Documentos de Académico
Documentos de Profesional
Documentos de Cultura
[Continuación]
a) Primeras formulaciones
Hoy en día conocemos que existe en nuestro país un marco jurídico de la protección de
datos personales. Está constituido en la actualidad por el Reglamento Europeo de
Protección de Datos (RGPD), directamente aplicable desde el pasado 25 de mayo de 2018,
y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (LOPDGDD) que entró en vigor el pasado 7 de diciembre
de 2018. Sin embargo, conviene conocer la evolución que se ha seguido para llegar a una
regulación como la actual.
La mayoría de los expertos han coincidido en señalar que este derecho a la protección de
datos tuvo su origen en la declaración formulada por Thomas COOLEY en 1888 en
Cuando, a partir de los años sesenta del pasado siglo, «la Informática» comienza a dar
sus primeros pasos, y se empiezan a realizar los primeros tratamientos de datos a través
de medios mecánicos, fue cuando las formulaciones llevadas a cabo con anterioridad en
torno al derecho a la intimidad y a la privacidad ven relanzada su importancia mediante la
elaboración de diversos instrumentos normativos, tanto a nivel internacional como en el
derecho interno.
Y aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no
ha impedido que la protección de los datos en el territorio de la Unión se aplique de
manera fragmentada en los Estados miembros, debido a la existencia de divergencias en la
ejecución y aplicación de la citada Directiva, ni la inseguridad jurídica y una percepción
generalizada entre la opinión pública de que existen riesgos importantes para la
protección de las personas físicas, en particular en relación con las actividades en línea
que impiden, entre otras cosas, que las autoridades cumplan las funciones que les
incumben en virtud del Derecho de la Unión.
Por ello, desde mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos, llamado Reglamento Europeo de Protección de Datos (RGPD),
También debe tenerse en cuenta la Directiva 2006/24/CE del Parlamento Europeo y del
Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en
relación con la prestación de servicios de comunicaciones electrónicas de acceso público o
de redes públicas de comunicación, y por la cual se modifica la Directiva 2002/58/CE. La
Directiva 2006/24/CE se transpuso al ordenamiento jurídico español por la Ley 25/2007,
de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a
las redes públicas de comunicaciones.
Finalmente, en el ámbito comunitario también hay que destacar la Carta de los derechos
fundamentales de la Unión Europea, de 7 de diciembre de 2000, tal como fue adaptada
el 12 de diciembre de 2007 en Estrasburgo, cuyos artículos 7 y 8 se dedican,
respectivamente, al respeto a la vida privada y familiar y a la protección de datos de
carácter personal. En concreto, el artículo 7 —relativo al respeto de la vida privada y
familiar— dispone que «Toda persona tiene derecho al respeto de su vida privada y
familiar, de su domicilio y de sus comunicaciones»; y el artículo 8 —referido a la
protección de datos de carácter personal— establece que «1. Toda persona tiene derecho
a la protección de los datos de carácter personal que le conciernan. 2. Estos datos se
tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda
persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su
rectificación. 3. El respeto de estas normas estará sujeto al control de una autoridad
independiente». Hay que considerar que, como consecuencia de la entrada en vigor del
Tratado de Lisboa el diciembre del 2009, la mencionada Carta ha pasado a ser vinculante
para las instituciones y organismos de la UE —artículo 6.1 del TUE—, así como para los
Estados miembros cuando actúen en el marco de la legislación de la Unión.
Para acabar de completar el marco normativo sobre protección de datos en la UE, debe
destacarse el Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo, de
18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos de carácter personal por las instituciones, órganos y
organismos públicos de la Unión y a la libre circulación de esos datos. Este Reglamento
establece el marco legal de protección de datos a nivel de las instituciones europeas y
dispone la creación de un supervisor europeo de protección de datos, autoridad
«4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal
y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
El tenor literal del citado precepto constitucional no deja de sorprendernos desde el punto
de vista actual, en el que los gobiernos han apostado decididamente por que Internet se
convierta en una herramienta fundamental para la transmisión del conocimiento. Sin
embargo, de acuerdo con lo ya señalado con anterioridad, se trata de un precepto que es
fruto del momento en que fue redactado, en el que, como se ha señalado, el legislador
estaba enormemente preocupado por la posible influencia de «la Informática» en el
derecho a la intimidad personal y familiar del individuo.
El desarrollo del artículo 18.4 CE tuvo lugar mediante la Ley Orgánica 5/1992, de 29 de
octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal
(LORTAD). Esta Ley fue derogada posteriormente por la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (LOPD). Y, en la actualidad, con la
aprobación el 27 de abril de 2016 y aplicabilidad directa de las previsiones contenidas
en el nuevo Reglamento General de Protección de Datos (RGPD) el día 25 de mayo de
2018, se ha aprobado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales (LOPDGDD), texto básico y de
carácter general sobre la protección de datos, constituyéndose así un primer bloque
normativo en esta materia.
Un tercer bloque normativo estaría integrado por las disposiciones relativas al comercio
y a la administración electrónica, como por ejemplo la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE); Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones; Ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común (antes en la Ley 11 /2007, de 22 de
junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos); Ley 37/2007, de
16 de noviembre, sobre Reutilización de la Información del Sector Público; o Ley 56/2007,
de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
Dentro del marco regulador de la protección de datos, hay que tener en cuenta la
existencia tanto de normas estatales como de normas autonómicas. La Agencia
Española de Protección de Datos (AEPD) es la autoridad de control competente de
salvaguardar el respeto del derecho fundamental a la protección de datos en lo que se
refiere a los tratamientos de datos efectuados por el sector privado y por una parte del
sector público, ya que existen determinadas autoridades de control autonómicas con
competencias en la materia.
Así, por lo que respecta a las agencias autonómicas, en la actualidad existen diversas
autoridades de control: La primera fue en la Comunidad Autónoma de Cataluña, donde se
creó, mediante la Ley 5/2002, de 19 de abril, la Agencia Catalana de Protección de Datos.
Esta Ley fue derogada por la Ley 32/2010, de 1 octubre, de la Autoridad Catalana de
Protección de Datos. La segunda autoridad de control autonómica creada ha sido la vasca,
mediante la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de
Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.
«La función del derecho fundamental a la intimidad del art. 18.1 CE es la de proteger frente
a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar
que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en
contra de su voluntad (por todas STC 144/1999, de 22 Jul, FJ 8). En cambio, el derecho
fundamental a la protección de datos persigue garantizar a esa persona un poder de
control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su
tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la
intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, por esta
razón, y así lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio, FJ 5; 144/1999, FJ 8;
98/2000, de 10 de abril, FJ 5; 115/2000, de 19 de mayo, FJ 4), es decir, el poder de
resguardar su vida privada de una publicidad no querida. El derecho a la protección de
datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía
impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa
información sin las debidas garantías, y también el deber de prevenir los riesgos que
puedan derivarse del acceso o divulgación indebidos de dicha información. Pero ese poder
de disposición sobre los propios datos personales nada vale si el afectado desconoce qué
datos son los que se poseen por terceros, quiénes los poseen, y con qué fin».
De esta forma, según el Tribunal Constitucional, los principales rasgos que permiten
configurar que el derecho fundamental a la protección de datos de carácter personal fuese
considerado como un derecho autónomo e independiente del derecho a la intimidad
(artículo 18.1 CE) son los siguientes:
— Por un lado, el objeto del artículo 18.4 CE es más amplio que el derecho a la intimidad
del artículo 18.1 CE. El derecho fundamental a la protección de datos no se limita a los
datos íntimos de la persona, sino que extiende su garantía a cualquier tipo de datos
personales, sean o no íntimos, cuyo conocimiento por parte de terceros pueda afectar a los
derechos de la persona. Cualquier dato de carácter personal que identifique o permita la
identificación del individuo entrará dentro del ámbito de protección del derecho
fundamental a la protección de datos.
Por otro lado, en lo que concierne a su contenido, es decir, a las facultades que dichos
artículos otorgan al titular del derecho, el artículo 18.1 CE confiere a dicho titular el poder
jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera
íntima de la persona y la prohibición de hacer uso de lo que mediante una intromisión se
haya conocido.
En este sentido, hay que significar que tanto la ley orgánica como el reglamento contienen
muchos conceptos, principios y mecanismos similares a los establecidos por la LOPD,
modificándose algunos aspectos, no obstante, e introduciéndose diversas novedades
(como, por ejemplo, mediante la ampliación de los derechos de los ciudadanos) que vamos
a analizar a continuación
a) Ámbito de aplicación
El artículo 2.1 del RGPD, que regula el ámbito de aplicación, establece que «el presente
Reglamento se aplica al tratamiento total o parcialmente automatizado de datos
personales, así como al tratamiento de datos personales contenidos o destinados a ser
incluidos en un fichero». Por lo tanto, el ámbito de aplicación se delimita por el concepto
de dato personal y por la posibilidad de su tratamiento.
Dependiendo del tipo de datos de que se traten, éstos pueden ser, por ejemplo,
identificativos (nombre, apellidos, número del documento nacional de identidad, etc.),
referido a la situación laboral o de salud de una persona física.
El RGPD (al igual que la LOPDGDD) resulta aplicable a cualquier tipo de dato personal, con
independencia de su relevancia, incluso si se trata de datos que no inciden en la esfera de
intimidad de la persona. Esta definición tan amplia del concepto de dato de carácter
personal no implica que todos los datos tengan la misma importancia y que estén
sometidos al mismo régimen jurídico, ya que existen las categorías especiales de datos,
en los que además de los datos de salud, se encuentran los que puedan revelar el origen
étnico o racial, opiniones políticas, convicciones religiosas o fisiológicas, o afiliación
sindical, así como el tratamiento de los datos genéticos, biométricos (si se identificasen de
manera unívoca a una persona física), así como los relativos a la vida sexual u orientación
sexual de una persona física (artículo 9 RGPD). Estos datos se encuentran sometidos a un
régimen de protección mayor e, incluso, otros están sujetos a un tratamiento especial (por
ejemplo, los datos relativos a la salud, según el artículo 8 LOPD).
A pesar de que las personas jurídicas pueden ser titulares de derechos fundamentales que
fueran de utilidad, tal y como ha reconocido la jurisprudencia constitucional (como ya se
hemos visto), el artículo 4.1) del RGPD así como igualmente la LOPDGDD establecen, sin
De conformidad con lo previsto en el artículo 4.6) del RGPD se puede definir un fichero
como todo conjunto estructurado de datos personales, accesibles con arreglo a criterios
determinados, ya sea centralizado, descentralizado o repartido de forma funcional o
geográfica.
Por su parte, el tratamiento de datos, según lo previsto en el artículo 4.2) del RGPD son
aquellas operaciones realizadas sobre datos personales, ya sea por procedimientos
técnicos de carácter automatizado o no, como la recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso,
cotejo o interconexión, limitación, supresión o destrucción.
Por lo tanto, el RGPD, al igual que la LOPDGDD,, resulta aplicable tanto a los tratamientos
automatizados como a los no automatizados.
Debe efectuarse una precisión respecto a la aplicación del RGPD así como la LOPDGDD, a
ficheros y tratamientos de datos, ya que no tienen por qué coincidir, es decir, las
operaciones que supone un tratamiento de datos no tienen por qué coincidir con las del
fichero. Tanto la AEPD como los Tribunales de Justicia han sancionado de forma
diferenciada a responsables de ficheros y responsables de tratamientos.
Respecto de este último, además, también hay que distinguir entre aquel —el responsable
del tratamiento (artículo 4.7) del RGPD) — y el encargado del tratamiento (artículo 4.8)
del RGPD), siendo éste la persona física o jurídica, autoridad pública, servicio o cualquier
otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta
del responsable del tratamiento.
Cabe significar a este respecto que, según el RGPD, un establecimiento implica el ejercicio
de manera efectiva y real de una actividad a través de modalidades estables. La forma
jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad
jurídica, no es el factor determinante al respecto.
Así, de una parte, para determinar si dicho responsable o encargado ofrece bienes o
servicios a interesados que se encuentran en la Unión, debe determinarse si es evidente
que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios
de los Estados miembros de la Unión. Y en este sentido, si bien la mera accesibilidad del
sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección
de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente
utilizada en el tercer país donde resida el responsable del tratamiento, no basta para
determinar dicha intención, hay factores, como el uso de una lengua o una moneda
utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar
bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la
Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o
servicios a interesados en la Unión.
De otra parte, para determinar si se puede considerar que una actividad de tratamiento
controla el comportamiento de los interesados, debe evaluarse si las personas físicas son
objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de
Como, por ejemplo, en una misión diplomática u oficina consular de un Estado miembro.
4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos
judiciales de los procesos de los que sean competentes, así como el realizado dentro de la
gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679
y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de
1 julio, del Poder Judicial, que le sean aplicables».
Como ya se ha señalado, el Convenio 108 del Consejo de Europa formuló, por vez primera,
un conjunto de principios que deben ser respetados por parte de los responsables de
ficheros que tratan datos de carácter personal, y que pasaron a ser incorporados y
sistematizados en la Directiva 95/46/CEE, y de ésta a la LOPD que la transpone al
ordenamiento jurídico interno. Estos principios son el de información, el de
consentimiento, el de calidad y el de seguridad. Además, el RGPD incorpora través del
artículo 5, seis principios básicos relativos al tratamiento de datos personales. A
continuación, se hará un breve análisis de cada uno de ellos.
f) tratados de tal manera que se garantice una seguridad adecuada de los datos
personales, incluida la protección contra el tratamiento no autorizado o ilícito y
contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas
técnicas u organizativas apropiadas («integridad y confidencialidad»).
Regulado en el artículo 5.1.a) RGPD, dicho principio pretende exigir que el responsable
cumpla con la obligación de facilitar al interesado la información relativa al tratamiento de
forma explícita. Además, también de forma concisa, transparente, inteligible y de fácil
acceso. En concreto, el artículo dice: «los datos personales deben ser tratados de manera
lícita, leal y transparente en relación con el interesado (art. 5.1.a RGPD)».
Así pues, conecta el artículo 4.7 de la LOPD. Éste prohíbe la recogida de datos por medios
fraudulentos, desleales o ilícitos. En definitiva, el RGPD pretende con este principio, dejar
atrás los textos cargados de lenguaje jurídico dirigidos a personas no juristas. Si el usuario
tiene que conocer qué pasa con sus datos, deberá disponer de una información inteligible.
Ejemplo: No se pueden utilizar los datos personales de una persona para realizar una
contratación fraudulenta, dándole, por ejemplo, de alta en un servicio de gas o
telecomunicaciones que no haya solicitado previamente.
Ejemplo: Si recaban datos personales de una persona y le informan que «son tratados para
mejorar la experiencia de aquel como usuario», esta finalidad no se ajusta a este principio.
Este principio se podría decir que sería equiparable o quedar incluido con el principio
establecido en la LOPD de proporcionalidad. Así pues, lo que pretende el mismo es limitar
el uso de datos estrictamente a aquellos datos que sean considerados como
adecuados. Como también, pertinentes y limitados en relación con las finalidades para
las cuales sean tratados. Está regulado, como ya se ha indicado, en el artículo 5.1.c) en los
siguientes términos: «Los datos personales serán adecuados, pertinentes y limitados a lo
necesario en relación con los fines para los que son tratados».
Ejemplo: Si una persona se suscribe a un servicio de alertas a través del envío de SMS,
sería suficiente con facilitar, además de su nombre y apellidos, el número de teléfono
móvil, no siendo necesario añadir el número de teléfono fijo o el correo electrónico.
El artículo 5.1.d) establece que los datos personales deben ser «exactos y, si fuera
necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman
o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines
para los que se tratan». Se podría considerar que este nuevo principio coincide con el
conocido anteriormente como principio de calidad de los datos. El nuevo RGPD insiste en
que los datos sean exactos y actualizados. Por lo tanto, el responsable del tratamiento
deberá actuar con la diligencia necesaria para hacer un buen uso de los datos. Es decir, que
sean correctos, completos y actuales.
Dicho principio tiene por objetivo limitar temporalmente el uso de datos personales.
Así pues, obliga a cesar en su tratamiento cuando estos dejan de ser necesarios para la
finalidad perseguida. Concretamente se encuentra regulado en el artículo 5.1.e) del RGPD
en los siguientes términos: «mantenidos de forma que se permita la identificación de los
interesados durante no más tiempo del necesario para los fines del tratamiento de los
datos personales». Añade que «los datos personales podrán conservarse durante períodos
más largos siempre que se traten exclusivamente con fines de archivo en interés público».
También, «fines de investigación científica o histórica o fines estadísticos, de conformidad
con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y
organizativas apropiadas que impone el presente Reglamento a fin de proteger los
derechos y libertades del interesado».
Con este principio, en definitiva, se refuerza el control sobre la conservación de los datos,
pues es de vital importancia ante el poco conocimiento en muchos casos de los períodos
de conservación de los datos personales recabados.
Ejemplo: cuando se recaben los datos de carácter personal a una persona, el responsable
del tratamiento deberá informarle sobre el periodo o criterios de conservación de los
datos personales.
El responsable y encargados del tratamiento deben cumplir con estos principios y ser
capaces de demostrar dicho cumplimiento. Así, el RGPD establece un catálogo de medidas
que ambos deben aplicar para garantizar que los datos personales son conformes con la
normativa vigente.
Entre estas medidas se encuentran el análisis de riesgo con la finalidad de adoptar las
correspondientes medidas de seguridad, el registro de actividades de tratamiento, la
notificación de brechas de seguridad o la realización de evaluaciones de impacto de
protección de datos.
Por otra parte, el artículo 6 del RGPD recoge la licitud del tratamiento. Sobre esta
cuestión hay que significar que una de las principales novedades que representa el RGPD
es la nueva acepción de consentimiento que establece la norma en su artículo 4.11, en el
que se indica, que este debe consistir en una manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o
una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Con esta nueva regulación, esa línea jurisprudencial desaparece, restando como única
posibilidad de aquiescencia el consentimiento explícito del interesado, el cual se encuentra
regulado en el artículo 6 del RGPD, que establece que, para que el tratamiento de datos sea
lícito, es necesario que se cumpla cualquiera de los siguientes requisitos:
a) Que exista el consentimiento del interesado para el fin específico., como, por
ejemplo, cuando una persona se suscribe a un determinado servicio para recibir
una newsletter. Es decir, que un fin adicional de tratamiento, como ocurre, por
ejemplo, en la elaboración de perfiles a efectos de elaborar ofertas personalizadas
para el interesado, requerirían un consentimiento adicional como una marcación
de casilla extra.
f) Que el tratamiento sea necesario para proteger intereses vitales del interesado o
de otra persona física.
La problemática principal que plantea esta novedad jurídica es precisamente que aquellos
consentimientos obtenidos con anterioridad a la entrada en vigor del RGPD, esto es, el 25
de mayo de 2018, deberán recabarse nuevamente, pues como afirma el citado RGPD: «el
silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».
Asimismo, y en relación con el citado consentimiento, el artículo 7 del RGPD establece las
condiciones para el consentimiento. De esta forma, dispone el referido artículo que:
Por tanto, además, como se ha indicado antes, de que el consentimiento debe de consistir
en una declaración afirmativa o una clara acción afirmativa para la prestación del mismo,
no admitiéndose por tanto el consentimiento tácito, el consentimiento para el tratamiento
de datos deberá ser libre, específico, informado e inequívoco, debiendo probar el
responsable del tratamiento que el titular de los datos o interesado consintió el
tratamiento de los mismos a través de un proceso claro inteligible y de fácil acceso, en el
que se utilizó un lenguaje claro y sencillo.
El capitulo III RGPD se dedica a los derechos de los interesados, que se concretan en los
derechos de acceso, rectificación, oposición, supresión (derecho al olvido), limitación del
tratamiento, portabilidad y de no ser objeto de decisiones individualizadas y que, según el
Tribunal Constitucional, Sentencia 292/2000, «constituyen el haz de facultades que
emanan del derecho fundamental a la protección de datos y sirven a la capital función que
desempeña este derecho fundamental: garantizar a la persona un poder de control sobre
sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los
mencionados deberes que hacer».
Estos derechos se caracterizan por las siguientes notas (artículo 12 RGPD), a saber:
Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se
completen los datos personales que sean incompletos, inclusive mediante una declaración
adicional.
d) Derecho de oposición
a) Tal como prevé el artículo 21.1 RGPD, cuando sean objeto de tratamiento basado en una
misión de interés público o en el interés legítimo, incluido la elaboración de perfiles. En
este caso, el responsable dejará de tratar los datos salvo que acredite motivos imperiosos
que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la
formulación, el ejercicio o la defensa de reclamaciones.
b) Como dispone el artículo 21.2 RGPD, cuando el tratamiento tenga como finalidad la
mercadotecnia directa, incluida también la elaboración de perfiles anteriormente citada.
En estos supuestos, ejercitado este derecho para esta finalidad, los datos personales
dejarán de ser tratados para dichos fines (artículo 21.3 RGPD).
a) los datos personales ya no son necesarios en relación con los fines para los que fueron
recogidos o tratados de otro modo;
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal
establecida en el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento;
Además, el RGPD al regular este derecho lo conecta de cierta forma con el denominado
«derecho al olvido», de manera que este derecho de supresión se amplía de tal forma que
el responsable del tratamiento que haya hecho públicos datos personales está obligado a
indicar a los responsables del tratamiento que estén tratando tales datos personales que
supriman todo enlace a ellos, o las copias o réplicas de tales datos (artículo 17.2 RGPD).
No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder
a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de
expresión e información, para el cumplimiento de una obligación legal, para el
cumplimiento de una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al responsable, por razones de interés público, en el ámbito de la salud
pública, con fines de archivo de interés público, fines de investigación científica o histórica
o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones
(artículo 17.3 RGPD).
Así, el interesado podrá solicitar la suspensión del tratamiento de los datos personales:
a) Cuando impugne la exactitud de los datos personales, durante un plazo que permita al
responsable su verificación;
b) Cuando el responsable ya no necesite los datos personales para los fines del
tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de
reclamaciones.
g) Derecho a la portabilidad
La finalidad de este nuevo derecho, recogido en el artículo 20 RGPD, es reforzar aún más el
control de los datos personales, de forma que cuando el tratamiento se efectúe por medios
automatizados, el interesado reciba los datos personales en un formato estructurado, de
uso común, de lectura mecánica e interoperable, y pueda transmitirlos a otro responsable
del tratamiento, siempre que el tratamiento se legitime sobre la base del consentimiento o
en el marco de la ejecución de un contrato.