y salvo que una norma expresamente lo prohíba, el interesado podrá oponerse
al tratamiento.
El RLOPD, por su parte, incluye dos nuevas excepciones: cuando el tratamiento o cesión tengan
por objeto la satisfacción de un interés legítimo del responsable del tratamiento o cesionario o cuando
sean necesarios para el cumplimiento de un deber jurídico, en ambos casos amparados por una norma
con rango de Ley o de derecho comunitario.
En el tratamiento de datos especialmente protegidos, la Ley exige una serie de garantías adiciona-
les, tal y como se analizará a continuación.
13 ‒ 7
2.2.4. Datos especialmente protegidos
El nivel de protección máxima lo establece la Ley para los datos referentes a ideología, afilia-
ción sindical, religión y creencias (art. 7.2 de la LOPD). Nadie podrá ser obligado a declarar sobre
estos datos. Solo con el consentimiento expreso y por escrito podrán ser objeto de tratamiento, sien- do
obligatorio advertir al interesado sobre su derecho a no prestar su consentimiento (derivado del art. 16
de la CE).
Para el tratamiento o cesión de datos relativos a origen racial, salud o vida sexual (art. 7.3 de la
LOPD) se necesitará el consentimiento expreso o que así lo disponga una ley.
Se podrán tratar, no obstante, los datos anteriores, si resulta necesario para el diagnóstico médico
o la gestión de un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo
a una obligación equivalente de secreto. Igualmente, cuando sea necesario para salvaguardar el interés
vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapa-
citado para dar su consentimiento.
La LOPD establece además la prohibición de crear o mantener ficheros con la finalidad exclusiva
de almacenar datos que revelen la ideología, religión, creencias, origen racial o vida sexual.
Conforme al artículo 9 de la LOPD, el responsable del fichero y, en su caso, el encargado del tra-
tamiento, deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la
seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no au-
torizado. Disponer de políticas de seguridad supone garantizar la integridad, disponibilidad y confiden-
cialidad de los datos.
Las medidas de seguridad que ha de implementar el responsable del fichero o tratamiento podrán
ser de nivel básico, medio o alto en función del tipo de datos de carácter personal que se traten y de otras
circunstancias en los términos establecidos en los artículos 89 y siguientes del RLOPD. Estas medidas
se recogerán en el denominado documento de seguridad que será de obligado cumplimiento para el per-
sonal con acceso a los sistemas de información.
Sobre la materia de protección de datos personales rige un principio general de secreto. En conse-
cuencia, el artículo 10 de la LOPD establece que tanto el responsable del fichero como aquellos que in-
tervengan en cualquier fase del tratamiento de los datos, están obligados al secreto profesional respecto
de los mismos y al deber de guardarlos. Estas obligaciones subsisten incluso después de finalizar las re-
laciones con el titular del fichero o, en su caso, con el responsable del mismo.
Los artículos 11 de la LOPD y 10 del RLOPD establecen como norma general que los datos de ca-
rácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado
previamente su consentimiento inequívoco. Este consentimiento podrá ser revocado.
13 ‒ 8
No obstante lo anterior, no será preciso el consentimiento para la cesión de los datos:
No se considerará comunicación o cesión de datos el acceso de un tercero a los datos cuando dicho
acceso sea necesario para la prestación de un servicio al responsable del tratamiento (art. 12 de la LOPD).
Como complemento a los principios analizados, la LOPD establece una serie de derechos del titular
de los datos, que representan la concreción individual de los principios enunciados.
Dentro de los derechos incluidos en los artículos 13 a 19 de la LOPD deben distinguirse dos tipos
de derechos:
• Los derechos que constituyen, de acuerdo con la doctrina del Tribunal Constitucional, el
contenido esencial del derecho fundamental a la protección de datos. Estos derechos son
los denominados derechos ARCO: acceso, rectificación, cancelación y oposición;
• El derecho a la impugnación de valoraciones, el derecho a indemnización y el derecho de
consulta al Registro General de Protección de Datos.
En relación con el ejercicio de los derechos ARCO hay que tener en cuenta quese trata de derechos
personalísimos –solo podrán ser ejercitados por su titular o representantes–, gratuitos e independientes.
Y que transcurrido el plazo sin que de forma expresa se responda a la solicitud de ejercicio de estos de-
rechos, o bien cuando la resolución no sea conforme con lo solicitado, el interesado podrá interponer la
reclamación de tutela de derechos ante la Agencia Española de Protección de Datos prevista en el artí-
culo 18 de la LOPD.
13 ‒ 9
El derecho de acceso se ejercerá mediante petición o solicitud dirigida al responsable del fichero, el
cual deberá resolver en el plazo de un mes. En el caso de que la resolución sea estimatoria, se producirá
el acceso efectivo en el plazo de 10 días desde su notificación.
Podrá ejercitarse este derecho cada 12 meses, salvo que se acredite un interés legítimo al efecto.
Conforme al artículo 16 de la LOPD y 31 al 33 del RLOPD, el titular de los datos podrá ejercitar
estos derechos cuando los datos sean inexactos o incompletos o cuando el tratamiento no se ajuste a lo
dispuesto en la LOPD (en particular, cuando tales datos resulten inadecuados o excesivos). Sin perjuicio
de la obligación que tiene el responsable del fichero de corregir datos incompletos o inexactos en cum-
plimiento del principio de calidad de datos analizado anteriormente.
El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecua-
dos o excesivos, sin perjuicio del deber de bloqueo conforme establece la normativa vigente en la materia.
A este respecto, la normativa vigente establece que las entidades afectadas deberán proceder al blo-
queo de todos aquellos datos de carácter personal incluidos en sus sistemas de información que hayan
dejado de ser necesarios para el fin que fueron recabados y proceder a su cancelación definitiva –supre-
sión– una vez que se cumplan los plazos de prescripción derivados de las obligaciones o responsabi-
lidades nacidas del tratamiento; quedando a disposición de las Administraciones públicas y tribunales
durante el plazo de prescripción previsto para la exigencia de responsabilidades nacidas del tratamiento
de los datos. Transcurrido dicho plazo, deberán suprimirse.
Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero
deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que este,
también en el plazo de 10 días contados desde la recepción de dicha comunicación, proceda, asimismo,
a rectificar o cancelar los datos.
Este derecho viene regulado en el artículo 6.4, 17 y 30.4 de la LOPD y 34 a 36 del RLOPD y con-
siste en la potestad que tiene el afectado a que no se lleve a cabo el tratamiento de sus datos de carácter
personal o se cese en el mismo:
13 ‒ 10
El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de 10 días
a contar desde la recepción de la solicitud.
2.3.4. Otros derechos: Consulta, reclamación de tutela de los derechos ARCO, im-
pugnación de valoraciones e indemnización
Junto a los derechos citados anteriormente, existen otros derechos que no se ejercitan ante el res-
ponsable del fichero o tratamiento, estos son:
2.4. OBLIGACIONES
Sobre el responsable del fichero recaen las principales obligaciones establecidas por la LOPD, a
quién le corresponde velar por el cumplimiento de la Ley en su organización. Entre dichas obligaciones
cabe destacar las siguientes:
13 ‒ 11
• Implementación de medidas de seguridad técnicas y organizativas (por niveles según tipo
de datos) recogidas en el documento de seguridad.
• Asegurarse de que los datos sean adecuados, veraces, obtenidos lícita y legítimamente y
tratados de modo proporcional a la finalidad que justificó su recogida.
• Garantizar el cumplimiento de los deberes de confidencialidad y seguridad.
• Facilitar y garantizar el ejercicio de los derechos ARCO.
• Asegurar que en sus relaciones con terceros (prestadores de servicios), cumplan con la
LOPD.
Si bien los Reglamentos europeos gozan de aplicación directa, se ha concedido a los países miem-
bros un periodo de 2 años para su aplicación debido a su complejidad. Así, si bien el Reglamento gene-
ral de protección de datos entró en vigor el 25 de mayo de 2016, el mismo será de aplicación directa a
partir del 25 de mayo de 2018.
A continuación, se relacionan algunos de las características del régimen jurídico previsto en este
Reglamento, así como algunas de las principales novedades que incorpora el mismo:
13 ‒ 12
sona jurídica contenga los nombres de una o más personas físicas (por ejemplo, Martín y
Pérez Asociados, SL). Si bien hay que determinar la finalidad de los tratamientos de datos:
si a través de la dirección de una persona jurídica y los datos de sus socios incorporados
a su denominación, se llegara a una persona física estaríamos hablando de tratamiento de
datos personales.
2. Por lo que respecta a la transparencia, lealtad, licitud, consentimiento y categorías especia-
les de datos, la regulación es parecida a la que se recoge en la LOPD, si bien con algunas
especialidades, destacando, entre ellas, las relativas al consentimiento. El RGPD pide que
el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para
poder considerar que el consentimiento es inequívoco, el RGPD requiere que haya una de-
claración de los interesados o una acción positiva que indique el acuerdo del interesado. El
consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. No será
posible, por tanto, el consentimiento tácito o por omisión, que permite la LOPD.
Además, el RGPD prevé que el consentimiento haya de ser explícito en algunos casos, como
puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más es-
tricto, ya que el consentimiento no podrá entenderse como concedido implícitamente me-
diante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran
explícitamente al consentimiento y al tratamiento en cuestión.
El RGPD establece que la edad en la que los menores pueden prestar por sí mismos su con-
sentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la
sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, per-
mite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo
un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por de-
bajo de esa edad, es necesario el consentimiento de padres o tutores.
Se hace un especial hincapié en que cualquier información que se deba facilitar a los inte-
resados se haga en formaconcisa, transparente, inteligible y de fácil acceso, utilizando un
lenguaje claro, sencillo y adaptado a los mismos y, de forma muy especial, cuando dicha
información se dirija a los niños (la LOPD solo exige que la información se presente de
modo expreso, preciso e inequívoco).
Finalmente, en lo relativo a los datos especialmente protegidos, el RGPD recoge de manera
expresa e individualizada dos nuevas categorías: datos genéticos y datos biométricos.
3. El RGPD introduce nuevos derechos para los interesados, como el derecho al olvido –en el
que se trata de adaptar a la actual sociedad digital global el tradicional derecho de cancela-
ción– y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los
ciudadanos sobre los datos personales que confían a terceros.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos
a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando,
entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos,
cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo
de 2014, Sentencia del TJUE, asunto Google vs. España que reconoció por primera vez el
derecho al olvido recogido ahora en el RGPD, supone que el interesado puede solicitar que
se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a in-
formaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no
sean de interés público, entre otros motivos.
En este caso, el responsable de dicha publicación, además de suprimirlos de sus propios sis-
temas, adoptará todas las medidas razonablespara informar a los terceros que estén tratando
13 ‒ 13
dichos datos de que deben suprimir cualquier enlace a esos datos personales, o cualquier
copia o réplica de los mismos.
Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado
sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar re-
cuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello
sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo
responsable designado por el interesado.
Junto a los derechos mencionados, en el capítulo III –consagrado a los derechos de las per-
sonas– se regulan los siguientes: Transparencia (art. 12), Información (arts. 13 y 14), Ac-
ceso (art. 15), Rectificación (art. 16), Limitación del tratamiento (art. 18), y Oposición (art.
21 y, en lo relativo a decisiones individualizas, art. 22).
4. Dos elementos de carácter general constituyen la mayor innovación del RGPDpara los res-
ponsables y, en su caso, encargados, y se proyectan sobre todas las obligaciones de las or-
ganizaciones: el principio de responsabilidad proactiva y el enfoque de riesgo.
Para lo cual, el RGPD introduce los siguientes mecanismos: protección de datos desde el
diseño y por defecto, medidas de seguridad, análisis de riesgos, notificación de violaciones
de seguridad de los datos, evaluación de impacto sobre la protección de datos,registro de
actividades de tratamiento de datos y, finalmente, la figura del delegado de protección de
datos.
a) Protección de datos desde el diseño y por defecto. La protección de datos desde el di-
seño exige al responsable, que implante desde los primeros momentos de concepción
de un nuevo sistema de información, las medidas y procedimientos técnicos y orga-
nizativos apropiados para garantizar su conformidad con la normativa de protección
de datos y, así, garantizar los derechos y libertades de las personas cuyos datos serán
tratados.
Igualmente, se deberá garantizar que, por defecto, solo se traten los datos personales
estrictamente imprescindibles para la finalidad o finalidades legítimas del tratamiento
y que no se conserven más allá del tiempo mínimo necesario para conseguir dichas
finalidades y, en particular, se garantizará que, también por defecto, los datos perso-
nales no sean accesibles a un número indeterminado de personas.
b) En el apartado de medidas de seguridad, la novedad más llamativa es que se deja al
criterio del responsable o encargado del tratamiento el establecimiento de las medi-
das técnicas y organizativas necesarias. Para ello se establece la obligatoriedad de
llevar a cabo un análisis de riesgos de seguridad para determinar las medidas que se
deben de implantar.
Desaparece, por tanto, la clasificación obligatoria de los tres niveles de seguridad bá-
sicos, medio y alto que están vigentes en España, dejando al libre criterio del respon-
sable la adopción de las medidas.
A este respecto la Comisión Europea se reserva la posibilidad de establecer y espe-
cificar criterios y condiciones aplicables a las medidas de seguridad.
c) Se establece la obligatoriedad denotificar las violaciones de la seguridad de los datos
personales –comúnmente conocidas como quiebras de seguridad– a la autoridad de
control en un plazo máximo de 72 horas desde que se tiene conocimiento de las mis-
mas. Asimismo, en determinados supuestos –los que entrañen un alto riesgo para los
derechos o libertades de los interesados– también se deberán notificar a estos últimos.
13 ‒ 14
d) También se introduce la obligación de llevar a cabo una evaluación de impacto rela-
tiva a la protección de datos cuando las operaciones de tratamiento entrañen riesgos
específicos para los derechos y libertades de los interesados en razón de su naturale-
za, alcance o fines.
5. Se agrava el régimen sancionador y además se aplica sin distinción a los responsables y en-
cargados de tratamiento.
6. Creación del Comité Europeo de Protección de Datos. Al Comité, que actuará con plena
independencia en el desempeño de sus funciones, le corresponde garantizar la aplicación
coherente del RGPD, para lo cual emitirá dictámenes, directrices, recomendaciones y bue-
nas prácticas en los términos establecidos en el RGPD. Además, le corresponde asesorar a
la Comisión en materia de protección de datos.
NOTA: En el anexo se recoge un glosario de términos que reproduce el contenido del artículo 4 del RGPD y que se recomien-
da consultar a efectos de una correcta comprensión del régimen jurídico recogido en esta norma.
Antes de pasar a analizar los principios y derechos recogidos en el Reglamento (UE) 2016/679, de
27 de abril (RGPD) resulta necesario determinar su objeto y ámbito de aplicación.
4.1.1. Objeto
El RGPD:
13 ‒ 15
• Establece las normas relativas a la protección de las personas físicas en lo que respecta al
tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
• Protege los derechos y libertades fundamentales de las personas físicas y, en particular, su
derecho a la protección de los datos personales.
La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por
motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos
personales.
El RGPD se aplica al tratamiento total o parcialmente automatizado de datos personales, así como
al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un
fichero.
El RGPD se aplica:
También resulta de aplicación al tratamiento de datos personales por parte de un responsable es-
tablecido en un lugar, fuera de la Unión Europea, en el que el derecho de los Estados miembros sea de
aplicación en virtud del derecho internacional público.
13 ‒ 16
4.2. PRINCIPIOS EN EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL
En los artículos 5 a 11 del RGPD se precisan los principios o reglas a los que debe ser sometido el
tratamiento, recogida y el contenido de los datos personales.
a) Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad
y transparencia»).
b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormen-
te de manera incompatible con dichos fines(el tratamiento ulterior de los datos personales
con fines de archivo en interés público, fines de investigación científica e histórica o fines
estadísticos no se considerará incompatible con los fines iniciales («limitación de la finali-
dad»).
c) Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son
tratados («minimización de datos»).
d) Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para
que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con res-
pecto a los fines para los que se tratan («exactitud»).
e) Mantenidos de forma que se permita la identificación de los interesados durante no más
tiempo del necesario para los fines del tratamiento de los datos personales. También, en
este caso, se permite su conservación durante períodos más largo con fines de interés pú-
blico, fines de investigación científica o histórica o fines estadísticos («limitación del plazo
de conservación»).
f) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales,
incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, des-
trucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas («in-
tegridad y confidencialidad»).
El responsable del tratamiento será responsable del cumplimiento de los principios relativos al tra-
tamiento y capaz de demostrarlo («responsabilidad proactiva»).
El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o
varios fines específicos.
b) El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte
o para la aplicación a petición de este de medidas precontractuales.
c) El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al res-
ponsable del tratamiento.
13 ‒ 17
d) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
e) El tratamiento es necesario para el cumplimiento de una misión realizada en interés público
o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
f) El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no preva-
lezcan los intereses o los derechos y libertades fundamentales del interesado que requieran
la protección de datos personales, en particular cuando el interesado sea un niño. Lo dis-
puesto en este apartado no será de aplicación al tratamiento realizado por las autoridades
públicas en el ejercicio de sus funciones.
El RGPD mantiene, por tanto, el principio ya recogido en la Directiva 95/46 de que todo tratamien-
to de datos necesita apoyarse en una base jurídica que lo legitime, recogiendo las mismas bases jurídicas
que contenía la Directiva y la Ley 15/1999: Consentimiento, relación contractual, intereses vitales del
interesado o de otras personas, obligación legal para el responsable, interés público o ejercicio de poderes
públicos, e intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
El RGPD define el consentimiento del interesado como toda manifestación de voluntad, libre, es-
pecífica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una
clara acción afirmativa, el tratamiento de los datos personales que le conciernen.
Cuando el tratamiento se base en el consentimiento del interesado, el responsable debe ser capaz de
demostrar que aquel consintió el tratamiento de sus datos personales.
Si el consentimiento se da en el contexto de una declaración escrita que también se refiera a otros asun-
tos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos.
El consentimiento podrá ser revocado por el interesado. La retirada del consentimiento no tiene
efectos retroactivos.
4.2.4. Condiciones aplicables al consentimiento del niño en relación con los servi-
cios de la sociedad de la información (art. 8)
Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta
no sea inferior a 13 años.
Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opi-
niones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de
13 ‒ 18
datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos
relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
No obstante, el RGPD contempla varias excepciones, así, será posible el tratamiento de estos datos
cuando concurran diferentes circunstancias recogidas en el artículo 9, entre ellas:
Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la
identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar
información adicional con vistas a identificar al interesado con la única finalidad de cumplir el RGPD.
El RGPD consagra su capítulo III (arts. 12-23) a la regulación de los derechos de los interesados.
En el artículo 12 se establecen las obligaciones generales que deberá observar el responsable del
tratamiento en el ejercicio de los derechos reconocidos al interesado.
A continuación, se regulan los distintos derechos: Transparencia (art. 12), Información (arts. 13 y
14), Acceso (art. 15), Rectificación (art. 16), Supresión o derecho al olvido (art. 17), Limitación del tra-
tamiento (art. 18), Portabilidad de datos (art. 20) y Oposición (art. 21 y , en lo relativo a decisiones in-
dividualizas, art. 22).
13 ‒ 19
Finalmente, este capítulo se cierra con el artículo 23, el cual permite que, a través de medidas le-
gislativas y por las causas tasadas en dicho artículo, se puedan establecer limitaciones al alcance de los
derechos reconocidos a los interesados.
Ahora bien, la regulación de los derechos de los interesados no se agota en dicho capítulo. Así, en
el capítulo VIII (arts. 77-84) se pone a disposición de los interesados mecanismos de reclamación ante
la autoridad de control y de tutela judicial contra una autoridad de control, además de reconocerles el
derecho a ser indemnizados por el responsable o encargado del tratamiento por los daños y perjuicios
sufridos como consecuencia de la infracción del RGPD.
En este artículo se recogen un conjunto de obligaciones que deberá observar el responsable del tra-
tamiento en relación con los derechos reconocidos al interesado.
Se establece, además, en el apartado f) de este artículo, que la información que deberá facilitarse a
los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos norma-
lizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una ade-
cuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico
serán legibles mecánicamente.
En lo relativo al ejercicio de los derechos que el RGPD reconoce al interesado en sus artículos 15
a 22, el responsable deberá:
13 ‒ 20
La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier
actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito.
Ahora bien, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente
debido a su carácter repetitivo, el responsable del tratamiento podrá cobrar un canon o negarse a actuar
respecto a la solicitud. El responsable del tratamiento soportará la cara de demostrar el carácter mani-
fiestamente infundado o excesivo de la solicitud.
4.3.2. Información que deberá facilitarse cuando los datos personales se obtengan
del interesado (art. 13)
De acuerdo con el apartado 1 del artículo 13 del RGPD, el responsable del tratamiento, en el mo-
mento en que se obtengan los datos personales, deberán informar al interesado de:
a) El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los
criterios utilizados para determinar este plazo.
b) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos
personales relativos al interesado, y su rectificación o supresión, o la limitación de su trata-
miento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
c) Si el tratamiento se basa en el consentimiento, su derecho a revocarlo en cualquier momen-
to, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su
retirada.
d) El derecho a presentar una reclamación ante una autoridad de control.
e) Si la comunicación de datos personales es un requisito legal o contractual, o un requisito
necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos per-
sonales y está informado de las posibles consecuencias de que no facilitar tales datos.
f) La existencia de decisiones automatizas, incluida la elaboración de perfiles, así como sobre
la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
13 ‒ 21
Lo previsto en este artículo no será aplicable cuando y en la medida en que el interesado ya dispon-
ga de esta información.
4.3.3. Información que deberá facilitarse cuando los datos personales no se hayan
obtenido del interesado (art. 14)
Asimismo, si los datos no se han obtenido del interesado será necesario facilitarle cierta informa-
ción, en un determinado plazo. Esta información coincide con la información prevista en el artículo
13.1 salvo el apartado d) –es decir, con la información a facilitar si los datos personales se recaban
directamente del interesado– debiendo, además, informarle de las categorías de datos personales de
que se trate.
Asimismo, para garantizar un tratamiento de datos leal y transparente, el responsable deberá pro-
porcionarle la información relacionada en el subepígrafe anterior para el mismo fin (art. 13.2), y además
informarle sobre la fuente de la que procedan los datos personales y, en su caso, si proceden de fuentes
de acceso público.
a) Dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro
de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.
b) Si los datos personales han de utilizarse para comunicación con el interesado, a más tardar
en el momento de la primera comunicación a dicho interesado.
c) Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los
datos personales sean comunicados por primera vez.
Finalmente, también se recogen al final de este artículo, aquellos supuestos en que no habrá que fa-
cilitar esta información interesado (el interesado ya tenga la información, la comunicación resulte impo-
sible o un esfuerzo desproporcionado, en particular para el tratamiento de datos con fines de archivo en
interés público, fines de investigación o fines estadísticos, etc.).
El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están
tratando o no datos personales que le conciernen y, en tal caso, tendrá derecho de acceso a los datos per-
sonales –copia de los datos personales objeto de tratamiento– y a la siguiente información:
a) Los fines del tratamiento; categorías de datos personales de que se traten y de las posibles
comunicaciones de datos y sus destinatarios (en particular, destinatarios en terceros países
u organizaciones internacionales).
b) De ser posible, el plazo de conservación de los datos. De no serlo, los criterios para deter-
minar este plazo.
c) La existencia del derecho a solicitar del responsable la rectificación o supresión de datos
personales o la limitación del tratamiento de datos personales relativos al interesado, o a
oponerse a dicho tratamiento;
d) El derecho a presentar una reclamación ante la autoridad de control;
13 ‒ 22
e) Si se produce una transferencia internacional de datos, recibir información de las garantías
adecuadas.
f) De la existencia de decisiones automatizadas (incluyendo perfiles), la lógica aplicada y con-
secuencias de este tratamiento.
Cuando se transfieran datos personales a un tercer país o a una organización internacional, el inte-
resado tendrá derecho a ser informado de las garantías adecuadas.
El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El
responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable ba-
sado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos,
y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato elec-
trónico de uso común.
• A obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos
personales inexactos que le conciernan.
• Teniendo en cuenta los fines del tratamiento, a que se completen los datos personales que
sean incompletos, inclusive mediante una declaración adicional.
Este derecho es una novedad introducida por el RGPD, si bien, supone la evolución y adaptación
del derecho de cancelación recogido en la normativa anterior.
En virtud del mismo, y de acuerdo con lo establecido en el apartado 1 del artículo 17, el interesado
tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos
personales que le conciernan, cuando concurra alguna de las circunstancias siguientes:
a) Los datos personales ya no sean necesarios en relación con los fines para los que fueron
recogidos o tratados de otro modo.
b) En el caso de que el tratamiento se base únicamente en el consentimiento del interesado –
artículo 6.1 a) o artículo 9.2.a) -, cuando el interesado lo retire.
c) El interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no preva-
lezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento
con arreglo al artículo 21, apartado 2 (En el artículo 21 se regula el derecho de oposición,
en concreto, en su apartado 2, cuanto el tratamiento tenga por objeto la mercadotecnia di-
recta).
d) Los datos personales hayan sido tratados ilícitamente.
e) Los datos personales deban suprimirse para el cumplimiento de una obligación legal esta-
blecida en el derecho de la Unión o de los Estados miembros que se aplique al responsable
del tratamiento;
13 ‒ 23
f) Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad
de la información mencionados en el artículo 8, apartado 1 (consentimiento de menores en
relación con los servicios de la sociedad de la información).
Por su parte, se establece en el apartado 2 de este artículo que cuando haya hecho públicos los datos
personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el res-
ponsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adop-
tará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén
tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos
personales, o cualquier copia o réplica de los mismos.
Son excepciones a este derecho y no procederá, por tanto, la supresión de datos cuando el trata-
miento sea necesario:
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento
de los datos cuando se cumpla alguna de las condiciones siguientes:
a) El interesado impugne la exactitud de los datos personales, durante un plazo que permita al
responsable verificar la exactitud de los mismos;
b) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y
solicite en su lugar la limitación de su uso;
c) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el in-
teresado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) El interesado se haya opuesto al tratamiento –haya ejercitado el derecho de oposición pre-
visto en el art. 21– mientras se verifica si los motivos legítimos del responsable prevalecen
sobre los del interesado.
Cuando el tratamiento de datos personales se haya limitado, dichos datos solo podrán ser objeto de
tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formu-
lación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra
persona física o jurídica o por razones de interés público importante de la Unión o de un determinado
Estado miembro.
13 ‒ 24
Todo interesado que haya obtenido la limitación del tratamiento, será informado por el responsable
antes del levantamiento de dicha limitación.
Junto con el derecho al olvido, es otra de las novedades más importantes, en lo relativo a los dere-
chos de los interesados, introducidas por el RGPD.
El mismo implica que el interesado tendrá derecho a recibir los datos personales que le incumban,
que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectu-
ra mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que
se los hubiera facilitado, cuando:
a) El tratamiento esté basado en el consentimiento o en un contrato con arreglo al artículo 6.1 b).
b) El tratamiento se efectúe por medios automatizados.
El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable
a responsable cuando sea técnicamente posible.
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su
situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo
dispuesto en el artículo 6, apartado 1, letras e) o f) (el tratamiento es necesario para el cumplimiento de
una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable
del tratamiento o que el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los
intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos
personales, en particular cuando el interesado sea un niño) incluida la elaboración de perfiles sobre la
base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo
que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los
derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa (convencer al
cliente para el consumo), el interesado tendrá derecho a oponerse en todo momento al tratamiento de los
datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacio-
nada con la citada mercadotecnia. En este caso, ejercido el derecho de oposición por el interesado, los
datos personales dejarán de ser tratados para dichos fines.
13 ‒ 25
Cuando los datos personales se traten con fines de investigación científica o histórica o fines
estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por moti- vos
relacionados con su situación particular, a oponerse al tratamiento de datos personales que le
conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de
interés público.
Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamien-
to automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte sig-
nificativamente de modo similar.
El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del
tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los dere-
chos establecidos en los artículos 12 a 22 y el artículo 34 (notificación de violaciones de seguridad al in-
teresado), así como en el artículo 5 (principios relativos al tratamiento), cuando tal limitación respete en
lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una
sociedad democrática para salvaguardar:
13 ‒ 26
h) Una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmen-
te, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y
g) seguridad del Estado, objetivos de interés público de la Unión o de los Estados miembros
e infracciones de normas deontológicas).
i) La protección del interesado o de los derechos y libertades de otros.
j) La ejecución de demandas civiles.
Las medidas legislativas adoptadas deberán recoger las disposiciones específicas previstas en el
apartado 2 de artículo 23.
Tal y como se ha indicado al inicio de este epígrafe, la regulación de los derechos no se agota en
el capítulo III.
Así, en el capítulo VIII (arts. 77 a 84) se recogen distintos derechos, distinguiendo entre los dere-
chos reconocidos a los interesados (en los términos que el RGPD define interesado en su artículo 4.1) y
los derechos reconocidos, en general, a las personas.
• El derecho a presentar una reclamación ante una autoridad de control (art. 77), al margen
de otros recursos o acciones judiciales, si considera que el tratamiento de datos personales
que le conciernen infringe el RGPD.
• Derecho a la tutela judicial efectiva contra una autoridad de control (art. 78), bien contra las
decisiones jurídicamente vinculantes dictadas por esta autoridad, bien porque no dé curso
a una reclamación o no sea informado en el plazo de 3 meses sobre el curso o resultado de
la reclamación mencionada anteriormente (reclamación del art. 77).
• El derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento
(art. 79), al margen de otros recursos o acciones judiciales, incluida la reclamación regula-
da en el artículo 77, cuando el interesado considere que sus derechos en virtud del RGPD
han sido vulnerados como consecuencia de un tratamiento de sus datos personales.
Finalmente, el RGPD reconoce con carácter general a las personas el derecho a la tutela judicial
efectiva contra una autoridad de control anteriormente mencionado (art. 78) y el derecho a la indemniza-
ción y responsabilidad (art. 82). En virtud de este último derecho, toda persona que haya sufrido daños
y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a
recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios su-
fridos en los términos establecidos en el artículo 82.
Se encuentran reguladas en el capítulo IV (arts. 24 a 39) del RGPD. Siguiendo la estructura en sec-
ciones de este capítulo, se pueden distinguir 4 categorías de obligaciones:
13 ‒ 27
1. Generales.
2. Relativas a la seguridad de los datos personales.
3. Relativas a la evaluación de impacto y consulta previa.
4. Relativas al delegado de protección de datos.
Se recoge la obligación general de que, en atención a la naturaleza, fines del tratamiento y riesgos
probables para los derechos y libertades de las personas físicas, el responsable del tratamiento aplique
las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamien-
to es conforme con el presente RGPD. Estas medidas se revisarán y actualizarán cuando sea necesario.
El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras
a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios
para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos
personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.
Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la
intervención de la persona, a un número indeterminado de personas físicas.
Cuando 2 o más responsables determinen conjuntamente los objetivos y los medios del tratamiento
serán considerados corresponsables del tratamiento. Los corresponsables determinarán sus responsabili-
dades respectivas en el cumplimiento de las obligaciones impuestas por el RGPD, salvo, y en la medida
en que, sus responsabilidades respectivas se rijan por el derecho de la Unión o de los Estados miembros
que se les aplique a ellos.
Independientemente de los términos del acuerdo, los interesados podrán ejercer los derechos que
les reconoce el RGPD frente a, y en contra de, cada uno de los responsables.
13 ‒ 28
5.1.4. Representantes de responsables o encargados del tratamiento no establecidos
en la Unión (art. 27)
Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá
únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas
apropiados, de manera que el tratamiento sea conforme con los requisitos del presente RGPD y garantice
la protección de los derechos del interesado.
El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, es-
pecífica o general, del responsable. En este último caso, el encargado informará al responsable de cual-
quier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la
oportunidad de oponerse a dichos cambios.
El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al derecho
de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable. El contenido
del contrato o acto jurídico se ajustará a lo establecido en el artículo 28.2 del RGPD.
5.1.6. Tratamiento bajo la autoridad del responsable o del encargado del tratamien-
to (art. 29)
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del en-
cargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del res-
ponsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.
Están exentas las empresas y organizaciones que empleen a menos de 250 trabajadores, a menos que
el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no
sea ocasional o incluya categorías especiales de datos o datos relativos a condenas o infracciones penales.
13 ‒ 29
5.2. SEGURIDAD DE LOS DATOS PERSONALES
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que
presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración
accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comuni-
cación o acceso no autorizados a dichos datos.
El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier per-
sona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo
pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en vir-
tud del Derecho de la Unión o de los Estados miembros.
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la no-
tificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y,
de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea
improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades
de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas,
deberá ir acompañada de indicación de los motivos de la dilación.
El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las vio-
laciones de la seguridad de los datos personales de las que tenga conocimiento.
13 ‒ 30
5.2.3. Comunicación de una violación de la seguridad de los datos personales al in-
teresado (art. 34)
Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto ries-
go para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al
interesado sin dilación indebida.
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su
naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las perso-
nas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de
las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar
una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento
que requieran una evaluación de impacto relativa a la protección de datos. La autoridad de control co-
municará esas listas alComité Europeo de Protección de Datos.
a) Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del
tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable
del tratamiento.
b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con
respecto a su finalidad.
c) Una evaluación de los riesgos para los derechos y libertades de los interesados.
13 ‒ 31
d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad
y mecanismos que garanticen la protección de datos personales, y a demostrar la conformi-
dad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de
los interesados y de otras personas afectadas.
Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado
anterior podría infringir el RGPD, en particular cuando el responsable no haya identificado o mitigado
suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud
de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera
de sus poderes mencionados en el artículo 58, entre ellos, prohibir el tratamiento.
Dicho plazo podrá prorrogarse 6 semanas, en función de la complejidad del tratamiento previsto. La
autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de
un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación.
Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información so-
licitada a los fines de la consulta.
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno
de los elementos claves del RGPD y un garante del cumplimiento de la normativa de la protección de
datos en las organizaciones, sin sustituir las funciones que desarrollan las autoridades de control. Así, al
delegado de protección de datos, que actuará de forma independiente, se le atribuyen una serie de funcio-
nes reguladas en el artículo 39, entre las que destacan informar y asesorar, así como supervisar el cum-
plimiento del RGPD por parte del responsable o encargado. El delegado de protección de datos podrá
ser interno o externo, persona física o persona jurídica, especializada en esta materia.
a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que
actúen en ejercicio de su función judicial.
b) Las actividades principales del responsable o del encargado consistan en operaciones de
tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación ha-
bitual y sistemática de interesados a gran escala.
c) Las actividades principales del responsable o del encargado consistan en el tratamiento a
gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos
relativos a condenas e infracciones penales a que se refiere el artículo 10.
Un grupo empresarial podrá nombrar un único delegado siempre que sea fácilmente accesible desde
cada establecimiento.
13 ‒ 32
En el caso de los organismos públicos, se podrá asimismo designar un único delegado, en función
de su estructura organizativa y tamaño.
En lo relativo a su designación, posición y funciones (reguladas en los arts. 37 a 39 del RGPD) tén-
gase en cuenta lo establecido en el siguiente epígrafe, en la medida que lo establecido en los mismos re-
sulta de aplicación a todo delegado de protección de datos, independientemente del tipo de organización
–pública o privada– en la que desarrolle sus funciones.
Tal y como se acaba de señalar, una de las grandes novedades que introduce el RGPD es la fi-
gura del delegado de protección de datos siendo obligatoria su designación cuando el tratamiento de
protección de datos sea llevado a cabo por una autoridad u organismo público, excepto los tribuna- les
que actúen en ejercicio de su función judicial. En función de la estructura organizativa y tamaño de la
autoridad u organismo público, se podrá designar un único delegado para varias autoridades u
organismos.
En relación con la designación del delegado de protección datos,el artículo 37 del RGPD estable-
ce lo siguiente:
El responsable o el encargado del tratamiento publicarán el nombre y los datos de contacto del de-
legado de protección de datos y lo comunicarán a la autoridad de control.
Los interesados podrán ponerse en contacto con el delegado de protección de datos en todo lo rela-
tivo al tratamiento de sus datos de carácter personal y al ejercicio de sus derechos.
En el artículo 38 del RGPD se regula la posición del delegado de protección de datos. Así, en virtud
de lo establecido en dicho artículo, el responsable o encargado del tratamiento:
13 ‒ 33
3. Velarán porque el delegado de protección de datos no reciba ninguna instrucción en el ejer-
cicio de sus funciones. El delegado de protección de datos rendirá cuentas al más alto nivel
jerárquico.
4. Velarán porque cualesquiera otras funciones profesionales del delegado de protección de
datos sean compatibles con sus funciones en calidad de delegado de protección de datos y
no den lugar a conflictos de intereses (Cabe, por tanto, que el delegado desempeñe sus fun-
ciones a tiempo parcial).
Por último, en el artículo 39 se regulan las funciones mínimas del delegado de protección de datos,
estableciendo lo siguiente:
Con el objetivo de ofrecer seguridad y fiabilidad a las empresas y entidades que van a incorporar
esta figura a sus organizaciones, la Agencia Española de Protección de Datos ha desarrollado un esquema
de certificación de los delegados de protección de datos. Ahora bien, esta certificación no es obligatoria
para poder ejercer como delegado de protección de datos y se puede actuar como tal sin estar certificado
bajo este o cualquier otro esquema.
La existencia de una autoridad independiente que vele por el derecho a la protección de datos está
prevista en el Convenio 108 del Consejo de Europa, de 1981, el primer texto internacional sobre la mate-
ria, y obtiene su configuración más acabada en la Directiva 95/46/CE, relativa a la protección de las per-
sonas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos:
«La creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno
de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que res-
pecta al tratamiento de datos personales» (Considerando 62 de la Directiva 95/46).
El artículo 28.1 de la Directiva prevé que «estas autoridades ejercerán las funciones que le son atri-
buidas con total independencia».
En España se adoptó el criterio organizativo y funcional propuesto en el Convenio 108 y que luego
pasaría a ser un rasgo esencial del modelo europeo: la atribución de la función de velar por el cumpli-
miento de la normativa de protección de datos a una autoridad independiente.
13 ‒ 34
Así, a través del título VI de la derogada 5/1992, de 29 de octubre, de regulación del tratamiento au-
tomatizado de los datos de carácter personal (LORTAD), se reguló la creación de la Agencia Española
de Protección de Datos como ente independiente, con presupuesto propio y plena autonomía funcional,
encargada de velar por la máxima eficacia de sus disposiciones.
Las mismas ejercen las funciones de control respecto de los ficheros de datos de carácter personal
creados o gestionados por las comunidades autónomas y por la Administración local de su ámbito terri-
torial. Los ficheros privados de estas comunidades autónomas son competencia de la Agencia Española
de Protección de Datos.
La agencia es un ente de derecho público, con personalidad jurídica propia y plena capacidad pú-
blica y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de
sus funciones. Se relaciona con el Gobierno a través del Ministerio de Justicia. Goza de la condición de
Autoridad Administrativa Independiente, de conformidad con lo dispuesto en el artículo 84 De la Ley
40/2015, de régimen jurídico del sector público.
1. El director.
2. El Consejo Consultivo.
3. El Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General
como órganos jerárquicamente dependientes del director de la agencia.
13 ‒ 35
7.2.1. El Director de la AEPD
El director de la AEPD dirige la Agencia y ostenta su representación. Será nombrado, de entre quie-
nes componen el Consejo Consultivo, mediante Real Decreto a propuesta del Ministro de Justicia, por
un periodo de 4 años.
Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción algu-
na en el desempeño de aquellas.
En todo caso, el director deberá oír al Consejo Consultivo en aquellas propuestas que este le reali-
ce en el ejercicio de sus funciones.
El director de la AEPD solo cesará antes de la expiración de su mandato, a petición propia o por
separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán
oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones,
incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso.
El director de la AEPD estará asesorado por un Consejo Consultivo compuesto por los siguientes
miembros:
El Consejo Consultivo emitirá informe en todas las cuestiones que le someta el director de la AEPD
y podrá formular propuestas en temas relacionados con las materias de competencia de esta.
13 ‒ 36
el fin de hacer posible el ejercicio de los derechos que la normativa en materia de protección de datos,
reconoce a los titulares de esos datos.
La AEPD está encargada de velar por el cumplimiento de la legislación sobre protección de datos
y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación,
oposición y cancelación de datos (ARCO).
A continuación, se describen sucintamente las funciones de la Agencia agrupadas por materias según
los actos/actores involucrados:
• Atender a sus peticiones y reclamaciones (en particular, la reclamación de tutela de los de-
rechos ARCO).
• Informar de los derechos reconocidos en la normativa sobre protección de datos.
• Promover campañas de difusión a través de los medios.
• Velar por la publicidad de los ficheros de datos de carácter personal.
3. En la elaboración de normas:
13 ‒ 37
• Informar los Proyectos de normas que incidan en materia de protección de datos.
• Dictar las instrucciones y recomendaciones precisas para adecuar los tratamientos automa-
tizados a los principios de la Ley Orgánica de Protección de Datos.
• Dictar recomendaciones de aplicación de las disposiciones legales y reglamentarias en ma-
teria de seguridad de los datos y control de acceso a los ficheros.
4. En materia de telecomunicaciones:
• Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunica-
ciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas rea-
lizadas a través de correo electrónico o medios de comunicación electrónica equivalente
(spam).
• Recibir las notificaciones de las eventuales quiebras de seguridad que se produzcan en los
sistemas de los proveedores de servicios de comunicaciones electrónicas y que puedan afec-
tar a datos personales.
5. Otras funciones:
• Cooperación con diversos organismos internacionales y con los órganos de la Unión Euro-
pea en materia de protección de datos.
• Representación de España en los foros internacionales en la materia.
• Control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública.
• Elaboración de una memoria anual, que es presentada por el Director de la Agencia ante las
Cortes Generales.
Con el fin de adaptar la actividad de la AEPD a este Reglamento, hay un proyecto de nuevo estatu-
to de la Agencia en tramitación, a la espera de la aprobación de la nueva normativa nacional en materia
de protección de datos.
ANEXO
1) «datos personales»: toda información sobre una persona física identificada o identificable
(«el interesado»); se considerará persona física identificable toda persona cuya identidad pueda de-
terminarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un
nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social
de dicha persona;
13 ‒ 38
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, regis-
tro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utiliza-
ción, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o
interconexión, limitación, supresión o destrucción;
3) «limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin
de limitar su tratamiento en el futuro;
6) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios de-
terminados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, ser-
vicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
9) «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se
comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios
las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta
de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por
dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables
a los fines del tratamiento;
10) «tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del intere-
sado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para
tratar los datos personales bajo la autoridad directa del responsable o del encargado;
11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e
inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmati-
va, el tratamiento de datos personales que le conciernen;
12) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasio-
ne la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados
o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
13 ‒ 39
13) «datos genéticos»: datos personales relativos a las características genéticas heredadas o adqui-
ridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa
persona, obtenidos en particular del análisis de una muestra biológica de tal persona;
14) «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específi-
co, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan
o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
15) «datos relativos a la salud»: datos personales relativos a la salud física o mental de una perso-
na física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su es-
tado de salud;
17) «representante»: persona física o jurídica establecida en la Unión que, habiendo sido designa-
da por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al
responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Re-
glamento;
18) «empresa»: persona física o jurídica dedicada a una actividad económica, independientemente
de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una activi-
dad económica;
19) «grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas
controladas;
20) «normas corporativas vinculantes»: las políticas de protección de datos personales asumidas
por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para
transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno
o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una activi-
dad económica conjunta;
21) «autoridad de control»: la autoridad pública independiente establecida por un Estado miembro
con arreglo a lo dispuesto en el artículo 51;
22) «autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos
personales debido a que:
13 ‒ 40
a) El responsable o el encargado del tratamiento está establecido en el territorio del Estado
miembro de esa autoridad de control;
b) Los interesados que residen en el Estado miembro de esa autoridad de control se ven sustan-
cialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento,
o
c) Se ha presentado una reclamación ante esa autoridad de control;
24) «objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o
no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de accio-
nes previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la
importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamen-
tales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;
25) «servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo
1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo;
26) «organización internacional»: una organización internacional y sus entes subordinados de De-
recho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más paí-
ses o en virtud de tal acuerdo.
13 ‒ 41