TEMA 7

EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE

DATOS (I). PROTECCIÓN CONSTITUCIONAL DE LA VIDA
PRIVADA

[Continuación]

2. EL DESARROLLO LEGISLATIVO DEL DERECHO FUNDAMENTAL A LA

PROTECCIÓN DE DATOS (I). ASPECTOS BÁSICOS

2.1- APROXIMACIÓN CONCEPTUAL DEL DERECHO A LA PROTECCIÓN DE DATOS DE

CARÁCTER PERSONAL.-

a) Primeras formulaciones

Hoy en día conocemos que existe en nuestro país un marco jurídico de la protección de
datos personales. Está constituido en la actualidad por el Reglamento Europeo de
Protección de Datos (RGPD), directamente aplicable desde el pasado 25 de mayo de 2018,
y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (LOPDGDD) que entró en vigor el pasado 7 de diciembre
de 2018. Sin embargo, conviene conocer la evolución que se ha seguido para llegar a una
regulación como la actual.

La mayoría de los expertos han coincidido en señalar que este derecho a la protección de
datos tuvo su origen en la declaración formulada por Thomas COOLEY en 1888 en

Javier Cruz Ros © Copyright 2018 1

relación con el «derecho a no ser molestado» («The right to be let alone», recogido en la
obra A treatise on the Law or the wrongs which arise independent of contract, Chicago,
1988) (a que le dejen a uno en paz, diríamos en España), sobre la cual, en 1890, Samuel
WARREN y Louis BRANDERIS fundamentaron la formulación del «derecho a la
privacidad» (Harvard Law Review, volumen IV, número 5, de 15 de diciembre de 1890, pp.
193 y ss.). Ese «derecho a ser dejado en paz», a que no se conozcan los datos de un
individuo si él mismo no lo consiente, resultaba enormemente sugestivo desde el punto de
vista del derecho a la intimidad de la persona.

b) Evolución normativa sobre la protección de datos

Cuando, a partir de los años sesenta del pasado siglo, «la Informática» comienza a dar
sus primeros pasos, y se empiezan a realizar los primeros tratamientos de datos a través
de medios mecánicos, fue cuando las formulaciones llevadas a cabo con anterioridad en
torno al derecho a la intimidad y a la privacidad ven relanzada su importancia mediante la
elaboración de diversos instrumentos normativos, tanto a nivel internacional como en el
derecho interno.

A nivel internacional, y en particular, en el marco de las Naciones Unidas y del Consejo

de Europa, en la Declaración Universal de Derechos Humanos de las Naciones Unidas,
adoptada el 10 de diciembre de 1948, en el Pacto Internacional de Derechos Civiles y
Políticos hecho en Nueva York el 19 de diciembre de 1966, y en el Convenio para la
Protección de los Derechos Humanos y de las Libertades Fundamentales, realizado en
Roma el 14 de noviembre de 1950, ya se habían incluido algunos preceptos que
reconocían el derecho de la persona frente a las injerencias o ataques de terceros respecto
de su vida privada, su familia, su domicilio o su correspondencia, su honra o su reputación.
Así, el artículo 12 de la referida Declaración Universal señala: «Nadie será objeto de
injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni
de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la
ley contra tales inferencias o ataques». Por su parte, el artículo 19 dispone que «todo
individuo tiene la libertad de opinión y de expresión, este derecho incluye el no ser
molestado a causa de sus opiniones, el de investigar y recibir informaciones y opiniones y
el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión». Y en
términos prácticamente idénticos a lo señalado se refiere el artículo 17 del citado Pacto al
igual que en el artículo 8 del mencionado Convenio.

Javier Cruz Ros © Copyright 2018 2

Dentro del marco del Consejo de Europa, precisamente, en el año 1981 se produjo la
aprobación del Convenio 108 «para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal» (ratificado por España el 27
de enero de 1984). La diferencia cualitativa que convierte a este Convenio en referente
obligado en materia de protección de datos radica en que, por primera vez, recoge un
conjunto de principios y garantías que cualquier legislación nacional ha de observar a la
hora de regular la protección de la persona respecto al tratamiento automatizado de sus
datos. De este modo, en su Capítulo II sobre «Principios Básicos para la Protección de
Datos» se recogen los principios de «calidad» (artículo 5), «seguridad» (artículo 7) e
«información» (artículo 8), y los derechos de «confirmación» (artículo 8.b), de
«comunicación» (artículo 8.a) y de «rectificación y borrado» (artículo 8.c).

Posteriormente, en el ámbito comunitario se dictaron la Directiva 95/46/CE del

Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de
las personas físicas respecto al tratamiento de datos personales y a la libre circulación de
estos datos, la cual tenía como misión armonizar la protección de los derechos y las
libertades fundamentales de las personas físicas en relación con las actividades de
tratamiento de datos de carácter personal y garantizar la libre circulación de estos datos
entre los Estados miembros; y la Directiva 2002/58/CE del Parlamento Europeo y del
Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la
protección de la intimidad en el sector de las comunicaciones electrónicas, modificada por
la Directiva 2009/136/CE de 25 de noviembre del 2009.

Y aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no
ha impedido que la protección de los datos en el territorio de la Unión se aplique de
manera fragmentada en los Estados miembros, debido a la existencia de divergencias en la
ejecución y aplicación de la citada Directiva, ni la inseguridad jurídica y una percepción
generalizada entre la opinión pública de que existen riesgos importantes para la
protección de las personas físicas, en particular en relación con las actividades en línea
que impiden, entre otras cosas, que las autoridades cumplan las funciones que les
incumben en virtud del Derecho de la Unión.

Por ello, desde mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos, llamado Reglamento Europeo de Protección de Datos (RGPD),

Javier Cruz Ros © Copyright 2018 3

directamente aplicable desde el pasado 25 de mayo de 2018, y que deroga la Directiva
95/46/CE.

También debe tenerse en cuenta la Directiva 2006/24/CE del Parlamento Europeo y del
Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en
relación con la prestación de servicios de comunicaciones electrónicas de acceso público o
de redes públicas de comunicación, y por la cual se modifica la Directiva 2002/58/CE. La
Directiva 2006/24/CE se transpuso al ordenamiento jurídico español por la Ley 25/2007,
de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a
las redes públicas de comunicaciones.

Finalmente, en el ámbito comunitario también hay que destacar la Carta de los derechos
fundamentales de la Unión Europea, de 7 de diciembre de 2000, tal como fue adaptada
el 12 de diciembre de 2007 en Estrasburgo, cuyos artículos 7 y 8 se dedican,
respectivamente, al respeto a la vida privada y familiar y a la protección de datos de
carácter personal. En concreto, el artículo 7 —relativo al respeto de la vida privada y
familiar— dispone que «Toda persona tiene derecho al respeto de su vida privada y
familiar, de su domicilio y de sus comunicaciones»; y el artículo 8 —referido a la
protección de datos de carácter personal— establece que «1. Toda persona tiene derecho
a la protección de los datos de carácter personal que le conciernan. 2. Estos datos se
tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda
persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su
rectificación. 3. El respeto de estas normas estará sujeto al control de una autoridad
independiente». Hay que considerar que, como consecuencia de la entrada en vigor del
Tratado de Lisboa el diciembre del 2009, la mencionada Carta ha pasado a ser vinculante
para las instituciones y organismos de la UE —artículo 6.1 del TUE—, así como para los
Estados miembros cuando actúen en el marco de la legislación de la Unión.

Para acabar de completar el marco normativo sobre protección de datos en la UE, debe
destacarse el Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo, de
18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos de carácter personal por las instituciones, órganos y
organismos públicos de la Unión y a la libre circulación de esos datos. Este Reglamento
establece el marco legal de protección de datos a nivel de las instituciones europeas y
dispone la creación de un supervisor europeo de protección de datos, autoridad

Javier Cruz Ros © Copyright 2018 4

supervisora independiente a nivel comunitario. Conviene tener en cuenta también la
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales por parte de las autoridades competentes para fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales o de ejecución de
sanciones penales, y a la libre circulación de dichos datos.

Por su parte, a nivel interno, la Constitución Española recoge en su artículo 18.4 lo

siguiente:

«4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal
y familiar de los ciudadanos y el pleno ejercicio de sus derechos».

El tenor literal del citado precepto constitucional no deja de sorprendernos desde el punto
de vista actual, en el que los gobiernos han apostado decididamente por que Internet se
convierta en una herramienta fundamental para la transmisión del conocimiento. Sin
embargo, de acuerdo con lo ya señalado con anterioridad, se trata de un precepto que es
fruto del momento en que fue redactado, en el que, como se ha señalado, el legislador
estaba enormemente preocupado por la posible influencia de «la Informática» en el
derecho a la intimidad personal y familiar del individuo.

El desarrollo del artículo 18.4 CE tuvo lugar mediante la Ley Orgánica 5/1992, de 29 de
octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal
(LORTAD). Esta Ley fue derogada posteriormente por la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (LOPD). Y, en la actualidad, con la
aprobación el 27 de abril de 2016 y aplicabilidad directa de las previsiones contenidas
en el nuevo Reglamento General de Protección de Datos (RGPD) el día 25 de mayo de
2018, se ha aprobado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales (LOPDGDD), texto básico y de
carácter general sobre la protección de datos, constituyéndose así un primer bloque
normativo en esta materia.

En un segundo bloque normativo se encuentran normas específicas, relativas a ámbitos

concretos que afectan directamente los datos de carácter personal, como las bases de
datos de ADN, los datos referentes a la salud y a los historiales clínicos, o bien los datos
sobre comunicaciones electrónicas.

Javier Cruz Ros © Copyright 2018 5

Entre otras normas, pueden destacarse: la Ley 41/2002, de 14 de noviembre, Básica
Reguladora de la Autonomía del Paciente y de los Derechos y Obligaciones en Materia de
Información y Documentación Clínica; Ley Orgánica 10/2007, de 8 de octubre, Reguladora
de la Base de Datos Policial sobre Identificadores Obtenidos a partir del ADN; o Ley
25/2007, de 18 de octubre, de Conservación de Datos Relativos a las Comunicaciones
Electrónicas y a las Redes Públicas de Comunicaciones.

Un tercer bloque normativo estaría integrado por las disposiciones relativas al comercio
y a la administración electrónica, como por ejemplo la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE); Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones; Ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común (antes en la Ley 11 /2007, de 22 de
junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos); Ley 37/2007, de
16 de noviembre, sobre Reutilización de la Información del Sector Público; o Ley 56/2007,
de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

Finalmente, integran el cuarto bloque normativo las disposiciones de carácter general y

de diferente naturaleza que resultan aplicables en función de su rango y del bien jurídico
protegido. Por ejemplo, el Código civil o el Código penal. Este último código resulta
aplicable como última ratio y sanciona las conductas que se consideran más graves.

Dentro del marco regulador de la protección de datos, hay que tener en cuenta la
existencia tanto de normas estatales como de normas autonómicas. La Agencia
Española de Protección de Datos (AEPD) es la autoridad de control competente de
salvaguardar el respeto del derecho fundamental a la protección de datos en lo que se
refiere a los tratamientos de datos efectuados por el sector privado y por una parte del
sector público, ya que existen determinadas autoridades de control autonómicas con
competencias en la materia.

Así, por lo que respecta a las agencias autonómicas, en la actualidad existen diversas
autoridades de control: La primera fue en la Comunidad Autónoma de Cataluña, donde se
creó, mediante la Ley 5/2002, de 19 de abril, la Agencia Catalana de Protección de Datos.
Esta Ley fue derogada por la Ley 32/2010, de 1 octubre, de la Autoridad Catalana de
Protección de Datos. La segunda autoridad de control autonómica creada ha sido la vasca,
mediante la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de
Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.

Javier Cruz Ros © Copyright 2018 6

Las agencias autonómicas tienen encomendada la función de velar por los ficheros de
carácter público que existen en sus respectivos ámbitos territoriales. Sin embargo y como
se verá más adelante, no siempre es fácil determinar qué se entiende por fichero de
carácter público.

c) Configuración del derecho fundamental a la protección de datos en el Derecho

español

Por lo que se refiere al Derecho español, la Ley Orgánica 15/1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal fue objeto de un recurso de inconstitucionalidad
estimado parcialmente por la Sentencia del Tribunal Constitucional 292/2000, de 30
de noviembre. En esta sentencia, el Tribunal Constitucional puso de relieve que el
derecho protegido en el artículo 18.4 CE es un derecho fundamental autónomo e
independiente del derecho a la intimidad del artículo 18.1 CE, ya que este último puede
resultar insuficiente a la hora de proteger al individuo frente a la nueva realidad derivada
del progreso tecnológico.

El Fundamento Jurídico Sexto de la Sentencia plasma dicha doctrina, a saber:

«La función del derecho fundamental a la intimidad del art. 18.1 CE es la de proteger frente
a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar
que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en
contra de su voluntad (por todas STC 144/1999, de 22 Jul, FJ 8). En cambio, el derecho
fundamental a la protección de datos persigue garantizar a esa persona un poder de
control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su
tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la
intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, por esta
razón, y así lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio, FJ 5; 144/1999, FJ 8;
98/2000, de 10 de abril, FJ 5; 115/2000, de 19 de mayo, FJ 4), es decir, el poder de
resguardar su vida privada de una publicidad no querida. El derecho a la protección de
datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía
impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa
información sin las debidas garantías, y también el deber de prevenir los riesgos que
puedan derivarse del acceso o divulgación indebidos de dicha información. Pero ese poder
de disposición sobre los propios datos personales nada vale si el afectado desconoce qué
datos son los que se poseen por terceros, quiénes los poseen, y con qué fin».

De esta forma, según el Tribunal Constitucional, los principales rasgos que permiten
configurar que el derecho fundamental a la protección de datos de carácter personal fuese
considerado como un derecho autónomo e independiente del derecho a la intimidad
(artículo 18.1 CE) son los siguientes:

Javier Cruz Ros © Copyright 2018 7

— Si el derecho a la intimidad (artículo 18.1 CE) permite excluir ciertos datos de una
persona del conocimiento ajeno, es decir, otorga al titular el poder de resguardar su vida
privada de una publicidad no querida, el derecho a la protección de datos (artículo 18.4
CE) garantiza a los individuos un poder de disposición sobre estos datos. Estos dos
derechos comparten un mismo objetivo: ofrecer una protección constitucional eficaz de
la vida privada personal y familiar. Sin embargo, también hay una serie de diferencias a
causa de su función específica, que se pueden concretar desde el punto de vista de su
objeto y su contenido.

— Por un lado, el objeto del artículo 18.4 CE es más amplio que el derecho a la intimidad
del artículo 18.1 CE. El derecho fundamental a la protección de datos no se limita a los
datos íntimos de la persona, sino que extiende su garantía a cualquier tipo de datos
personales, sean o no íntimos, cuyo conocimiento por parte de terceros pueda afectar a los
derechos de la persona. Cualquier dato de carácter personal que identifique o permita la
identificación del individuo entrará dentro del ámbito de protección del derecho
fundamental a la protección de datos.

Por otro lado, en lo que concierne a su contenido, es decir, a las facultades que dichos
artículos otorgan al titular del derecho, el artículo 18.1 CE confiere a dicho titular el poder
jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera
íntima de la persona y la prohibición de hacer uso de lo que mediante una intromisión se
haya conocido.

En cambio, el derecho a la protección de datos atribuye a dicho titular un conjunto de

facultades consistente en diversos poderes jurídicos cuyo ejercicio impone deberes
jurídicos a terceros. De esta manera, se garantiza a la persona un verdadero poder de
control sobre sus datos personales, que sólo es posible y efectivo imponiendo a terceros
una serie de obligaciones: requerir el consentimiento previo para la recogida de datos
personales, informar sobre el destino y el uso de los datos recogidos, garantizar el acceso a
los datos, rectificar y cancelar los datos cuando sea necesario, etc.

En definitiva, el contenido del derecho fundamental a la protección de datos consiste en

un poder de disposición y de control sobre los datos personales que faculta a la persona
para decidir qué datos proporciona a un tercero, sea el Estado o un particular, o cuáles
puede obtener este tercero.

Javier Cruz Ros © Copyright 2018 8

— Este derecho también permite al individuo conocer quién posee estos datos personales,
conocer con qué finalidad los posee y oponerse a esta posesión o uso. Estos poderes de
disposición y control sobre los datos personales, que constituyen parte del contenido del
derecho fundamental a la protección de datos, se concretan jurídicamente en la facultad
de consentir la recogida, la obtención y el acceso a los datos personales: su
almacenaje y tratamiento posteriores, y también su posible uso por parte de un tercero,
sea el Estado o un particular. Y este derecho a consentir el conocimiento y el tratamiento,
informático o no, de los datos personales, requiere, como complementos indispensables,
por una parte, la facultad de saber en todo momento quién dispone de estos datos
personales y a qué uso los somete y, por otra parte, el hecho de poder oponerse a esta
posesión y estos usos (STC 292/2000, F.J. 7.º).

2.2- CONCEPTOS BÁSICOS: DATO, FICHERO Y TRATAMIENTO.-

La LOPDGDD, así como el RGPD, constituyen las principales normas de referencia en

materia de protección de datos en nuestro ordenamiento jurídico.

En este sentido, hay que significar que tanto la ley orgánica como el reglamento contienen
muchos conceptos, principios y mecanismos similares a los establecidos por la LOPD,
modificándose algunos aspectos, no obstante, e introduciéndose diversas novedades
(como, por ejemplo, mediante la ampliación de los derechos de los ciudadanos) que vamos
a analizar a continuación

a) Ámbito de aplicación

El artículo 2.1 del RGPD, que regula el ámbito de aplicación, establece que «el presente
Reglamento se aplica al tratamiento total o parcialmente automatizado de datos
personales, así como al tratamiento de datos personales contenidos o destinados a ser
incluidos en un fichero». Por lo tanto, el ámbito de aplicación se delimita por el concepto
de dato personal y por la posibilidad de su tratamiento.

a.1) El término dato

El RGPD (y en similares términos la LOPDGDD) establece en su artículo 4.1 que un dato

personal es «toda información sobre una persona identificada o identificable («el
interesado»); se considerará persona física identificable toda persona cuya identidad

Javier Cruz Ros © Copyright 2018 9

pueda determinarse, directa o indirectamente, en particular mediante un identificador,
como por ejemplo un nombre, un número de identificación, datos de localización, un
identificador en línea o uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha persona».

Dependiendo del tipo de datos de que se traten, éstos pueden ser, por ejemplo,
identificativos (nombre, apellidos, número del documento nacional de identidad, etc.),
referido a la situación laboral o de salud de una persona física.

El RGPD (al igual que la LOPDGDD) resulta aplicable a cualquier tipo de dato personal, con
independencia de su relevancia, incluso si se trata de datos que no inciden en la esfera de
intimidad de la persona. Esta definición tan amplia del concepto de dato de carácter
personal no implica que todos los datos tengan la misma importancia y que estén
sometidos al mismo régimen jurídico, ya que existen las categorías especiales de datos,
en los que además de los datos de salud, se encuentran los que puedan revelar el origen
étnico o racial, opiniones políticas, convicciones religiosas o fisiológicas, o afiliación
sindical, así como el tratamiento de los datos genéticos, biométricos (si se identificasen de
manera unívoca a una persona física), así como los relativos a la vida sexual u orientación
sexual de una persona física (artículo 9 RGPD). Estos datos se encuentran sometidos a un
régimen de protección mayor e, incluso, otros están sujetos a un tratamiento especial (por
ejemplo, los datos relativos a la salud, según el artículo 8 LOPD).

a.2) El término personal

El artículo 4.1) RGPD (y en similares términos la LOPDGDD) establece que se considera

dato personal toda información sobre una persona física identificada o identificable («el
interesado»); y se considerará persona física identificable toda persona cuya identidad
pueda determinarse, directa o indirectamente, en particular mediante un identificador,
como por ejemplo un nombre, un número de identificación, datos de localización, un
identificador en línea o uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha persona.

— Datos relativos a las personas jurídicas

A pesar de que las personas jurídicas pueden ser titulares de derechos fundamentales que
fueran de utilidad, tal y como ha reconocido la jurisprudencia constitucional (como ya se
hemos visto), el artículo 4.1) del RGPD así como igualmente la LOPDGDD establecen, sin

Javier Cruz Ros © Copyright 2018 10

embargo, a los efectos de la aplicación de estas normas, que el término datos de carácter
personal hace referencia a cualquier información concerniente a personas físicas
identificadas o identificables. Y en el mismo sentido, el artículo 2.2 RLOPD dispone
expresamente que el reglamento en cuestión no será aplicable a los tratamientos de
datos referidos a personas jurídicas. La conclusión, pues, es que respecto de estas
últimas no puede predicarse la existencia de datos de carácter personal y por lo tanto,
quedan excluidas del ámbito de aplicación del RGPD y de la LOPDGDD,.

a.3) Fichero y Tratamiento de datos

De conformidad con lo previsto en el artículo 4.6) del RGPD se puede definir un fichero
como todo conjunto estructurado de datos personales, accesibles con arreglo a criterios
determinados, ya sea centralizado, descentralizado o repartido de forma funcional o
geográfica.

Por su parte, el tratamiento de datos, según lo previsto en el artículo 4.2) del RGPD son
aquellas operaciones realizadas sobre datos personales, ya sea por procedimientos
técnicos de carácter automatizado o no, como la recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso,
cotejo o interconexión, limitación, supresión o destrucción.

Por lo tanto, el RGPD, al igual que la LOPDGDD,, resulta aplicable tanto a los tratamientos
automatizados como a los no automatizados.

Debe efectuarse una precisión respecto a la aplicación del RGPD así como la LOPDGDD, a
ficheros y tratamientos de datos, ya que no tienen por qué coincidir, es decir, las
operaciones que supone un tratamiento de datos no tienen por qué coincidir con las del
fichero. Tanto la AEPD como los Tribunales de Justicia han sancionado de forma
diferenciada a responsables de ficheros y responsables de tratamientos.

Respecto de este último, además, también hay que distinguir entre aquel —el responsable
del tratamiento (artículo 4.7) del RGPD) — y el encargado del tratamiento (artículo 4.8)
del RGPD), siendo éste la persona física o jurídica, autoridad pública, servicio o cualquier
otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta
del responsable del tratamiento.

a.4) Tratamientos regulados por la LOPDGDD y el RGPD

Javier Cruz Ros © Copyright 2018 11

Una vez determinado si nos encontramos ante un dato de carácter personal y que existe
un tratamiento o fichero organizado, habrá que ver si, en razón del tratamiento, la ley
orgánica y el reglamento resultan aplicables. En este sentido, el reglamento y la ley
orgánica determinan su ámbito de aplicación de tres formas:

a) Regulando los tratamientos de datos de carácter personal que se rigen por el

RGPD (artículo 3.1 RGPD):

«1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de

las actividades de un establecimiento del responsable o del encargado en la Unión,
independientemente de que el tratamiento tenga lugar en la Unión o no.

Cabe significar a este respecto que, según el RGPD, un establecimiento implica el ejercicio
de manera efectiva y real de una actividad a través de modalidades estables. La forma
jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad
jurídica, no es el factor determinante al respecto.

2. El presente Reglamento se aplica al tratamiento de datos personales de interesados

que se encuentren en la Unión por parte de un responsable o encargado no establecido en
la Unión, cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de

si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Así, de una parte, para determinar si dicho responsable o encargado ofrece bienes o
servicios a interesados que se encuentran en la Unión, debe determinarse si es evidente
que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios
de los Estados miembros de la Unión. Y en este sentido, si bien la mera accesibilidad del
sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección
de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente
utilizada en el tercer país donde resida el responsable del tratamiento, no basta para
determinar dicha intención, hay factores, como el uso de una lengua o una moneda
utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar
bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la
Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o
servicios a interesados en la Unión.

De otra parte, para determinar si se puede considerar que una actividad de tratamiento
controla el comportamiento de los interesados, debe evaluarse si las personas físicas son
objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de

Javier Cruz Ros © Copyright 2018 12

tratamiento de datos personales que consistan en la elaboración de un perfil de una
persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o
predecir sus preferencias personales, comportamientos y actitudes.

3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un

responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los
Estados miembros sea de aplicación en virtud del Derecho internacional público».

Como, por ejemplo, en una misión diplomática u oficina consular de un Estado miembro.

b) Determinando los tratamientos de datos personales que quedan excluidos (artículo

2.2 del RGPD y 2.2 de la LOPDGDD). Así, no se aplica al tratamiento de datos personales
relacionados con actividades excluidas del ámbito de del Derecho de la Unión, como las
actividades relativas a la seguridad nacional. Tampoco se aplica al tratamiento de datos de
carácter personal por los Estados miembros en el ejercicio de las actividades relacionadas
con la política exterior y de seguridad común de la Unión; al tratamiento de datos de
carácter personal por una persona física en el curso de una actividad exclusivamente
personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o
comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y
la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la
actividad en línea realizada en el contexto de las citadas actividades; o al tratamiento de
datos de carácter personal por parte de las autoridades competentes a efectos de la
prevención, investigación, detección o enjuiciamiento de infracciones penales o de la
ejecución de sanciones penales, incluida la protección frente a las amenazas contra la
seguridad pública y la libre circulación de estos datos y su prevención, ya que es objeto de
un acto jurídico específico a nivel de la Unión, que se regirán, en este último caso, por
disposiciones específicas, en referencia, entre otras, a la normativa que transponga la
citada Directiva (UE) 2016/680, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por parte de las autoridades competentes
para fines de prevención, investigación, detección o enjuiciamiento de infracciones
penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos,
previéndose en la disposición transitoria cuarta de la LOPDGDD la aplicación a estos
tratamientos de la Ley Orgánica 15/1999, de 13 de diciembre, hasta que se apruebe la
citada normativa.

c) Estableciendo la sumisión del tratamiento de datos personales a disposiciones

específicas (artículo 2.3 RGPD);

Javier Cruz Ros © Copyright 2018 13

 «3. El Reglamento (CE) n.º 45/2001 es de aplicación al tratamiento de datos de carácter
personal por las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.º
45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de
carácter personal deben adaptarse a los principios y normas establecidos en el presente
Reglamento».

y a las disposiciones expresamente previstas en la misma ley orgánica (artículo 2.3 y

4 de la LOPDGDD)
«3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE)
2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del
Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la
hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley
orgánica. Se encuentran en esta situación, entre otros, los tratamientos realizados al
amparo de la legislación orgánica del régimen electoral general, los tratamientos
realizados en el ámbito de instituciones penitenciarias y los tratamientos derivados del
Registro Civil, los Registros de la Propiedad y Mercantiles.

4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos
judiciales de los procesos de los que sean competentes, así como el realizado dentro de la
gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679
y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de
1 julio, del Poder Judicial, que le sean aplicables».

2.3- PRINCIPIOS RELATIVOS AL TRATAMIENTO DE LOS DATOS PERSONALES.-

Como ya se ha señalado, el Convenio 108 del Consejo de Europa formuló, por vez primera,
un conjunto de principios que deben ser respetados por parte de los responsables de
ficheros que tratan datos de carácter personal, y que pasaron a ser incorporados y
sistematizados en la Directiva 95/46/CEE, y de ésta a la LOPD que la transpone al
ordenamiento jurídico interno. Estos principios son el de información, el de
consentimiento, el de calidad y el de seguridad. Además, el RGPD incorpora través del
artículo 5, seis principios básicos relativos al tratamiento de datos personales. A
continuación, se hará un breve análisis de cada uno de ellos.

El artículo 5 del RGPD establece lo siguiente:

«1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud,

lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados

ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo
89, apartado 1 (Investigación Científica, estadística), el tratamiento ulterior de los
datos personales con fines de archivo en interés público, fines de investigación
científica e histórica o fines estadísticos no se considerará incompatible con los fines
iniciales («limitación de la finalidad»);

Javier Cruz Ros © Copyright 2018 14

 c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los
que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables

para que se supriman o rectifiquen sin dilación los datos personales que sean
inexactos con respecto a los fines para los que se tratan («exactitud»);

e) mantenidos de forma que se permita la identificación de los interesados durante no

más tiempo del necesario para los fines del tratamiento de los datos personales; los
datos personales podrán conservarse durante períodos más largos siempre que se
traten exclusivamente con fines de archivo en interés público, fines de investigación
científica o histórica o fines estadísticos, de conformidad con el artículo 89
(Investigación Científica, estadística), apartado 1, sin perjuicio de la aplicación de las
medidas técnicas y organizativas apropiadas que impone el presente Reglamento a
fin de proteger los derechos y libertades del interesado («limitación del plazo de
conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos
personales, incluida la protección contra el tratamiento no autorizado o ilícito y
contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas
técnicas u organizativas apropiadas («integridad y confidencialidad»).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el

apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

a) Principio licitud, lealtad y transparencia

Regulado en el artículo 5.1.a) RGPD, dicho principio pretende exigir que el responsable
cumpla con la obligación de facilitar al interesado la información relativa al tratamiento de
forma explícita. Además, también de forma concisa, transparente, inteligible y de fácil
acceso. En concreto, el artículo dice: «los datos personales deben ser tratados de manera
lícita, leal y transparente en relación con el interesado (art. 5.1.a RGPD)».

Así pues, conecta el artículo 4.7 de la LOPD. Éste prohíbe la recogida de datos por medios
fraudulentos, desleales o ilícitos. En definitiva, el RGPD pretende con este principio, dejar
atrás los textos cargados de lenguaje jurídico dirigidos a personas no juristas. Si el usuario
tiene que conocer qué pasa con sus datos, deberá disponer de una información inteligible.

Ejemplo: No se pueden utilizar los datos personales de una persona para realizar una
contratación fraudulenta, dándole, por ejemplo, de alta en un servicio de gas o
telecomunicaciones que no haya solicitado previamente.

b) Principio de limitación de la finalidad

El principio de limitación de la finalidad pretende que los objetivos perseguidos sean

determinados, explícitos y legítimos. Anteriormente era conocido como el principio de

Javier Cruz Ros © Copyright 2018 15

finalidad. Esto queda claramente reflejado en el artículo 5.1.b) del RGDP. Éste dice: «Los
datos personales recogidos con fines determinados, explícitos y legítimos, y no serán
tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el
artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo
en interés público, fines de investigación científica e histórica o fines estadísticos no se
considerará incompatible con los fines iniciales». Así, no se habla ya de finalidades
distintas, sino de finalidades incompatibles. Por ello, los datos personales deben de ser
adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados.

Ejemplo: Si recaban datos personales de una persona y le informan que «son tratados para
mejorar la experiencia de aquel como usuario», esta finalidad no se ajusta a este principio.

c) Principio de minimización de datos

Este principio se podría decir que sería equiparable o quedar incluido con el principio
establecido en la LOPD de proporcionalidad. Así pues, lo que pretende el mismo es limitar
el uso de datos estrictamente a aquellos datos que sean considerados como
adecuados. Como también, pertinentes y limitados en relación con las finalidades para
las cuales sean tratados. Está regulado, como ya se ha indicado, en el artículo 5.1.c) en los
siguientes términos: «Los datos personales serán adecuados, pertinentes y limitados a lo
necesario en relación con los fines para los que son tratados».

Ejemplo: Si una persona se suscribe a un servicio de alertas a través del envío de SMS,
sería suficiente con facilitar, además de su nombre y apellidos, el número de teléfono
móvil, no siendo necesario añadir el número de teléfono fijo o el correo electrónico.

d) Principio de exactitud de los datos

El artículo 5.1.d) establece que los datos personales deben ser «exactos y, si fuera
necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman
o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines
para los que se tratan». Se podría considerar que este nuevo principio coincide con el
conocido anteriormente como principio de calidad de los datos. El nuevo RGPD insiste en
que los datos sean exactos y actualizados. Por lo tanto, el responsable del tratamiento
deberá actuar con la diligencia necesaria para hacer un buen uso de los datos. Es decir, que
sean correctos, completos y actuales.

Javier Cruz Ros © Copyright 2018 16

Ejemplo: Si una compañía suministradora de electricidad o gas mantiene datos erróneos
sobre sus clientes las consecuencias pueden ir desde no proporcionar el servicio
contratado hasta emitir facturas a clientes equivocadas.

e) Principio de limitación del plazo de conservación

Dicho principio tiene por objetivo limitar temporalmente el uso de datos personales.
Así pues, obliga a cesar en su tratamiento cuando estos dejan de ser necesarios para la
finalidad perseguida. Concretamente se encuentra regulado en el artículo 5.1.e) del RGPD
en los siguientes términos: «mantenidos de forma que se permita la identificación de los
interesados durante no más tiempo del necesario para los fines del tratamiento de los
datos personales». Añade que «los datos personales podrán conservarse durante períodos
más largos siempre que se traten exclusivamente con fines de archivo en interés público».
También, «fines de investigación científica o histórica o fines estadísticos, de conformidad
con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y
organizativas apropiadas que impone el presente Reglamento a fin de proteger los
derechos y libertades del interesado».

Con este principio, en definitiva, se refuerza el control sobre la conservación de los datos,
pues es de vital importancia ante el poco conocimiento en muchos casos de los períodos
de conservación de los datos personales recabados.

Ejemplo: cuando se recaben los datos de carácter personal a una persona, el responsable
del tratamiento deberá informarle sobre el periodo o criterios de conservación de los
datos personales.

f) Principio de integridad y seguridad

El objetivo de este principio es garantizar una seguridad adecuada, integridad y

confidencialidad de los datos personales. Se encuentra regulado en el artículo 5.1.f) del
RGPD en los términos siguientes: «los datos personales serán tratados de tal manera que
se garantice una seguridad adecuada de los datos personales, incluida la protección contra
el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental,
mediante la aplicación de medidas técnicas u organizativas apropiadas». Ya anteriormente
se aplicaban medidas de seguridad técnica y organizativa para proteger los datos
personales. Y en estas últimas palabras está la clave. Ahora lo que pretende el RGPD es
proteger los derechos de los interesados. Por ello, a pesar de seguir existiendo el principio

Javier Cruz Ros © Copyright 2018 17

de seguridad, cuando se implementen las medidas concretas se deben evaluar los riesgos
que suponen el tratamiento de dichos datos para los derechos de los interesados.

Ejemplo: para garantizar la seguridad de los datos personales por Internet, es

recomendable que los datos se realicen de forma cifrada.

g) Principio de responsabilidad proactiva

El responsable y encargados del tratamiento deben cumplir con estos principios y ser
capaces de demostrar dicho cumplimiento. Así, el RGPD establece un catálogo de medidas
que ambos deben aplicar para garantizar que los datos personales son conformes con la
normativa vigente.

Entre estas medidas se encuentran el análisis de riesgo con la finalidad de adoptar las
correspondientes medidas de seguridad, el registro de actividades de tratamiento, la
notificación de brechas de seguridad o la realización de evaluaciones de impacto de
protección de datos.

2.4- LA LICITUD DEL TRATAMIENTO

Por otra parte, el artículo 6 del RGPD recoge la licitud del tratamiento. Sobre esta
cuestión hay que significar que una de las principales novedades que representa el RGPD
es la nueva acepción de consentimiento que establece la norma en su artículo 4.11, en el
que se indica, que este debe consistir en una manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o
una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

La clave se encuentra en la «clara acción afirmativa», es decir, exigiendo expresamente

una acción positiva y sin dejar lugar a la posibilidad de estatismo. Por tanto, como señala
la norma, el silencio, las casillas ya marcadas o la inacción no deben constituir
consentimiento. Y, naturalmente, además, cuando el tratamiento tenga varios fines, debe
darse el consentimiento para todos ellos.

El consentimiento explícito implica novedad en tanto en cuanto el mismo no se exigía en

la regulación existente hasta el momento. Conviene recordar que el artículo 14.2 del Real
Decreto 1720/2007 de 21 de diciembre (en adelante RLOPD) recoge la posibilidad de
utilizar la vía del consentimiento tácito para el tratamiento de los datos de carácter
personal que no tengan la consideración de especialmente protegidos. Este hecho, por otra

Javier Cruz Ros © Copyright 2018 18

parte, ya se encontraba consagrado en la jurisprudencia del Tribunal Supremo, y tal es así
que en la sentencia del Tribunal Supremo de 26 de mayo de 1986, se entiende que «el
consentimiento puede ser tácito cuando del comportamiento de las partes resulta
implícita su aquiescencia a una determinada situación …».

Con esta nueva regulación, esa línea jurisprudencial desaparece, restando como única
posibilidad de aquiescencia el consentimiento explícito del interesado, el cual se encuentra
regulado en el artículo 6 del RGPD, que establece que, para que el tratamiento de datos sea
lícito, es necesario que se cumpla cualquiera de los siguientes requisitos:

a) Que exista el consentimiento del interesado para el fin específico., como, por
ejemplo, cuando una persona se suscribe a un determinado servicio para recibir
una newsletter. Es decir, que un fin adicional de tratamiento, como ocurre, por
ejemplo, en la elaboración de perfiles a efectos de elaborar ofertas personalizadas
para el interesado, requerirían un consentimiento adicional como una marcación
de casilla extra.

b) Que el tratamiento sea necesario para la ejecución de un contrato en el que el

interesado es parte o para la aplicación a petición de este de medidas
precontractuales; como por ejemplo, el tratamiento de datos de nombre, apellidos
y fotografía de un trabajador para la tarjeta identificativa de la empresa.

c) Que el tratamiento sea necesario para el cumplimiento de una obligación legal

aplicable al responsable del tratamiento, como por ejemplo, la obligación de
facilitar información de carácter tributario a la Agencia Estatal de Administración
Tributaria.

d) Que el tratamiento sea necesario para la satisfacción de intereses legítimos

perseguidos por el responsable del tratamiento o por un tercero, siempre que
sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del titular de los datos; como, por ejemplo, el acceso a imágenes de
videovigilancia de un aparcamiento para identificar quién ha dañado el vehículo de
una persona.

e) Que el tratamiento sea necesario para el cumplimiento de una misión realizada en

interés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento; como por ejemplo, en los supuestos donde se ampara los

Javier Cruz Ros © Copyright 2018 19

 tratamientos por las Administraciones Públicas, cuando exista una competencia
atribuida por ley.

f) Que el tratamiento sea necesario para proteger intereses vitales del interesado o
de otra persona física.

De la información anterior se desprende que en el RGPD el consentimiento un requisito

más.

La problemática principal que plantea esta novedad jurídica es precisamente que aquellos
consentimientos obtenidos con anterioridad a la entrada en vigor del RGPD, esto es, el 25
de mayo de 2018, deberán recabarse nuevamente, pues como afirma el citado RGPD: «el
silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».

Asimismo, y en relación con el citado consentimiento, el artículo 7 del RGPD establece las
condiciones para el consentimiento. De esta forma, dispone el referido artículo que:

«1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable

deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos
personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que

también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal
forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil
acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la
declaración que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La

retirada del consentimiento no afectará a la licitud del tratamiento basada en el
consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será
informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se dio libremente, se tendrá en cuenta en la mayor

medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la
prestación de un servicio, se supedita al consentimiento al tratamiento de datos
personales que no son necesarios para la ejecución de dicho contrato».

Por tanto, además, como se ha indicado antes, de que el consentimiento debe de consistir
en una declaración afirmativa o una clara acción afirmativa para la prestación del mismo,
no admitiéndose por tanto el consentimiento tácito, el consentimiento para el tratamiento
de datos deberá ser libre, específico, informado e inequívoco, debiendo probar el
responsable del tratamiento que el titular de los datos o interesado consintió el
tratamiento de los mismos a través de un proceso claro inteligible y de fácil acceso, en el
que se utilizó un lenguaje claro y sencillo.

Javier Cruz Ros © Copyright 2018 20

2.5- LOS DERECHOS DE ACCESO, RECTIFICACIÓN, OPOSICIÓN, SUPRESIÓN («DERECHO
AL OLVIDO»), LIMITACIÓN DEL TRATAMIENTO, PORTABILIDAD Y DE NO SER OBJETO
DE DECISIONES INDIVIDUALIZADAS.-

a) El ejercicio de los derechos por el interesado

El capitulo III RGPD se dedica a los derechos de los interesados, que se concretan en los
derechos de acceso, rectificación, oposición, supresión (derecho al olvido), limitación del
tratamiento, portabilidad y de no ser objeto de decisiones individualizadas y que, según el
Tribunal Constitucional, Sentencia 292/2000, «constituyen el haz de facultades que
emanan del derecho fundamental a la protección de datos y sirven a la capital función que
desempeña este derecho fundamental: garantizar a la persona un poder de control sobre
sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los
mencionados deberes que hacer».

Estos derechos se caracterizan por las siguientes notas (artículo 12 RGPD), a saber:

a) Su ejercicio es gratuito. No obstante, si las solicitudes son manifiestamente infundadas

o excesivas (por ejemplo, debido a su carácter repetitivo) el responsable podrá:

• Cobrar un canon proporcional a los costes administrativos soportados; o

• Negarse a actuar.

b) Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en
cuenta la complejidad y número de solicitudes, se podrá prorrogar el plazo otros dos
meses más.

c) El responsable está obligado a informar al interesado sobre los medios para ejercitar
estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho
por el solo motivo de que optes por otro medio.

d) Si la solicitud se presenta por medios electrónicos, la información se facilitará por
estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.

e) Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las
razones de su no actuación y la posibilidad de reclamar ante la autoridad de control
competente y de ejercitar acciones judiciales.

f) Estos derechos se ejercerán directamente por el interesado. Aun así, cuando el
interesado se encuentre en situación de incapacidad o minoría de edad que le imposibilite

Javier Cruz Ros © Copyright 2018 21

el ejercicio personal de estos derechos, podrá ejercerlos mediante su representante legal y
a través de un representante voluntario, expresamente designado.

g) Finalmente, cabe la posibilidad de que el encargado sea quien atienda la solicitud por
cuenta del responsable si ambos lo han establecido en el contrato o acto jurídico que les
vincule (artículo 28.3.e) RGPD)

b) Derecho de acceso a los datos

El derecho de acceso (artículo 15 RGPD) es el derecho del interesado a dirigirse al

responsable del tratamiento para conocer si está tratando o no datos de carácter personal
que le conciernen y, en el caso de que se esté realizando dicho tratamiento, derecho de
acceso a los datos personales y obtener la siguiente información:

a) Los fines del tratamiento;

b) Las categorías de datos personales que se traten;

c) Los destinatarios o las categorías de destinatarios a los que se comunicaron o

serán comunicados los datos personales, en particular, los destinatarios en países
terceros u organizaciones internacionales;

d) El plazo previsto de conservación de los datos personales, o si no es posible, los

criterios utilizados para determinar este plazo;

e) La existencia del derecho del interesado a solicitar al responsable: la rectificación o

supresión de sus datos personales, la limitación del tratamiento de sus datos
personales u oponerse a ese tratamiento;

f) El derecho a presentar una reclamación ante la autoridad de control competente;

g) Cuando los datos personales no se hayan obtenido directamente del interesado,

cualquier información disponible sobre su origen;

h) Y, la existencia de decisiones automatizadas, incluida la elaboración de perfiles, y

al menos en tales casos, información significativa sobre la lógica aplicada, la
importancia y las consecuencias previstas de ese tratamiento para el interesado.

Cuando se transfieran datos personales a un tercer país o a una organización

internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en
las que se realizan las transferencias.

Javier Cruz Ros © Copyright 2018 22

c) Derecho de rectificación

El artículo 16 RGPD regula el derecho de rectificación. El ejercicio de este derecho supone

que el interesado podrá obtener la rectificación de los datos personales que sean inexactos
que le conciernan sin dilación indebida del responsable del tratamiento.

Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se
completen los datos personales que sean incompletos, inclusive mediante una declaración
adicional.

d) Derecho de oposición

El derecho de oposición es el derecho del interesado a que no se lleve a cabo el

tratamiento de datos de carácter personal que le conciernen o se cese en el uso referido.
Este derecho se encuentra regulado en el artículo 21 RGPD.

Este derecho podrá ejercerse en los siguientes supuestos:

a) Tal como prevé el artículo 21.1 RGPD, cuando sean objeto de tratamiento basado en una
misión de interés público o en el interés legítimo, incluido la elaboración de perfiles. En
este caso, el responsable dejará de tratar los datos salvo que acredite motivos imperiosos
que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la
formulación, el ejercicio o la defensa de reclamaciones.

b) Como dispone el artículo 21.2 RGPD, cuando el tratamiento tenga como finalidad la
mercadotecnia directa, incluida también la elaboración de perfiles anteriormente citada.
En estos supuestos, ejercitado este derecho para esta finalidad, los datos personales
dejarán de ser tratados para dichos fines (artículo 21.3 RGPD).

e) Derecho de supresión («el derecho al olvido»)

El artículo 17 RGPD regula el derecho de supresión y el llamado «derecho al olvido». Así,

el ejercicio de este derecho supone que el interesado podrá obtener la supresión de sus
datos de carácter personal cuando concurra alguna de las siguientes circunstancias:

a) los datos personales ya no son necesarios en relación con los fines para los que fueron
recogidos o tratados de otro modo;

b) el interesado retire el consentimiento para el tratamiento, siempre que el citado

tratamiento no se base en otra causa que lo legitime;

Javier Cruz Ros © Copyright 2018 23

c) el interesado se oponga al tratamiento de los datos personales al ejercitar el derecho de
oposición en las siguientes circunstancias:

• El tratamiento del responsable se fundamentaba en el interés legítimo o en el

cumplimiento de una misión de interés público, y no han prevalecido otros
motivos para legitimar el tratamiento de tus datos;

• A que los datos personales sean objeto de mercadotecnia directa, incluyendo la

elaboración perfiles relacionada con la citada mercadotecnia.

d) los datos personales han sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal
establecida en el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la

sociedad de la información mencionados en el artículo 8, apartado 1 (condiciones
aplicables al tratamiento de datos de los menores en relación con los servicios de la
sociedad de la información) (artículo 17.1 RGPD).

Además, el RGPD al regular este derecho lo conecta de cierta forma con el denominado
«derecho al olvido», de manera que este derecho de supresión se amplía de tal forma que
el responsable del tratamiento que haya hecho públicos datos personales está obligado a
indicar a los responsables del tratamiento que estén tratando tales datos personales que
supriman todo enlace a ellos, o las copias o réplicas de tales datos (artículo 17.2 RGPD).

No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder
a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de
expresión e información, para el cumplimiento de una obligación legal, para el
cumplimiento de una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al responsable, por razones de interés público, en el ámbito de la salud
pública, con fines de archivo de interés público, fines de investigación científica o histórica
o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones
(artículo 17.3 RGPD).

f) Derecho a la limitación del tratamiento

Javier Cruz Ros © Copyright 2018 24

Este nuevo derecho, regulado en el artículo 18 del RGPD, consiste en que el interesado
tiene derecho a la limitación del tratamiento de datos de carácter personal, si bien su
ejercicio presenta dos vertientes:

Así, el interesado podrá solicitar la suspensión del tratamiento de los datos personales:

a) Cuando impugne la exactitud de los datos personales, durante un plazo que permita al
responsable su verificación;

b) Cuando se haya opuesto al tratamiento de los datos personales que el responsable

realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si
estos motivos prevalecen sobre los del interesado;

O solicitar al responsable la conservación los datos personales:

a) Cuando el tratamiento sea ilícito y se haya opuesto el interesado a la supresión de los

datos y en su lugar solicite la limitación de su uso;

b) Cuando el responsable ya no necesite los datos personales para los fines del
tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de
reclamaciones.

g) Derecho a la portabilidad

La finalidad de este nuevo derecho, recogido en el artículo 20 RGPD, es reforzar aún más el
control de los datos personales, de forma que cuando el tratamiento se efectúe por medios
automatizados, el interesado reciba los datos personales en un formato estructurado, de
uso común, de lectura mecánica e interoperable, y pueda transmitirlos a otro responsable
del tratamiento, siempre que el tratamiento se legitime sobre la base del consentimiento o
en el marco de la ejecución de un contrato.

No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el

tratamiento sea necesario para el cumplimiento de una misión de interés público o en el
ejercicio de poderes públicos conferidos al responsable.

h) Derecho a no ser objeto de decisiones individualizadas

Este derecho, regulado en el artículo 22 RGPD, pretende garantizar que el interesado no

sea objeto de una decisión basada únicamente en el tratamiento de los datos
automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o te

Javier Cruz Ros © Copyright 2018 25

afecte significativamente de forma similar, como la denegación automática de una
solicitud de crédito en línea o los servicios de contratación en red en los que no medie
intervención humana alguna.

Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de los

datos personales que evalúe aspectos personales relativos a una persona física, en
particular, analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la
situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el
comportamiento.

No obstante, este derecho no será aplicable cuando:

a) sea necesario para la celebración o ejecución de un contrato entre el interesado y el

responsable del tratamiento; o

b) el tratamiento de los datos se fundamente en el consentimiento prestado previamente

por el interesado.

No obstante, en estos dos primeros supuestos, el responsable del tratamiento deberá

garantizar al interesado el derecho a obtener la intervención humana, expresar su punto
de vista e impugnar la decisión.

c) esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan

medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del
interesado.

A su vez, estas excepciones no se aplicarán sobre las categorías especiales de datos

(artículo 9.1), salvo que se aplique el artículo 9.2.a) o g) y se hayan tomado las medidas
adecuadas citadas en el párrafo anterior.

Javier Cruz Ros © Copyright 2018 26