REGLAMENTO GENERAL PD

Vigor
24 mayo 2016

Aplicación
25 mayo 2018 → Aplicación directa

Ámbito de aplicación material

NO A PJ (instituciones,
organizaciones,
sociedades…) pero SI a
PF que estén
integradas en ella
Ámbito territorial
Se aplica a toda empresa extranjera que trate datos como consecuencia de una actividad
orientada a personas de la UE.

Es irrelevante que el tratamiento se realice o no dentro de la UE ya que se aplica

Definiciones
• datos personales: toda información sobre una persona física identificada o
identificable
• el interesado se considerará persona física identificable toda persona cuya identidad
pueda determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona
• tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos automatizados
o no, como la recogida, registro, organización, estructuración, conservación,
adaptación o modificación, extracción, consulta, utilización, comunicación por
transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o
interconexión, limitación, supresión o destrucción
• limitación del tratamiento: el marcado de los datos de carácter personal conservados
con el fin de limitar su tratamiento en el futuro
• elaboración de perfiles: toda forma de tratamiento automatizado de datos personales
consistente en utilizar datos personales para evaluar determinados aspectos
personales de una persona física, en particular para analizar o predecir aspectos
relativos al rendimiento profesional, situación económica, salud, preferencias
personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha
persona física
• seudomización: el tratamiento de datos personales de manera tal que ya no puedan
atribuirse a un interesado sin utilizar información adicional, siempre que dicha
 información adicional figure por separado y esté sujeta a medidas técnicas y
organizativas destinadas a garantizar que los datos personales no se atribuyan a una
persona física identificada o identificable
• fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a
criterios determinados, ya sea centralizado, descentralizado o repartido de forma
funcional o geográfica
• responsable del tratamiento o responsable: la persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento si el Derecho de la Unión o de los Estados miembros
determina los fines y medios del tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión
o de los Estados miembros
• encargado del tratamiento o encargado: la persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del responsable del
tratamiento
• destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo
al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no
se considerarán destinatarios las autoridades públicas que puedan recibir datos
personales en el marco de una investigación concreta de conformidad con el Derecho
de la Unión o de los Estados miembros el tratamiento de tales datos por dichas
autoridades públicas será conforme con las normas en materia de protección de datos
aplicables a los fines del tratamiento
• tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del
interesado, del responsable del tratamiento, del encargado del tratamiento y de las
personas autorizadas para tratar los datos personales bajo la autoridad directa del
responsable o del encargado
• consentimiento del interesado: toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen
• violación de la seguridad de los datos personales: toda violación de la seguridad que
ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos
• datos genéticos: datos personales relativos a las características genéticas heredadas o
adquiridas de una persona física que proporcionen una información única sobre la
fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra
biológica de tal persona
• datos biométricos: datos personales obtenidos a partir de un tratamiento técnico
específico, relativos a las características físicas, fisiológicas o conductuales de una
persona física que permitan o confirmen la identificación única de dicha persona,
como imágenes faciales o datos dactiloscópicos
• datos relativos a la salud: datos personales relativos a la salud física o mental de una
persona física, incluida la prestación de servicios de atención sanitaria, que revelen
información sobre su estado de salud
• establecimiento principal:
 o a) en lo que se refiere a un responsable del tratamiento con establecimientos
en más de un Estado miembro, el lugar de su administración central en la
Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se
tomen en otro establecimiento del responsable en la Unión y este último
establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso
el establecimiento que haya adoptado tales decisiones se considerará
establecimiento principal
o b) en lo que se refiere a un encargado del tratamiento con establecimientos en
más de un Estado miembro, el lugar de su administración central en la Unión
o, si careciera de esta, el establecimiento del encargado en la Unión en el que
se realicen las principales actividades de tratamiento en el contexto de las
actividades de un establecimiento del encargado en la medida en que el
encargado esté sujeto a obligaciones específicas con arreglo al presente
Reglamento
• representante: persona física o jurídica establecida en la Unión que, habiendo sido
designada por escrito por el responsable o el encargado del tratamiento con arreglo al
artículo 27, represente al responsable o al encargado en lo que respecta a sus
respectivas obligaciones en virtud del presente Reglamento
• empresa: persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o asociaciones que
desempeñen regularmente una actividad económica
• grupo empresarial: grupo constituido por una empresa que ejerce el control y sus
empresas controladas
• normas corporativas vinculantes: las políticas de protección de datos personales
asumidas por un responsable o encargado del tratamiento establecido en el territorio
de un Estado miembro para transferencias o un conjunto de transferencias de datos
personales a un responsable o encargado en uno o más países terceros, dentro de un
grupo empresarial o una unión de empresas dedicadas a una actividad económica
conjunta
• autoridad de control: la autoridad pública independiente establecida por un Estado
miembro con arreglo a lo dispuesto en el artículo 51)
• autoridad de control interesada: la autoridad de control a la que afecta el tratamiento
de datos personales debido a que:
o a) el responsable o el encargado del tratamiento está establecido en el
territorio del Estado miembro de esa autoridad de control
o b) los interesados que residen en el Estado miembro de esa autoridad de
control se ven sustancialmente afectados o es probable que se vean
sustancialmente afectados por el tratamiento, o
o c) se ha presentado una reclamación ante esa autoridad de control
• tratamiento transfronterizo:
o a) el tratamiento de datos personales realizado en el contexto de las
actividades de establecimientos en más de un Estado miembro de un
responsable o un encargado del tratamiento en la Unión, si el responsable o el
encargado está establecido en más de un Estado miembro, o
o b) el tratamiento de datos personales realizado en el contexto de las
actividades de un único establecimiento de un responsable o un encargado del
tratamiento en la Unión, pero que afecta sustancialmente o es probable que
afecte sustancialmente a interesados en más de un Estado miembro
• objeción pertinente y motivada: la objeción a una propuesta de decisión sobre la
existencia o no de infracción del presente Reglamento, o sobre la conformidad con el
presente Reglamento de acciones previstas en relación con el responsable o el
encargado del tratamiento, que demuestre claramente la importancia de los riesgos
que entraña el proyecto de decisión para los derechos y libertades fundamentales de
los interesados y, en su caso, para la libre circulación de datos personales dentro de la
Unión
• servicio de la sociedad de la información: todo servicio conforme a la definición del
artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo
y del Consejo
• organización internacional: una organización internacional y sus entes subordinados
de Derecho internacional público o cualquier otro organismo creado mediante un
acuerdo entre dos o más países o en virtud de tal acuerdo
Categorías especiales de datos personales: Datos personales sensibles

Autoridades de Protección de datos

Supervisan y ofrecen asesoramiento

• Agencia Española de Protección de Datos (AEPD)

• European Data Protection Board (EDPB)
Medidas de seguridad que debe adoptar el responsable del tratamiento
• Evitar accesos no autorizados
• Realizar copias de seguridad
• La seudomización y el cifrado de datos
• Realizar un control de almacenamiento, de los usuarios, soportes y del acceso a los
datos
Licitud del tratamiento
Un tratamiento se considera lícito si cumple al menos una de las siguientes condiciones:

• El interesado dio su consentimiento (tiene que ser expresos, inequívocos, afirmativos

y específicos)
• El tratamiento es necesario para la ejecución de un contrato (interesado es parte o
aplicación de medidas a petición de éste)
• El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento
• El tratamiento es necesario para proteger intereses vitales del interesado o de otra P.
Física
• El tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o el ejercicio de poderes públicos conferidos al responsable del tratamiento
• El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por
el responsable del tratamiento o por un tercero (siempre que los intereses no estén
prevalecidos por intereses o derechos y libertades fundamentales)

Condiciones para el consentimiento

Es una comunicación libre realizada por el titular de los datos y por el cual consiente que estos
datos sean tratados, para una finalidad concreta, bajo unas determinadas condiciones, de las
cuales tiene que estar previamente informado.
Condiciones:

• Demostración el responsable del tratamiento deberá ser capaz de demostrar que el

interesado consistió el tratamiento de sus datos personales
• Distinción si el consentimiento del interesado se da en el contexto de una declaración
escrita que también se refiera a otros asuntos, la solicitud del consentimiento se
presentará de forma que:
o Se distinga claramente de los demás asuntos
o Utilizando un lenguaje claro, conciso y sencillo
o De forma inteligible y de fácil acceso
• Libertad el consentimiento no debe considerado libremente prestado cuando el
interesado no goza de verdadera o libre elección o no puede denegar o retirar
consentimiento sin sufrir perjuicio alguno

MENORES DE EDAD Y CONSENTIMIENTO (art. 8)

AÑOS MOTIVO
Uso de los datos en el ámbito de los
servicios de la sociedad de la , es legal
cuando + de 16, si es – es ilegal (redes
+ 16 sociales por ej.)
Según norma europea otorgan
consentimiento de manera autónoma y se
considera lícito
LOPDGDD establece esta edad mín. para
14
otorgar consentimiento válido
Cada estado miembro puede rebajar la edad
-13
mínima sin que pueda ser -13

Categorías especiales de datos personales

Los que revelen

• Origen étnico o racial

• Opiniones políticas
• Convicciones religiosas o filosóficas
• Afiliación sindical
• Datos genéricos
• Datos biométricos que permitan la identificación inequívoca de una persona
• Datos relativos a la salud
• Datos relativos a la vida y orientación sexual

Pueden tratarse los anteriores en los siguientes casos:

• Interesado ha dado su consentimiento explícito

• Se le exija, en virtud de una ley de la UE o un convenio colectivo
• Cuando sea necesario para proteger los intereses vitales del interesado y éste esté
incapacitado, física o jurídicamente para dar su consentimiento
• Cuando el tratamiento lo realice una organización sin ánimo de lucro con finalidad
política, filosófica, religiosa o sindical con relación a sus fines
 • Cuando el tratamiento se refiere a datos personales que el interesado haya hecho
manifiestamente públicos
• Cuando se necesitan los datos para la formulación, el ejercicio o la defensa de
reclamaciones
• Cuando el tratamiento es necesario para fines de medicina preventiva o laboral
• Cuando el tratamiento es necesario por razones de interés público en el ámbito de la
salud pública
• Cuando trate de datos para fines de archivo, investigación científica o histórica o para
fines estadísticos sobre la base del Derecho de la UE o nacional.

Tratamiento datos personales relativos a condenas e infracciones penales

Las AAPP son las únicas autorizadas a tratar este tipo de datos y siempre dentro de los
supuestos previstos en la legislación vigente.

Ni empresas ni otras entidades que no sean AAPP podrán realizar datos de esta naturaleza

Tratamiento que no requiere identificación

Si los fines para los cuales un responsable trata datos personales que no requieran o
requerirían identificación, pero la han dejado de requerir, la identificación de un interesado
por el responsable, éste no está obligado a mantener, obtener o tratar adicional con vistas a
identificar al interesado. (Aquí no aplica los art. Del 15 al 20 excepto interesado facilite 
adicional que permita identificación)

DERECHOS CARACTERÍSTICAS

➢ Ejercicio de nuestros derechos gratuito

(responsable puede cobrar canon o negarse a
actuar)
➢ Respuesta solicitudes plazo MÁX. 1 M ampliable
hasta un MÁX. 2M
➢ Responsable deberá informar sobre los medios
➢ Acceso
para ejercer nuestros derechos (accesibles y no
➢ Rectificación
puede negarse a facilitarlo porque se haya
➢ Supresión
escogido otro medio)
➢ Limitación
➢ Solicitud se realiza por medios electrónicos,
➢ Portabilidad
deberá ser atendida por ese mismo medio
➢ Oposición
(excepto que lo solicitemos por otro)
➢ No ser objeto de
➢ Si el responsable no cursa la solicitud, informará al
decisiones
interesado en un plazo MÁX 1 M (incluir motivos
individualizadas
de no actuación)
➢ Podemos ejercer derechos directamente o a través
de representante
➢ Posibilidad de que nuestra solicitud la atienda el
encargado del tratamiento en lugar del
responsable
Transparencia
Principio: cualquier tratamiento de  o comunicación relacionada con el tratamiento de datos
personales debe ser fácilmente accesible y fácil de entender usando un lenguaje claro y
sencillo.

Requisitos de transparencia, comunicación a los interesados:

• Debe ser concisa, transparente, inteligible y de fácil acceso

• Debe usar un lenguaje claro y sencillo
• La  se proporcionará por escrito o por otros medios, incluyendo medios electrónicos
• Cuando el interesado lo solicite, se le podrá facilitar la  verbalmente siempre que
demuestre su identidad

Información y acceso a datos personales

Los principios del RGPD, exigen que se informe al interesado de que se van a tratar sus datos y
de cuáles serán los fines de dicho tratamiento.

Si los datos no son obtenidos del interesado, sino de otra fuente, deberá informar del
tratamiento en el plazo máx. 1 M.

Si los datos pueden ser legítimamente comunicados a un tercero, deberá comunicarse al

interesado en el momento que se comunique por primera vez.

Si el responsable del tratamiento desea utilizar los datos para fines ≠ de aquellos para los que
fueran recabados, deberá informar al interesado antes de iniciar ese nuevo tratamiento.

Información a facilitar cuando se obtienen los datos por parte del interesado
La AEPD recomienda que para cumplir con el derecho de , los responsables de tratamiento
faciliten la  necesaria por capas o niveles

Información de 1er nivel: resumen de  básica

• Identidad del responsable del tratamiento

• Fines del tratamiento, descritos de forma sencilla, incluyendo la elaboración de
perfiles si se da el caso
• Base jurídica del tratamiento
• Previsión o no de cesiones a 3os y previsión o no de transferencias a 3os países
• Referencia al ejercicio de derechos

Información de 2º nivel:  detallada

• Datos de contacto del responsable del tratamiento, identidad y datos del

representante y del delegado de protección de datos, si existiesen.
• Descripción detallada de los fines del tratamiento
• Plazos o criterios para la conservación de los datos
• Existencia de decisiones automatizadas y elaboración de perfiles,  sobre la lógica
aplicada, sobre su importancia y consecuencias del tratamiento para el interesado.
•  detallada de la base jurídica del tratamiento, los casos de obligación legal, interés
público o interés legítimo
• Obligación o no de facilitar datos y las consecuencias de no hacerlo
 • Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías,
normas corporativas vinculante o situaciones específicas aplicables.
•  detallada sobre como ejercer los derechos de acceso, rectificación, supresión y
portabilidad de los datos y la limitación u oposición a su tratamiento.
• Derecho a retirar el consentimiento prestado
• Derecho a reclamar a la Autoridad de control.

Información a facilitar cuando no se obtienen los datos por parte del interesado
 de 1er nivel → procedencia de los datos

 de 2º nivel →  detallada sobre la procedencia de los datos incluso si estos fueron

obtenidos por una fuente de acceso público y categoría de datos que se trata

Comunicación del responsable al interesado, tras obtener los datos, plazo máx. 1 M excepto si
los datos son para comunicarse con el interesado que entonces deberá hacerlos en la 1ª
comunicación.

Derecho de acceso
Es el derecho que tienen los interesados a dirigirse al responsable del tratamiento para
obtener una confirmación sobre si están siendo tratados sus datos personales. AEPD facilita
un modelo para ejercer este derecho.

Derecho de rectificación
El interesado podrá obtener rectificación de sus datos que sean inexactos.

En la solicitud de rectificación deberá indicar de forma inequívoca los datos que se pretenden
modificar y la corrección.

Una vez recibida por el responsable del tratamiento éste está obligado a:

• Deberá tomar medidas necesarias para verificar la identidad de quien ejerce el

derecho
• Proceder a rectificar o completar los datos
• Comunicar dicha rectificación a otros responsables del tratamiento (salvo
imposibilidad o esfuerzo desproporcionado)
• Tendrá que responder a cualquier solicitud de ejercicio de derechos que reciba, sea
procedente o no.
• Responsable tiene obligación de informar al interesado de este derecho.
• Si no se cursa la solicitud el responsable tendrá que informar sin dilación y a más
tardar transcurrido 1 M, desde la recepción de la solicitud (2 M si la solicitud es muy
compleja) de las razones de no actuación y de la posibilidad de presentar una
reclamación ante la autoridad de control o ejercitar acciones judiciales.

Derecho de supresión-derecho al olvido

Circunstancias para que sea atendida la solicitud:

• Cuando los datos personales ya no sean necesarios en relación a los fines para los que
fueron recogidos
 • Si el tratamiento de los datos se ha basado en el consentimiento del interesado y éste
lo retira
• Si los datos han sido tratados ilícitamente
• Si los datos deben suprimirse para cumplimiento de una obligación legal establecida
en el Derecho de la UE o de los estados miembros
• Cuando los datos se hayan obtenido en relación con la oferta de servicios de la
sociedad de la información

Además, si

• El interesado se opone a que sus datos sean objeto de mercadotécnica directa

• El interesado se opone al tratamiento de sus datos y éste se fundamenta en el interés
legítimo o cumplimiento de una misión de interés público y no han prevalecido otros
motivos para legitimar el tratamiento

Derecho a la limitación del tratamiento

La capacidad que tiene el interesado de solicitar que se limite, o suspenda, el tratamiento que
se está haciendo de los mismos

Métodos para limitar el tratamiento (art. 67)

• Trasladar temporalmente los datos seleccionados a otro sistema de tratamiento
• Impedir el acceso de usuarios a los datos personales seleccionados
 • Retirar temporalmente os datos publicados de un sitio internet
• Indicar claramente el sistema (fichero automatizado) que, para los datos que se
pretendan tratar, su tratamiento se encuentra limitado

Portabilidad de los datos (requisitos)

• El tratamiento de datos debe hacerse de forma automatizada
• El tratamiento debe estar basado en el consentimiento del interesado o el
cumplimiento de un contrato
• Se aplica a los datos personales que el interesado ha facilitado de forma activa, no a
aquellos que el responsable haya podido inferir o deducir

Derecho de oposición
Cuando tenga uno de los siguientes fines

• Mercadotecnia directa (responsable no puede pedir tasa)

• Investigación científica o histórica y estadística (excepto que se por razones de interés
público)
• Propio interés legítimo del tratamiento o cuando realice una misión de interés público
o en el ejercicio de interés público (si se acreditan interés legítimo imperioso que
prevalecen sobre los derechos y libertades del interesado)

Decisiones individuales automatizadas, incluida la elaboración de perfiles (art.

22)
Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el
tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos
en él o le afecte significativamente de modo similar

Tratamiento automatizado: decisiones tomadas sin intervención humana, sin que el proceso
de toma de decisión intervenga alguna persona que tenga influencia real en la decisión que se
toma

Elaboración de perfiles: confección de decisiones individuales basadas en un tratamiento

automatizado de datos, destinado a evaluar aspectos personales o analizar o predecir:

• Rendimiento profesional
• Situación económica
• Salud
• Preferencias o intereses procesales
• Fiabilidad o comportamiento
• Ubicación o movimientos

El interesado puede ser objeto de tratamiento automatizado si:

• Está informado que la decisión tomada a consecuencia de la misma puede producirle

efectos jurídicos o de otro tipo
• Interesado pueda requerir la intervención humana mediante:
o Consentimiento explícito del interesado
o Contrato entre interesado y responsable
• Tratamiento autorizado por legislación vigente

Queda prohibida la elaboración excepto si:

 • El interesado ha dado consentimiento para fines específicos permitidos por legislación
vigente
• Tratamiento se realiza para fines de interés público o bajo la supervisión de poderes
públicos, fundamentados en la legislación vigente

Limitación de los derechos

Para salvaguardar:

• Seguridad del Estado

• Defensa
• Seguridad Pública
• Prevención, investigación, detección o enjuiciamiento de infracciones penales o la
ejecución de sanciones penales, incluida la protección frente a amenazas a la
seguridad pública y su prevención
• Otros objetivos importantes de interés público general (particular interés € o
financiero)
• Protección de la independencia judicial y de os procedimientos judiciales
• Prevención, investigación, detección y enjuiciamiento de infracciones de normas
deontológicas en las profesiones reguladas
• Función de supervisión, inspección o reglamentación vinculada, incluso
ocasionalmente, con el ejercicio de la autoridad pública
• Protección del interesado o de los derechos y libertades de otros
• Ejecución de demandas civiles

Responsable del tratamiento

Es quien decide por qué y como se tratan los datos

¿
¿Qué datos vamos a
¿Cómo¿los tratar?
trataremos?

¿
¿Por qué?

Principios

Responsabilidad proactiva: que los responsables

del tratamiento apliquen medidas técnicas y
organizativas apropiadas, no sólo para garantizar
el cumplimiento de la normativa, sino para
demostrar ante interesadas y autoridades de
supervisión dicho cumplimiento
Enfoque de riesgo: se insta a las organizaciones a
que apliquen medidas de protección de los datos
acordes con el nivel de riesgo
Es obligación del responsable elegir exclusivamente a aquellos encargados del tratamiento que
pueden garantizar el cumplimiento del RGPD respecto del tratamiento que lleven a cabo

El responsable deberá designar un delegado de protección de datos siempre que:

• Se trate de un organismo público (excepto tribunales para ejercicio judicial)

• Dentro de la actividad principal de la organización, se tratan habitualmente datos
pertenecientes a categorías especiales a gran escala o se observan habitual y
sistemáticamente personas a gran escala

Encargado del tratamiento

Es el que se encarga del tratamiento por cuenta del responsable

El encargado no decide sobre el tratamiento, SIEMPRE actúa bajo la autoridad del responsable

Obligaciones del encargado:

• Obligación de confidencialidad (ej. Cláusulas contractuales de confidencialidad)

• Aplicación de medidas de seguridad técnicas y alternativas (alcanzar nivel de seguridad
de acuerdo y al riesgo)
• Procedimiento para gestionar las solicitudes de derechos de los interesados (ayudar a
responsable a dar respuestas a las solicitudes)
• Documentación para demostrar el cumplimiento (elaborar informes y otros
documentos para demostrar el cumplimiento de las normas)
• Notificación de violaciones de seguridad (sin dilación y estableciendo un
procedimiento)
• Registro de actividades del tratamiento (obligatorio cuando emplee 250 trabajadores)
• Designación de un delegado de protección de datos
• Cooperación con la autoridad de control (atender cualquier petición de por parte de
la autoridad de control)

Corresponsables de tratamiento
Varias personas y/o entidades las que toman decisiones respecto del tratamiento de datos.

Los interesados podrán dirigirse a cualquier corresponsable del tratamiento para el ejercicio de
sus derechos

Representantes o encargados del mantenimiento no establecidos en la UE

Cuando el responsable o e encargado no esté establecido en la UE y se trate, de un
tratamiento relativo a servicios a interesados en la UE (de pago o no) o sea un tratamiento
relativo al control del comportamiento de los interesados (si éste tiene lugar UE), el
responsable o encargado deberá designar por escrito un representante en la UE.

Excepciones:

• Se trata de un organismo o autoridad pública

• Se trata de un tratamiento ocasional que no supone tratamiento a gran escala de
datos

El representante podrá ser sancionado por los incumplimientos del responsable o el encargado
Registro de actividades del tratamiento
Lo deben mantener los responsables y encargados bajo su responsabilidad siempre que:

• Sean organizaciones o empresas que empleen más de 250 trabajadores

• Se realicen tratamientos no concesionales que puedan entrañar riesgos para los
derechos y libertades o de datos pertenecientes a categorías especiales o datos
penales

 que deberá tener el registro en caso del  registro de actividades que deberá
responsable mantener el encargado
Nombre y datos de responsable y Nombre y datos del encargado y del
corresponsables, representantes y delegado responsable por cuenta de quien actúe. En
si los hubiere su caso también del representante y del
delegado
Finalidad del tratamiento Categorías de datos personales tratados por
cuenta de cada responsable
Transferencias internacionales de datos que se realizan, si se realizan, y la documentación
de las garantías adecuadas, se identificará el país o la organización internacional a la que se
transfieren los datos
Los plazos para la eliminación de las ≠
categorías de los datos cuando sea posible
Descripción de las medidas técnicas y organizativas que se han adoptado para garantizar la
seguridad cuando sea posible

Seguridad del tratamiento

Para establecer las medidas de seguridad adecuadas se debe tener en cuenta:

• El estado de la técnica
• Los costes de la app de medidas
• La naturaleza, alcance, contexto y fines del tratamiento
• Probabilidad de que el riesgo se materialice
• Gravedad para los derechos y libertades de las personas físicas en caso de que el
riesgo se materialice

Seudominización y cifrado de datos personales

Seudominización: tratamiento de daos de manera que ya no puedan atribuirse a un interesado
sin utilizar  adicional

Cifrado de datos: la encriptación o cifrado es un proceso mediante el cual volvemos ilegible

una determinada 

La  una vez cifrada solo podrá verse si se aplica una clave previamente que debe conocer
tanto el que cifra como el que descifra

Medidas que garanticen

Confidencialidad: consiste en hacer que la esté accesible únicamente a personas o sistemas
autorizados

Integridad: implica que los datos personales no se alteren y se mantengan sin modificaciones
 Disponibilidad: refleja la capacidad de acceso inmediato a la de aquellas personas que
cuenten con autorización

Resiliencia: hacer referencia a la capacidad de un sistema de seguir funcionando a pesar de las

incidencias que pudiera sufrir.

Notificación de fallos de seguridad a la autoridad de control

¿A quién se informa? AEPD

¿Quién informa? Responsable de seguridad→ → Representante de responsable del

tratamiento. Si tiene delegado, este se encarga

¿Cuándo se informa? 72 h desde que se tiene constancia del problema

¿Cómo se informa? Notificando como mín.

• La naturaleza de la violación
• Categorías de datos
• Categorías de interesados afectados,
• Nombre y datos del delegado de protección de datos o de otro contacto
• Medidas impuestas por el responsable para resolver la brecha
• Describir las posibles consecuencias
• Si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los
interesados

Delegado de Protección de datos

Funciones:

✓ Asesoramiento
✓ Supervisión del cumplimiento
normativo
✓ Cooperación y enlace con la
autoridad de control
✓ Atención a los interesados

Procedimiento sancionador
Características de las sanciones:

• Individuales • Proporcionadas
• Efectivas • Disuasorias
 Ley Orgánica de Protección de Datos y
Derechos Digitales
Conceptos básicos
3/2018, 5 diciembre → vigor 7 dic.

Objetivos:

• Integrar el RGPD en la legislación española

• Eliminar de la legislación española cualquier norma incompatible con el RGPD
• Garantizar los derechos digitales de los c´s1

Ámbito de app (igual que RGPD)

Datos de las personas fallecidas
En el RGPD no se permite, pero en la LOPD-GDD permite unas salvedades:

• Las personas vinculadas al fallecido por razones familiares o de hecho de sus

herederos podrán solicitar el acceso a los mismos, así como su rectificación o
supresión, salvo prohibición expresa del fallecido o si lo establece una Ley.
• Si el fallecido designó expresamente a alguna persona o institución para el acceso,
rectificación o supresión de sus datos personales
• En el caso de fallecidos menores, sus representantes legales o el M. Fiscal, podrán
acceder, rectificar o suprimir sus datos personales

Definiciones igual RGPD y se añade

• Neutralidad en la red: todo el tráfico de internet debe ser tratado de la misma forma y
la LOPD-GDD lo incorpora como derecho en el que obliga a los proveedores de
servicios de internet a dar una oferta de servicios sin discriminación por motivos
técnicos o económicos
• Desconexión digital: consiste en no tener ningún tipo de contacto con herramientas
digitales relacionadas con su trabajo durante los descansos y vacaciones. Se reconoce
en la LOPD-GDD como un derecho
• Testamento digital: podremos dispones de nuestros datos personales, podrán ser
tratados o no tras nuestra muerte y, en su caso, por quién.

Principios básicos (igual RGPD)

Derechos de las personas: transparencia, ; rectificación, supresión, oposición
(igual RGPD)
Tratamientos concretos
Se considera lícito el tratamiento de los datos de contacto y los relativos ala función o puesto
siempre que:

• Únicamente podrán tratarse los datos que sirvan para la localización profesional de la
persona en cuestión

1
Ref. art. 18.4 CE
 • Finalidad debe ser mantener relaciones con la empresa

Sistemas de  crediticia (registro de morosos)

Es un sistema en el que se incluyen a todas aquellas personas físicas o jurídicas que hayan
incurrido en algún tipo de impago

Datos en el ámbito de la estadística pública

Es lícito el tratamiento por organismos que tienen competencias relacionadas con el ejercicio
de la función estadística pública

Tratamiento de datos con fines de archivo o interés público por parte de las
AAPP
Es ilícito el tratamiento con fines de archivo en interés público2

El responsable y el encargado del tratamiento (igual RGPD)

Códigos de conducta
• Serán elaborados o promovidos por entidades, organizaciones o empresas de un
determinado sector
• Creación y modificación deberá ser notificada a la autoridad de control
correspondiente
• Para su elaboración se deben tener en cuenta riesgos concretos
• La autoridad de control lo aprobará siempre que considere las suficientes garantías y
también lo deberá registrar y publicar
• Una vez publicado, otras entidades o empresas del mismo sector podrán adherirse
• La adhesión y efectivo respeto de un código respecto de un código de conducta es
garantía de responsabilidad y cumplimiento normativo
• La adhesión es voluntaria y vinculante
• Los códigos de conducta constituyen una muestra de o que se denomina
autorregulación, es decir, la capacidad de las entidades, instituciones y organizaciones
para regularse a si mismas a partir de la normativa establecida
• El incumplimiento del código de conducta puede suponer la expulsión del mismo
además de sanciones económicas

Tipos de códigos de conducta

• Ámbito nacional aprobados si procede por la autoridad competente

• Los que se dan en más de un estado miembro de la UE: en este caso la autoridad
competente eleva al Comité Europeo de PD para emitir dictamen sobre la adecuación
del mismo o que dictamine sobre las garantías cuando hay transferencia internacional
de datos

Supervisión código conducta

Podrá ser asignado por la autoridad competente a un organismo que haya sido
suficientemente acreditado para tal fin.

2
Aquel que, por su valor para la historia, la investigación, la ciencia o la cultura es de interés público y
declarado como tal por el legislador
Los responsables o encargados que se adhieran al condigo de conduta se obligan a someter al
organismo o entidad de supervisión las reclamaciones que le fueran formuladas

En caso de que el organismo o entidad de supervisión rechace o desestimen la reclamación, o

si el responsable o el encargado no somete la reclamación a su decisión el afectado podrá
formularla ante la AEPD

La AEPD y las autoridades autonómicas de PD mantendrán registros de códigos de conducta

aprobadas por las mismas que estarán interconectadas entre sí y coordinados con el Registro
gestionado por el Comité Europeo de PD. Dicho registro será accesible por medios
electrónicos. El contendido del registro y el procedimiento de aprobación de códigos de
conduta se establece mediante RD.

Certificación (art. 42 y 42 RGPD)

Son mecanismos en materia de PD cuyo fin es demostrar el adecuado cumplimiento de lo
dispuesto en el RGPD

Tienen una validez de 3 A pasados los cuales podrá ser renovada.

Según la LOPD-GDD, la acreditación de las instituciones de certificación, podrá ser llevada a

cabo por la Entidad Nacional de Acreditación (ENAC) que comunicará a la AEPD y a las
autoridades de PD de las CCAA, las concesiones, denegaciones o revocaciones de las
acreditaciones, así como motivación.

Transferencias de datos internacionales

Organización internacional: todo organismo internacional y sus entes subordinados de
Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre
dos países.

En cualquier caso, se suscribe un contrato con el receptor de datos

Transferencias basadas en una decisión de adecuación

Decisión de adecuación: es una resolución adoptada por la Comisión que garantiza que la
transferencia internacional de datos posee un nivel de protección suficiente.

La Comisión de la UE también puede formalizar acuerdos de adecuación específicos y

vinculantes entre la UE y 3os países que ofrezcan garantías adecuadas de PD y del ejercicio de
los derechos de los interesados

Transferencias basadas en garantías adecuadas de PD

Si no existe una decisión de adecuación la transferencia puede hacerse mediante el
establecimiento de garantías adecuadas que incluyen:
 • Acuerdos jurídicamente vinculantes y ejecutivos entre Autoridades u Organismos
públicos
• Pertenencia a un grupo de empresas con normas corporativas vinculantes aprobadas
por la autoridad de control
• Cláusulas contractuales tipo de protección de datos con el responsable, encargado o
destinatario de y 3os países u Organizaciones Internacionales

Transferencias o comunicaciones no autorizadas por el Derecho de la Unión

Cualquier sentencia de un Órgano jurisdiccional o decisión de una autoridad adtiva. de un 3er
país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos
personales, únicamente será reconocido o ejecutable en cualquier modo si se basa en un
acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país 3º o
requiriente y la Unión o un Estado miembro.

Excepciones para situaciones específicas

Por interés del interesado

• Cuando de su consentimiento explícitamente, tras haber sido informado

fehacientemente
• Cuando la transferencia sea necesaria para la ejecución de un contrato o precontrato
entre responsable e interesado
• Cuando la transferencia sea necesaria para la ejecución de un contrato por interés del
interesado, entre el responsable y otra persona física o jurídica
• Cuando sea necesario para proteger los intereses vitales del interesado u otras
personas, cuando esté física o jurídicamente incapacitado para dar su consentimiento

Por interés legítimo o imperioso del responsable o encargado del tratamiento

• Cuando la transferencia no sea repetitiva y afecte a un nº limitado de interesados

• Cuando el interés legítimo del responsable no quede anulado por los intereses o
derechos y libertades de interesado
• Cuando se realice una evaluación de impacto y se hayan puesto en práctica las
garantías adecuadas de protección

Por interés público

• Cuando sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un

procedimiento judicial
• Cuando se realice desde un registro público legal que tenga por objeto facilitar  al
público en general o a cualquier persona que pueda acreditar un interés legítimo y no
implique la consulta de la totalidad de los datos personales o de las categorías de
datos

Transferencias internacionales de datos en la LOPD-GDD (art. 40 a 43)

Se rigen por lo dispuesto en:

• RGPD
• L.O y sus normas de desarrollo
• En las circulares de la AEPD y autoridades de P.D
AEPD: se crea con el objetivo de velar por el cumplimiento de la normativa en materia de PD y
para controlar su aplicación. Es una autoridad adtiva. Independiente.

Ejerce el papel de representante común de las autoridades de protección de datos del Reino
de España en el Comité Europeo de protección de datos.

Aprueba sus estatutos mediante R.D.

Funciones:

• Controlar la aplicación del RGPD y LOPD-GDD y del resto de la normativa, así como
proceder a que se aplique
• Promover la sensibilización del público y su comprensión de los riesgos, normas,
garantías y derechos en relación con el tratamiento. Las actividades dirigidas
específicamente a los niños deberán ser objeto de especial atención.
• Asesoran, con arreglo al derecho de los estados miembros, al PAR nacional, Gob. y
otras instituciones y organismos sobre las medidas legislativas y adtivas. Relativas a la
protección de derechos y libertades de personas físicas con respecto al tratamiento.
• Promover la sensibilización de los responsables y encargados del tratamiento acerca
de las obligaciones que les incumben
• Previa solicitud, facilitar , a cualquier interesado en relación con el ejercicio de sus
derechos y en su caso, cooperar con las autoridades de control de otros estados
miembros.
• Tratar las reclamaciones e investigar el motivo de la reclamación
• Cooperar, compartiendo , con otras autoridades de control y prestar asistencia
mutua
• Llevar a cabo investigaciones sobre aplicación del presente Reglamento, en particular,
basándose en  recibida de otra autoridad de control pública
• Hacer un seguimiento de cambios que sean de interés, en particular el desarrollo de
las tecnologías de la  y comunicación y las prácticas comerciales
• Adoptar cláusulas contractuales del RGPD3
• Elaborar y mantener una lista relativa al requisito de evaluación impacto4
• Ofrecer asesoramiento sobre las operaciones de tratamiento5
• Alentar la colaboración de códigos de conducta y dictaminar y aprobar los códigos de
conducta6

3
Art. 28.8, 46.2.d) RGPD
4
Art. 35.4 RGPD
5
Art. 36.2 RGPD
6
Art. 40.1 y 40.5 RGPD
 • Fomentar creación de mecanismos de certificación de protección de datos y sellos y
marcas de protección de datos y aprobar los criterios de certificación7
• Llevar a cabo, si procede, una revisión periódica de certificaciones expedidas8
• Elaborar y publicar los criterios para la acreditación de organismos de supervisión de
los códigos de conducta y de organismos de certificación9
• Efectuar la acreditación de organismos de supervisión de los códigos de conducta y de
organismos de certificación10
• Autorizar las cláusulas contractuales y disposiciones11
• Contribuir a las actividades del Comité
• Llevar registros internos de las infracciones y de las medidas adoptadas12

Estructura orgánica AEPD

Presidencia

Adjunto Unidad de apoyo

Gabinete Jurídico

Área internacional

Gabinete de
comunicación y prensa

Subdirector General de
Registro General de
Protección de Datos
Subdirector General de
Secretario General
Inspección de Datos

1. Presidencia y Adjunto 4. Inspección de datos

2. Cjo. Consultivo 5. Sec. Gral. Agencia
3. Registro General de P.D

7
Art. 42.1 y 42.5 RGPD
8
Art. 42.7 RGPD
9
Art. 41 y 43 RGPD
10
Art. 41 y 43 RGPD
11
Art. 46.3 RGPD
12
Art. 58.2 RGPD
Autoridades autonómicas de protección de datos
Son autoridades adtivas. Independientes de ámbito autonómico con personalidad jurídica y
plena capacidad pública y privada, que actúan con plena independencia de los poderes
públicos en el ejercicio de sus funciones en el ámbito de protección de datos.

Podrán en el ámbito de sus competencias dictar circulares de obligado cumplimiento. [Capte la

atención de los lectores mediante una cita importante extraída del documento o utilice este
espacio para resaltar un punto clave. Para colocar el cuadro de texto en cualquier lugar de la
página, solo tiene que arrastrarlo.]

Vulneración de la normativa

FORMAS DE INICIO DEL PROCEDIMIENTO

Por falta de Para A través de la

atención de una determinación de autoridad de
solicitud de la posible control de otro
ejercicio de los existencia de una estado miembro
derechos infracción de la UE
AEPD inadmisión de las reclamaciones cuando:

• No versen sobre cuestiones de protección de datos

• Carezcan manifiestamente de fundamento
• Sean abusivas
• No aporten indicios racionales de la existencia de una infracción.

Actuaciones previas a la investigación NO podrán durar + 12 M

Acuerdo de iniciación concretarán:

• Hechos
• La identificación de la persona o entidad contra la que se dirige el procedimiento
• La infracción que hubiera podido cometerse
• La posible sanción

Procedimiento sancionador (igual RGPD)

Garantías de los derechos digitales
Prestador de servicios de la sociedad de la  cualquier empresa o particular, que realiza
algún servicio por internet a petición del usuario. Se incluyen aquellos servicios que, sin ser
remunerados, puedan reportar beneficio económico para la empresa o particular que los
realice.

Prestador de servicios de internet (ISP- Internet Service Provider) es una organización o

empresa que brinda conexión a internet a los usuarios

Derechos espe

Derechos específicos relacionados con los menores

Derecho a la educación digital: se entiende por educación digital que hace uso de las
tecnologías digitales y que tiene como objetivo la adquisición de competencias y habilidades
para aprender a aprender, tanto de profesores como alumnos, en una formación permanente
Derechos relacionados con el ámbito laboral
Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral: el empleador podrá
acceder a los contenidos derivados el uso de medios digitales facilitados a los trabajadores a
los solos efectos de controlar el cumplimiento de las obligaciones laborales y estatutarias y de
garantizar la integridad de dichos dispositivos.

Derecho a la desconexión digital: es la limitación al uso de las tecnologías de la comunicación

para garantizas el tº de descanso y vacaciones de los trabajadores

Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de

sonidos en el lugar de trabajo

Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral

Derechos digitales a la negociación colectiva

Derechos relacionados con los medios de comunicación digitales

Derecho de rectificación en internet

Derecho al olvido en internet

Derecho a la portabilidad