Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Así, en aquellos supuestos en los que sea necesario el consentimiento del interesado, ya no
cabe el consentimiento tácito que en ocasiones se permitía, especialmente en el ámbito de
internet, sino que debe haber una acción positiva por su parte. Por ejemplo, ya no se
entenderá otorgado el consentimiento por la simple navegación en una página web.
Tampoco se considera un consentimiento válido el silencio del interesado o cuando haya
que marcar unas casillas para prestar el consentimiento que ya estuvieran
preseleccionadas.
NOTA: Las cookies consiguen información sobre los hábitos de navegación del usuario, de
esta forma los servidores pueden monitorizar el comportamiento del mismo. Por eso las
páginas web que usan tecnología cookie tienen la obligación de informar al usuario para que
éste sepa que se está registrando información sobre su comportamiento en la red.
El RGPD menciona las cookies en el Considerando 30. En él señala que algunas cookies
pueden obtener información de una persona a través de su dispositivo, lo que se considera
un dato personal. En este caso, es necesario lograr el consentimiento por parte del usuario.
Sin embargo, no todas las cookies identifican usuarios, sino que algunas de ellas se utilizan
para servicios publicitarios, análisis, encuestas y chats. Las cookies publicitarias son
generalmente más intrusivas, ya que mientras las generales buscan el beneficio del usuario,
las publicitarias buscan el de terceros.
Todas las organizaciones con páginas web que necesiten recoger información de carácter
personal están obligadas a obtener el consentimiento del usuario. Ya sea a través de una
ventana emergente, en la página de bienvenida de la web o bien en la cabecera o en el pie
de la página, se ha de informar –de manera clara, completa y concisa– que se va a proceder
a la instalación de cookies. Para ello es importante tener en cuenta que:
Las casillas pre-marcadas no estarán permitidas y el consentimiento implícito ya no es
suficiente. En la mayoría de los casos –especialmente, si se trata de datos sensibles o
protegidos–, será necesario conseguir el consentimiento explícito del interesado, el cual no
debe dejar lugar a la libre interpretación. Los responsables de datos tendrán que asegurarse
de la obtención de dicho tratamiento de manera indiscutible.
No se pueden enviar comunicaciones electrónicas solo porque el interesado visite una web.
Según indica el RGPD, “el consentimiento a darse a través de una manifestación libre,
específica, informada e inequívoca, mediante la cual, el interesado acepta el tratamiento de
datos personales que le conciernen”. Debe ser fácil dar el consentimiento, pero también
retirarlo. El usuario debe encontrar cómodamente la opción de cancelar sus suscripciones,
eliminar sus cookies y dejar de recibir información.
La normativa actual requiere que el consentimiento sea explícito con respecto a datos de
carácter personal que hacen referencia al origen racial, a la salud y a la vida sexual,
ideología, afiliación sindical, religión y creencias. Esto se debe a que se tratan de categorías
especiales de datos personales cuyo tratamiento de datos, por norma general, están
prohibidos salvo que se dé alguna de las circunstancias que se establecen en el RGPD,
siendo una de ellas el consentimiento explícito.
Además, el RGPD detalla las condiciones para que sea aceptable el consentimiento de
menores, estableciendo un régimen especial para los menores de 16 años (y que los
Estados miembros pueden reducir hasta a los 13 años) en los que es necesario que el
consentimiento lo de o autorice el titular de la patria potestad o tutela sobre el niño.
En España, la LOPDGDD fija a los 14 años la edad del consentimiento del menor para el
tratamiento de sus datos personales, a pesar de que por habilitación del RGPD podría
haberlo reducido hasta los 13 años.
El RGPD refuerza la obligación del deber de información que ha de facilitarse al interesado
en el momento de la recogida de datos, introduciendo nuevos extremos que se refieren en el
artículo 13 del RGPD:
● los fines del tratamiento a que se destinan los datos personales y la base
jurídica del tratamiento;
Uno de los puntos de la nueva normativa es que los datos que se recojan sean limitados, es
decir que sólo se recojan los que sean necesarios para la prestación del servicio. En el caso
de un formulario de registro será necesario un correo electrónico y un nombre para dirigirse
a la persona.
Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe
tener derecho a oponerse a dicho tratamiento, incluso a la elaboración de perfiles en la
medida en que esté relacionada con dicha mercadotecnia directa y ello en cualquier
momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado
y presentarse claramente y al margen de cualquier otra información.
● los fines del tratamiento a que se destinan los datos personales, así como la
base jurídica del tratamiento;
● cuando el tratamiento se base en el artículo 6.1, letra f), los intereses legítimos
del responsable del tratamiento o de un tercero;
● cuando el tratamiento esté basado en el artículo 6.1, letra a), o el artículo 9.2,
letra a), la existencia del derecho a retirar el consentimiento en cualquier
momento, sin que ello afecte a la licitud del tratamiento basada en el
consentimiento antes de su retirada;
● cuando los datos personales deban seguir teniendo carácter confidencial sobre
la base de una de secreto profesional regulada por el Derecho de la Unión o de
los Estados miembros, incluida una obligación de secreto de naturaleza
estatutaria.
OBLIGACIONES DE LA EMPRESA
En primer lugar, las empresas y organizaciones que empleen a más de 250 personas, las
que traten datos de manera frecuente, de manera que pueda entrañar un riesgo para los
derechos y libertades, o incluyan datos personales especialmente protegidos o relativos a
condenas e infracciones penales, deberán tener un registro de las actividades de
tratamiento efectuadas bajo su responsabilidad. Este registro interno que tienen que
efectuar tanto responsables como encargados de tratamiento deberá realizarse por escrito,
y contener información detallada acerca de cada tratamiento de datos que realicen.
El RGPD diferencia el contenido dependiendo de si el Registro lo realiza el Responsable del
tratamiento o el Encargado del tratamiento.
Sus siglas en inglés son PIA, que corresponden a Privacy Impact Assessment (Evaluación
de Impacto de Privacidad o EIPD)
Análisis de riesgos de protección de datos
El objetivo del análisis de riesgos es determinar la probabilidad de que se produzcan
situaciones no deseadas y su gravedad. Por lo tanto, concretaremos y describiremos qué
medidas se han previsto para los procesos clave del tratamiento que estamos evaluando.
Se deberá analizar también las diferentes medidas que se han previsto inicialmente para
reducir los riesgos del tratamiento (en sus dos dimensiones: probabilidad y gravedad). De
esta forma, podemos valorar el nivel de riesgo inicial de las operaciones de tratamiento que
se han diseñado.
Destacar, en este sentido, que las EIPD deben realizarse antes de iniciar las operaciones de
tratamiento; siendo el primer paso la determinación de la necesidad (o no) del análisis de la
evaluación de impacto.
¿Cuándo debe realizarse la Evaluación de Impacto de Protección de Datos?
No siempre es necesaria la redacción de una Evaluación de Impacto, aunque es
recomendable que a la hora de realizar un nuevo tratamiento siempre se analicen los
posibles riesgos que puede entrañar el mismo.
No obstante, la nueva regulación europea tasa una serie de supuestos en los que será
obligatorio la realización de una evaluación de impacto en la protección de datos. Cuando se
dé:
● Alto riesgo: Cuando el tratamiento vaya a entrañar un alto riesgo para los
derechos y libertades de las personas físicas.
Por ejemplo, en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto
y alcance.
● Evaluación sistemática: En el momento que, sistemáticamente, se evalúe
aspectos personales de personas físicas basadas en un tratamiento
automatizado. Es el caso de la elaboración de perfiles.
● Tratamiento a gran escala de datos especialmente protegidos: Si se realiza
un tratamiento a gran escala de las categorías especiales de datos del artículo
9, apartado 1 del RGPD, o de los datos personales relativos a condenas e
infracciones penales a que se refiere el artículo 10 del RGPD. Incluimos en este
apartado también los datos personales relativos a menores.
● Uso de tecnologías invasivas: Cuando se vayan a utilizar tecnologías que se
consideran especialmente invasivas con la privacidad.
Nos referimos a:
● Videovigilancia a gran escala.
● Aeronaves no tripuladas (drones).
● Vigilancia electrónica.
● Minería de datos.
● Biometría.
● Técnicas genéticas.
● Geolocalización.
Empresas obligadas a realizar una Evaluación de Impacto
Algunas de las entidades que tienen que realizar una evaluación de impacto son:
● Farmacéuticas.
● Hospitales y clínicas.
● Seguridad privada, vigilancia y control.
● Comercializadoras de energía.
● Empresas que realicen e-commerce.
● Colegios.
Continuando con la descripción de las circunstancias que obligan a hacer la evaluación de
impacto, el Reglamento también establece que las autoridades de supervisión están
obligadas a elaborar y publicar una lista con los tipos de operaciones de tratamiento que
están sujetos a la exigencia de llevar a cabo una EIPD.
Contenido
El resultado final de una evaluación de impacto no deja de ser un informe, o un conjunto de
documentación, que recoge las características del tratamiento evaluado y las decisiones
tomadas para mitigar sus riesgos, de acuerdo con su identificación, análisis, valoración y
tratamiento (gestión de riesgos) y una vez analizadas, también, cuestiones como el interés
legítimo (si procede) o la necesidad y la proporcionalidad de las operaciones de tratamiento.
El artículo 35.7 del RGPD concreta cuál debe ser el contenido mínimo de la evaluación o, si
se prefiere, determina qué cuestiones se tienen que analizar, como mínimo, para considerar
que se ha hecho la evaluación de manera adecuada.
Estas cuestiones que obligatoriamente se tienen que analizar son las siguientes:
● Descripción del tratamiento y finalidades: Se deberá llevar a cabo un análisis en
profundidad del proyecto, obteniendo el detalle de las categorías de datos que
se tratan, los usuarios de los mismos, los flujos de información y las tecnologías
utilizadas.
El primero de los tres supuestos afecta a las Administraciones y entes del sector público, en
los que se plantean menos dudas. Los otros dos sí emplean algunos conceptos más
indeterminados y que requieren una mayor precisión.
"Actividades principales"
Cuando los dos segundos apartados se refieren a las "actividades principales del
responsable o el encargado del tratamiento" hablan de la actividad primaria de la empresa, y
no aquellas en las que el tratamiento de datos sea una función auxiliar.
Se entenderá que estamos ante una actividad principal cuando el tratamiento de datos sea
el objetivo fundamental de la misma (una App que maneja perfiles, por ejemplo), o bien,
cuando el tratamiento resulte parte intrínseca de la actuación de la empresa. En este
segundo supuesto, por ejemplo, encajaría el caso de un hospital en el que, si bien finalidad
principal es la prestación de servicios sanitarios, éstos no podrían prestarse sin operar con
los datos de los pacientes. En consecuencia, el hospital deberá contratar un DPO.
De momento, los elementos que deben tenerse en cuenta para precisar si el tratamiento es
"a gran escala" son:
● La cantidad de personas afectadas (en número o en proporción).
● El volumen de datos o el abanico de diferentes conceptos de datos que se
procesan.
● La duración o permanencia de la actividad de tratamiento de datos.
● El alcance geográfico de la actividad del tratamiento.
"Seguimiento regular y sistemático"
Por "seguimiento" debe entenderse todas las formas posibles de seguimiento y creación de
perfiles en Internet, incluso a efectos de publicidad basada en el comportamiento. Dicha
noción no se limita, además, al comportamiento online.
El resto de empresas pueden designar uno si así lo desean, y un grupo empresarial podrá
nombrar un único delegado de protección de datos para todo el grupo.
Debe participar en todas las cuestiones relativas a la protección de datos, y ser la figura con
la que contacten los interesados para la gestión de sus derechos.
Así, se encarga de informar y asesorar al responsable y a los empleados que se ocupen del
tratamiento de las obligaciones que les incumben en virtud de la legislación de protección de
datos, supervisar el cumplimiento de la misma y de las políticas de protección de datos que
existan dentro de la empresa, realizar las evaluaciones de impacto, y cooperar y estar en
contacto con la autoridad de control.
El delegado de protección de datos debe ser un sujeto que sólo tenga entre sus funciones
las relativas a la protección de datos personales en la empresa, pudiendo trabajar con la
cooperación del responsable de seguridad, o ser él mismo, si coordina conocimientos
técnico-informáticos con conocimientos específicos sobre protección de datos.
Como contrapartida de las obligaciones añadidas de control dentro del seno de las propias
empresas, el RGPD elimina la obligación de notificar ficheros a las autoridades de
supervisión. Sin embargo, la obligación persiste hasta que el Reglamento entre en vigor, el
25 de mayo de 2018.
Como hemos visto el RGPD ha introducido importantes modificaciones:
● La extensión del ámbito territorial de aplicación.
● El refuerzo de consentimiento del interesado. Consentimiento expreso.
● La introducción de nuevos derechos reconocidos al interesado.
● La ampliación del deber de información y transparencia.
● La obligación de notificar las brechas de seguridad a la autoridad de control.
● La obligación que se tienen que llevar a cabo en el seno de la empresa.
● Y cambios sobre la legislación de las autoridades de control, medidas de
seguridad y sanciones.
CASO PRÁCTICO: Estamos en mayo de 2019 y en el departamento de la empresa en la
que trabajamos hemos recibido una carta de una señora indicándonos:
● Que está harta de recibir publicidad de esa empresa.
● No ha comprado ningún producto en la empresa y solo participó en un sorteo en
el que no le tocó nada.
● En ningún momento ha autorizado a que le manden publicidad y quisiera saber
de dónde han sacado sus datos.
● Solicita que se borre cualquier información sobre ella y que dejen de mandarle
publicidad.
Se pide: Analizar qué aspectos formales debes de tener en cuenta para dar una respuesta a
la carta de la señora, la información que debes de tener y redactar una carta atendiendo a
sus peticiones.
SOLUCIÓN: 1. Debemos identificarla dentro de nuestros sistemas y cancelarla, y eliminar su
información de la lista de email, y la de correo postal.
2. La carta de respuesta debe atender los extremos que solicita:
● Identificar la fuente de sus datos.
● La identificación de que hemos borrado sus datos de nuestro sistema para que
no reciba publicidad.
● Indicarle que solo conservaremos la información relacionada con su petición
para posibles reclamaciones.
En el caso de que los datos no se obtengan del propio interesado, por proceder de alguna
cesión legítima, o de fuentes de acceso público, el Responsable informará a las personas
interesadas dentro de un plazo razonable, pero, en cualquier caso:
● antes de un mes desde que se obtuvieron los datos personales,
● antes o en la primera comunicación con el interesado,
● antes de que los datos, en su caso, se hayan comunicado a otros destinatarios
Esta obligación se debe cumplir sin necesidad de requerimiento alguno, y el responsable
deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.
Definición: Con arreglo al artículo 4 RGPD el consentimiento del interesado es: “toda
manifestación de voluntad libre, especifica, informada e inequívoca por la que el interesado
acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de
datos personales que le concierne”.
El artículo 7 del RGPD establece las condiciones en las que debe ser prestado el
consentimiento. En concreto:
1. Cuando el tratamiento se base en el consentimiento del interesado, el
responsable deberá ser capaz de demostrar que aquel consintió el tratamiento
de sus datos personales.
“El consentimiento debe darse mediante un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada, e inequívoca del interesado de
aceptar el tratamiento de datos de carácter personal que le conciernen, como una
declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto
podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos
para la utilización de servicios de la sociedad de la información, o cualquier otra declaración
o conducta que indique claramente en este contexto que el interesado acepta la propuesta
de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la
inacción no deben constituir consentimiento. El consentimiento debe darse para todas las
actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el
tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el
consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos,
la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para
el que se presta”.
¿Qué puede entenderse, a efectos prácticos, por esos parámetros técnicos para
utilización de servicios de sociedad de la información?
“La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya
iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente
Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el
tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es
necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el
consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el
responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente
Reglamento”.
Los datos de los niños merecen una alusión especial, debido a que pueden no ser tan
conscientes de sus derechos y de los peligros o efectos de los tratamientos de sus datos.
Requisitos específicos
2. Asegurar que los plazos mínimos de conservación sean menores a los previstos
para un adulto.
Soy fotógrafo, ¿puedo exponer las fotos de los niños/as en el escaparate? ¿y en una
página web?
Igualmente, la publicación en una página web de las fotos de los menores constituye una
cesión o comunicación de datos de carácter personal, definida como “Toda revelación de
datos realizada a una persona distinta del interesado” y requiere el consentimiento, en los
términos antes señalados, del afectado o de sus padres si se trata de un menor de 13 años.
En relación con las fotografías no existen novedades específicas en el RGPD. Tan sólo se
introduce una aclaración sobre los datos biométricos. El uso de sistemas biométricos
deberá, en primer lugar, disponer de una evaluación de impacto. En segundo lugar, dado
que se tratan datos de carácter sensible, se deberá disponer de mayor protección por parte
del responsable y el encargado, en su caso, del tratamiento. Y, en tercer lugar, se deberá
disponer del consentimiento expreso del interesado.
La imagen de una persona precisamente fusiona varios elementos identificativos que hacen
que sea única y distinta del resto sin necesidad de más información. Esa imagen alude
también a datos especialmente protegidos, como la raza, religión, circunstancias especiales
físicas o de salud, etc.
No. La ley establece que los datos de carácter personal objeto del tratamiento sólo podrán
ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con
las funciones legítimas del cedente y del cesionario con el previo consentimiento del
interesado. Será necesario que el centro solicite el consentimiento previo e informado para
poder comunicar los datos a la AMPA.
ARTÍCULO EL PAÍS.COM 27/11/2017:
Las dudas que despierta este tema son tan frecuentes que la Agencia de Protección de
Datos acaba de editar una guía práctica.
Elia (10 años) pasó los dos primeros cursos de Primaria sin salir en las fotos del colegio. Su
madre (una servidora) se negó a firmar la autorización que reclamaba el centro para poder
hacérselas y posteriormente publicarlas en la web. Cada vez que había una excursión y
tocaba foto de grupo, la profesora cogía a Elia de la mano y la separaba. Al final, era la niña
quien huía de las instantáneas: “Esperad, esperad, que yo no puedo salir en las fotos”,
decía. Era la única. Cuando la profesora pasaba por WhatsApp las fotos de las excursiones,
tampoco estaba. Aunque decía que no le importaba, yo intuía que sí, que no le gustaba eso
de que la separaran del grupo. Así que llegó el momento de claudicar: firmé la autorización
en los cursos siguientes. Ahora sale en las fotos y hasta posa, aunque el colegio también
sabe que no me gusta que se publiquen en la web. La cuestión es, ¿existen soluciones que
no marginen al niño? Según explica Georgina Sáez, psicóloga de Isep Clinic, centro
especializado en el asesoramiento a padres y educadores, excluir al niño del grupo puede
repercutir negativamente en su estado emocional porque se siente distinto a sus iguales y,
con el tiempo, puede afectar al aprendizaje. Reconoce que no es un tema fácil de resolver:
“La solución para el niño sería salir en el grupo con todos y no sentirse diferente. Algunos
colegios pixelan la cara para que el niño pueda ponerse en la foto, sin desvelar su
identidad”.
La Ley protege especialmente la imagen de los menores: “Se prohíbe la difusión de datos o
imágenes referidos a menores de edad en los medios de comunicación cuando sea
contrario a su interés, incluso cuando conste el consentimiento del menor”. Y a esto hay que
sumar la Ley de Protección de Datos de Carácter Personal, cuyo cumplimiento está en
manos de la Agencia Española de Protección de Datos: “Datos de carácter personal:
cualquier información concerniente a personas físicas identificadas o identificables. Los
interesados a los que se soliciten datos personales deberán ser previamente informados de
modo expreso”. En el caso de los menores de 13años, la Agencia deja claro que debe
pedirse el consentimiento de los padres o tutores, de ahí que los colegios reclamen la
autorización por escrito para poder hacer fotos a los niños y publicarlas posteriormente en la
revista escolar o la página web. Pero existen excepciones: cuando las imágenes se realizan
únicamente con fines educativos, como trabajos escolares o evaluaciones, el centro no está
obligado a pedir autorización. “Pero es requisito indispensable que esas imágenes sean con
fines educativos y no salgan de la esfera educativa”.
En caso de que los padres no autoricen a que la imagen de su hijo se publique en la web,
las redes sociales o la revista escolar, según explica Morales, “el centro está obligado a
poner los medios menos invasivos, como puede ser colocar al niño en un lugar de la foto
que sea menos visible y que le haga no identificable, o utilizar técnicas de pixelado o
difuminado antes de publicar la foto. No es necesario realizar actos discriminatorios, como
apartarle de la foto”, recalca. ¿Y si se publica la foto sin el consentimiento? Se puede acudir
a la Agencia Española de Protección de Datos para que aclare si existe infracción y obligue
a eliminar el material publicado. Aunque, en situaciones de conflicto, se recomienda una
solución entre las partes: “La parte afectada debe solicitar la eliminación de las imágenes
publicadas a la parte “infractora” por no mediar consentimiento expreso”.
Una de las cuestiones que genera más problemáticas cuando se acercan las funciones de
Navidad o fin de curso, es si los padres pueden o no tomar fotos de los eventos organizados
en el centro escolar. Pues bien, la Agencia Española de Protección de Datos es clara: “Sí.
En estos casos la grabación de las imágenes suele corresponder a una actividad
exclusivamente personal y doméstica, es decir, aquellas que se inscriben en el marco de la
vida privada, familiar y de amistad, que están excluidas de la aplicación de la normativa de
protección de datos”. Pero también advierte que, si esas imágenes se difunden fuera del
ámbito privado, familiar y de amistad, por ejemplo, mediante su publicación en Internet, los
familiares asumirán la responsabilidad. Un punto que desconocen muchos padres. “Sería
conveniente que el centro informase a los familiares de su responsabilidad en caso de que
las imágenes fueran divulgadas en entornos abiertos”, dice la Agencia. Incluso, si hay
padres que se niegan a que les hagan fotos a sus hijos en los actos organizados por el
colegio, el organismo aclara que ni se debe cancelar el evento ni se debe prohibir la toma de
imágenes.
Cuándo hay delito
No es lo mismo una foto de una actuación Navideña que una imagen en la que el niño
aparece en la ducha o en situación de maltrato. La cosa cambia si el contenido de las
imágenes daña la intimidad del menor: “En caso de que se grabe a un niño desnudo dentro
del colegio, en las duchas o los vestuarios, o si las fotos muestran acoso o maltrato, hay que
denunciarlo ante los cuerpos de seguridad”, informan fuentes de la Policía Nacional. “El
Código Penal castiga con una pena de prisión de tres meses a un año o multa de seis a
doce meses (el juez fija el importe) a quien, sin autorización de la persona afectada, difunda,
revele o ceda a terceros imágenes o grabaciones audiovisuales, cuando la divulgación
menoscabe gravemente la intimidad personal de esa persona”.
Los datos de los niños merecen una alusión especial, debido a que pueden no ser tan
conscientes de sus derechos y de los peligros o efectos de los tratamientos de sus datos.
Requisitos específicos
2. Asegurar que los plazos mínimos de conservación sean menores a los previstos
para un adulto.
Soy fotógrafo, ¿puedo exponer las fotos de los niños/as en el escaparate? ¿y en una
página web?
Igualmente, la publicación en una página web de las fotos de los menores constituye una
cesión o comunicación de datos de carácter personal, definida como “Toda revelación de
datos realizada a una persona distinta del interesado” y requiere el consentimiento, en los
términos antes señalados, del afectado o de sus padres si se trata de un menor de 13 años.
En relación con las fotografías no existen novedades específicas en el RGPD. Tan sólo se
introduce una aclaración sobre los datos biométricos. El uso de sistemas biométricos
deberá, en primer lugar, disponer de una evaluación de impacto. En segundo lugar, dado
que se tratan datos de carácter sensible, se deberá disponer de mayor protección por parte
del responsable y el encargado, en su caso, del tratamiento. Y, en tercer lugar, se deberá
disponer del consentimiento expreso del interesado.
La imagen de una persona precisamente fusiona varios elementos identificativos que hacen
que sea única y distinta del resto sin necesidad de más información. Esa imagen alude
también a datos especialmente protegidos, como la raza, religión, circunstancias especiales
físicas o de salud, etc.
No. La ley establece que los datos de carácter personal objeto del tratamiento sólo podrán
ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con
las funciones legítimas del cedente y del cesionario con el previo consentimiento del
interesado. Será necesario que el centro solicite el consentimiento previo e informado para
poder comunicar los datos a la AMPA.
ARTÍCULO EL PAÍS.COM 27/11/2017:
Las dudas que despierta este tema son tan frecuentes que la Agencia de Protección de
Datos acaba de editar una guía práctica.
Elia (10 años) pasó los dos primeros cursos de Primaria sin salir en las fotos del colegio. Su
madre (una servidora) se negó a firmar la autorización que reclamaba el centro para poder
hacérselas y posteriormente publicarlas en la web. Cada vez que había una excursión y
tocaba foto de grupo, la profesora cogía a Elia de la mano y la separaba. Al final, era la niña
quien huía de las instantáneas: “Esperad, esperad, que yo no puedo salir en las fotos”,
decía. Era la única. Cuando la profesora pasaba por WhatsApp las fotos de las excursiones,
tampoco estaba. Aunque decía que no le importaba, yo intuía que sí, que no le gustaba eso
de que la separaran del grupo. Así que llegó el momento de claudicar: firmé la autorización
en los cursos siguientes. Ahora sale en las fotos y hasta posa, aunque el colegio también
sabe que no me gusta que se publiquen en la web. La cuestión es, ¿existen soluciones que
no marginen al niño? Según explica Georgina Sáez, psicóloga de Isep Clinic, centro
especializado en el asesoramiento a padres y educadores, excluir al niño del grupo puede
repercutir negativamente en su estado emocional porque se siente distinto a sus iguales y,
con el tiempo, puede afectar al aprendizaje. Reconoce que no es un tema fácil de resolver:
“La solución para el niño sería salir en el grupo con todos y no sentirse diferente. Algunos
colegios pixelan la cara para que el niño pueda ponerse en la foto, sin desvelar su
identidad”.
La Ley protege especialmente la imagen de los menores: “Se prohíbe la difusión de datos o
imágenes referidos a menores de edad en los medios de comunicación cuando sea
contrario a su interés, incluso cuando conste el consentimiento del menor”. Y a esto hay que
sumar la Ley de Protección de Datos de Carácter Personal, cuyo cumplimiento está en
manos de la Agencia Española de Protección de Datos: “Datos de carácter personal:
cualquier información concerniente a personas físicas identificadas o identificables. Los
interesados a los que se soliciten datos personales deberán ser previamente informados de
modo expreso”. En el caso de los menores de 13años, la Agencia deja claro que debe
pedirse el consentimiento de los padres o tutores, de ahí que los colegios reclamen la
autorización por escrito para poder hacer fotos a los niños y publicarlas posteriormente en la
revista escolar o la página web. Pero existen excepciones: cuando las imágenes se realizan
únicamente con fines educativos, como trabajos escolares o evaluaciones, el centro no está
obligado a pedir autorización. “Pero es requisito indispensable que esas imágenes sean con
fines educativos y no salgan de la esfera educativa”.
En caso de que los padres no autoricen a que la imagen de su hijo se publique en la web,
las redes sociales o la revista escolar, según explica Morales, “el centro está obligado a
poner los medios menos invasivos, como puede ser colocar al niño en un lugar de la foto
que sea menos visible y que le haga no identificable, o utilizar técnicas de pixelado o
difuminado antes de publicar la foto. No es necesario realizar actos discriminatorios, como
apartarle de la foto”, recalca. ¿Y si se publica la foto sin el consentimiento? Se puede acudir
a la Agencia Española de Protección de Datos para que aclare si existe infracción y obligue
a eliminar el material publicado. Aunque, en situaciones de conflicto, se recomienda una
solución entre las partes: “La parte afectada debe solicitar la eliminación de las imágenes
publicadas a la parte “infractora” por no mediar consentimiento expreso”.
Una de las cuestiones que genera más problemáticas cuando se acercan las funciones de
Navidad o fin de curso, es si los padres pueden o no tomar fotos de los eventos organizados
en el centro escolar. Pues bien, la Agencia Española de Protección de Datos es clara: “Sí.
En estos casos la grabación de las imágenes suele corresponder a una actividad
exclusivamente personal y doméstica, es decir, aquellas que se inscriben en el marco de la
vida privada, familiar y de amistad, que están excluidas de la aplicación de la normativa de
protección de datos”. Pero también advierte que, si esas imágenes se difunden fuera del
ámbito privado, familiar y de amistad, por ejemplo, mediante su publicación en Internet, los
familiares asumirán la responsabilidad. Un punto que desconocen muchos padres. “Sería
conveniente que el centro informase a los familiares de su responsabilidad en caso de que
las imágenes fueran divulgadas en entornos abiertos”, dice la Agencia. Incluso, si hay
padres que se niegan a que les hagan fotos a sus hijos en los actos organizados por el
colegio, el organismo aclara que ni se debe cancelar el evento ni se debe prohibir la toma de
imágenes.
No es lo mismo una foto de una actuación Navideña que una imagen en la que el niño
aparece en la ducha o en situación de maltrato. La cosa cambia si el contenido de las
imágenes daña la intimidad del menor: “En caso de que se grabe a un niño desnudo dentro
del colegio, en las duchas o los vestuarios, o si las fotos muestran acoso o maltrato, hay que
denunciarlo ante los cuerpos de seguridad”, informan fuentes de la Policía Nacional. “El
Código Penal castiga con una pena de prisión de tres meses a un año o multa de seis a
doce meses (el juez fija el importe) a quien, sin autorización de la persona afectada, difunda,
revele o ceda a terceros imágenes o grabaciones audiovisuales, cuando la divulgación
menoscabe gravemente la intimidad personal de esa persona”.
4. Por su parte, los Estados miembros podrán mantener o introducir condiciones adicionales,
inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o
datos relativos a la salud.
Este artículo 9 RGPD ostenta una importancia mayúscula en lo que a los tratamientos de
datos personales se refiere, ya que no se tratan de datos personales básicos sino de lo que
anterior legislación denominaba datos sensibles, ahora categorías especiales de datos
personales con arreglo a la terminología del RGPD. El apartado 1 establece una prohibición
general al tratamiento de datos personales que releven este tipo de datos, si bien el
apartado 2 establece una serie de excepciones por las que sí se podrán ser de aplicación.
Habrá que atender específicamente a cada caso concreto por la grave vulneración que se
podrían producir en relación con los derechos fundamentales de la persona.
A tener en cuenta:
4.8 Resumen
En esta unidad se ha analizado el consentimiento que se precisa para el tratamiento de los
datos junto con situaciones específicas de tratamiento de datos, respecto de las que los
Estados miembros podrán identificar las condiciones para que dicho tratamiento sea
considerado lícito.
Por último, conviene tener en cuenta otros tratamientos de datos personales que el RGPD
recoge al final de su articulado como los que tienen fines de investigación científica o
histórica con fines estadísticos y el tratamiento y acceso del público a documentos oficiales,
entre otros.
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o
varios fines específicos;
el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte
o para la aplicación a petición de este de medidas precontractuales;
el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona
física;
el tratamiento es necesario para el cumplimiento de una misión realizada en interés público
o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado
por las autoridades públicas en el ejercicio de sus funciones.
5.5 Resumen
En esta unidad hemos visto diferentes elementos que tienen gran relevancia con el nuevo
RGPD:
● Los principios de legitimación por los que se rigen los tratamientos de datos
personales: licitud, leal y transparencia; limitación de la finalidad; minimización
de datos; exactitud; limitación del plazo de conservación; integridad y
confidencialidad; y responsabilidad proactiva.
● Las bases de legitimación por las que un tratamiento de datos será lícito:
consentimiento; ejecución de un contrato; cumplimiento de una obligación legal;
proteger intereses vitales; misión realizada en interés público o ejercicio de
poderes públicos; e interés legítimo.
La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser
posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.
En este tema hemos analizado la evaluación del impacto como otra de las novedades del
RGPD. La evaluación del impacto se configura como una herramienta que debe llevar a
cabo el responsable del tratamiento, siempre y cuando un determinado sistema de
información, producto o servicio presente un alto riesgo para los derechos y libertades de las
personas físicas.
Hemos analizado los supuestos en los que el RGPD considera obligatorio realizar una
evaluación del impacto y los supuestos en los que es recomendable, así como las distintas
fases por las que pasa un Evaluación de Impacto.
Para ello hemos acudido a lo establecido en los artículos 35 y 36 del RGPD y, además,
hemos hecho alusión al contenido íntegro de la Guía de la Agencia Española de Protección
de Datos sobre evaluaciones de impacto.
ISO/IEC 27001
Esta norma ISO (que es certificable para las empresas) define los requisitos para establecer,
implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI) documentado en el contexto de los riesgos de una
organización empresarial en general. Es aplicable a todo tipo de organizaciones tanto
públicas como privadas independientemente de su área de actividad o tamaño.
La norma ISO 27002 detalla varios controles (medidas tanto organizativas como técnicas) a
la hora de implementar un SGSI. Se agrupa en 14 apartados que comprenden las medidas
de seguridad según su naturaleza y contempla aspectos organizativos, técnicos, la
protección física de elementos o el cumplimiento legal o contractual.
La organización de cada una de estas áreas se estructura con base en la definición de unos
objetivos de seguridad que deben lograrse, indicando, para ello, cuáles son los controles o
salvaguardas que deben aplicarse. Por tanto, este catálogo de medidas de seguridad se
orienta a satisfacer unas necesidades de gestión del riesgo y define cuáles serían las
mejores prácticas que deberían ponerse en marcha para lograrlo. Por cada control, la ISO
27002 proporciona una guía de implantación, que proporciona recomendaciones o detalles
de que en qué debiera consistir la puesta en marcha del control. A efectos de cumplimiento
y certificación de la norma, sólo el texto vinculado al control es de obligado cumplimiento.
La ISO 27701 especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un Sistema de Gestión de Información de Privacidad (PIMS). Esta normativa
se basa en los requisitos, controles y objetivos de la norma ISO 27001: Requisitos de
Sistemas de Gestión de Seguridad de la Información (SGSI).
Este estándar describe un marco para ayudar a reducir los riesgos de privacidad en los
tratamientos de datos personales o información de identificación personal, es decir, de
aquella información o datos que identifican o podrían servir para identificar a una persona.
Esta norma está diseñada para su uso por responsables y encargados del tratamiento de
datos personales.
Además, cuenta con un anexo que mapea los distintos controles con el RGPD. Estas son
algunas áreas en las que la ISO 27701 contribuye al trabajo de los responsables y
encargados de la protección de la privacidad:
● Aporta garantías de seguridad sobre los tratamientos de los datos personales.
● Incorpora la gestión de la privacidad en la gestión de riesgos de la empresa.
● Controla la existencia de mecanismos para la notificación de brechas de
seguridad.
● Establece roles y responsabilidades claras sobre los tratamientos.
● Mejora la gestión de contratos con encargados del tratamiento.
● Verifica el registro de actividades de los tratamientos.
● Contribuye a implementar la privacidad por diseño y por defecto en los
tratamientos.
● Garantiza que se permita a los propietarios de los datos personales el ejercicio
de sus derechos sobre los mismos.
● Aporta transparencia a los accionistas y eficacia a la hora de gestionar los
tratamientos de datos personales.
Las empresas que hayan implementado en su organización la norma ISO 27001 podrán
utilizar esta nueva norma ISO 27701 para reforzar o extender los esfuerzos en preservar la
privacidad de los datos que manejan, ampliando el alcance de su sistema de gestión. Esto
ayudará a mejorar la reputación e imagen de la empresa, puesto que refuerza su
compromiso con la seguridad de la información y con el cumplimiento de las leyes en
materia de protección de datos, como es el RGPD o la LOPDGDD, lo que sin duda se
convertirá en una ventaja competitiva.
Medidas organizativas
● Política de Seguridad y procedimientos para la protección de datos
personales. La política de seguridad es un documento de alto nivel que
establece los principios básicos para la seguridad y protección de datos
personales en una organización. Constituye la base para la implementación de
todas las medidas técnicas y organizativas específicas.
● Roles y responsabilidades. Todas las personas de la organización con acceso
a datos personales deben tener responsabilidades claramente definidas y
documentadas, roles y una base de necesidad de conocimiento (revisado
regularmente).
● Política de control de acceso. Cada rol/usuario solo deberá tener nivel de
acceso a los datos personales que sea estrictamente necesario para la
realización de sus tareas relevantes.
● Gestión de activos. La gestión adecuada de hardware, software y recursos de
red es esencial para la seguridad de los datos personales, ya que permite el
control de los medios empleados en el tratamiento.
● Gestión del cambio. Tiene como objetivo sincronizar y controlar todos los
cambios realizados en el sistema de TI utilizado para el tratamiento de datos
personales.
● Relaciones con proveedores. El responsable del tratamiento utilizará
únicamente proveedores que proporcionen garantías suficientes para aplicar
medidas técnicas y organizativas adecuadas.
● Gestión de incidentes/violaciones de la seguridad de los datos. La
organización debe evaluar si esto conduce a una destrucción, pérdida,
alteración, divulgación no autorizada o acceso a datos personales transmitidos,
almacenados o procesados de forma no oficial o accidental.
● Continuidad de negocio. Es esencial para determinar los procesos y medidas
técnicas que la organización debe seguir en caso de una infracción de datos
personales o incidente. Como tal, complementa a la política de seguridad de la
organización, así como su plan de respuesta a la incidencia.
● Confidencialidad del personal. La organización debe garantizar que sus
empleados también brinden suficientes garantías de confidencialidad, tanto en
términos de experiencia técnica como de integridad personal. Se deben
implementar medidas específicas para asegurar que el personal involucrado en
el tratamiento de datos personales esté debidamente informado sobre su deber
de confidencialidad, así como para garantizar que este deber esté
suficientemente estipulado en las políticas de recursos humanos de la
organización.
Medidas técnicas
● Control de acceso y autenticación. Son medidas de seguridad básicas para la
protección contra el acceso no autorizado al sistema de TI utilizado para el
tratamiento de datos personales.
● Registros de actividad y monitorización. El uso de archivos de registro es
una medida de seguridad esencial que permite la identificación y el seguimiento
de las acciones del usuario respaldando así la responsabilidad en caso de
divulgación no autorizada, modificación o destrucción de datos personales.
● Seguridad de los datos almacenados. Esta categoría de medidas se relaciona
principalmente con el tratamiento de datos personales en bases de datos u
otros sistemas relevantes. El RGPD reconoce la capacidad de la
seudonimización para ayudar a proteger los derechos de las personas a la vez
que permite la utilidad de los datos.
● Seguridad de redes y comunicaciones. La seguridad de la red es importante
para la protección de los datos personales, tanto con respecto a las conexiones
externas como a la interconexión con otros sistemas de la organización.
● Copias de respaldo. Es un medio esencial para recuperarse frente a la pérdida
o destrucción de datos. La frecuencia y naturaleza de la copia de seguridad
dependerá, entre otros factores, del tipo de tratamiento, la valoración del
impacto en el negocio en caso de pérdida y de la naturaleza de los datos que se
procesan.
● Dispositivos móviles y portátiles. Estos dispositivos pueden ampliar el nivel
de servicios ofrecidos por el responsable de datos, pero aumentan la exposición
al robo y la pérdida accidental. Se debe tener especial cuidado para garantizar
que los datos corporativos no se vean comprometidos.
● Seguridad en el ciclo de vida de la aplicación. Durante todas las fases del
ciclo de vida de desarrollo de la aplicación, la organización debe garantizar que
se tenga en cuenta el cumplimiento de la protección de datos, incluida la
seguridad de los datos personales.
● Eliminación de los datos. El objetivo del borrado es eliminar o destruir
irreversiblemente los datos personales para que no se puedan recuperar. Al
desechar equipo obsoleto o redundante, el responsable de datos debe
asegurarse de que todos los datos almacenados previamente en los dispositivos
hayan sido borrados antes de su eliminación.
● Seguridad física. La seguridad física es igualmente importante para las
medidas de seguridad orientadas a la tecnología, ya que el acceso físico al
sistema de información puede ser la base de la estrategia general de seguridad.
El marco internacional de referencia en materia de Gobierno de las Tecnologías de la
Información (TI) queda establecido por la norma ISO 38500:2008. Esta norma resulta muy
útil para determinar los criterios de un buen gobierno de los procesos y decisiones
empresariales relacionados con el uso de los sistemas de información.
La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que
los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que
debe informarse a las personas acerca del tratamiento de sus datos optándose,
específicamente en el ámbito de internet, por un sistema de información por capas que
permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del
tratamiento, pudiendo acceder a los restantes a través de un enlace directo.
En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar
consentimiento de manera autónoma. También se regula expresamente el derecho a
solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad
de la información por el propio menor o por terceros durante su minoría de edad.
La Ley refuerza, como propuso la Agencia, las obligaciones del sistema educativo para
garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola
de forma específica en los currículums académicos y exigiendo que el profesorado reciba
una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo
de un año desde la entrada en vigor de la Ley un proyecto de ley dirigido específicamente a
garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la
inclusión de dicha formación en los currículums.
Por otra parte, la Agencia ha propuesto que se recogieran en la Ley los sistemas de
denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una
entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la
normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan
acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este
modo, la Ley dota a las empresas de un mecanismo que les permite conciliar su propio
derecho con el derecho a la protección de datos de las personas.
Además, la Ley actualiza las garantías del derecho a la intimidad frente al uso de
dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo,
refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos
digitales puestos a disposición de los empleados, complementando la regulación del
derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral,
de los que deberán ser informados.
Por último, se modifica la Ley de competencia desleal, regulando como prácticas agresivas
las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con
el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de
ínfima calidad a las empresas.
Antecedentes Legislativos
En los últimos anos de la pasada década se intensificaron los impulsos tendentes a lograr
una regulación más uniforme del derecho fundamental a la protección de datos en el marco
de una sociedad cada vez más globalizada. Así́, se fueron adoptando en distintas instancias
internacionales propuestas para la reforma del marco vigente. Y en este marco la Comisión
lanzó el 4 de noviembre de 2010 su Comunicación titulada «Un enfoque global de la
protección de los datos personales en la Unión Europea», que constituye el germen de la
posterior reforma del marco de la Unión Europea. Al propio tiempo, el Tribunal de Justicia de
la Unión ha venido adoptando a lo largo de los últimos años una jurisprudencia que resulta
fundamental en su interpretación.
El último hito en esta evolución tuvo lugar con la adopción del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general
de protección de datos), así́ como de la Directiva (UE) 2016/680 del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por parte de las autoridades competentes para
fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de
ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se
deroga la Decisión Marco 2008/977/JAI del Consejo.
El Reglamento general de protección de datos pretende con su eficacia directa superar los
obstáculos que impidieron la finalidad armonizadora de la Directiva 95/46/CE del Parlamento
Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos
datos. La transposición de la Directiva por los Estados miembros se ha plasmado en un
mosaico normativo con perfiles irregulares en el conjunto de la Unión Europea lo que, en
último extremo, ha conducido a que existan diferencias apreciables en la protección de los
derechos de los ciudadanos.
El Reglamento general de protección de datos supone la revisión de las bases legales del
modelo europeo de protección de datos más allá́ de una mera actualización de la vigente
normativa. Procede a reforzar la seguridad jurídica y transparencia a la vez que permite que
sus normas sean especificadas o restringidas por el Derecho de los Estados miembros en la
medida en que sea necesario por razones de coherencia y para que las disposiciones
nacionales sean comprensibles para sus destinatarios. Así́, el Reglamento general de
protección de datos contiene un buen número de habilitaciones, cuando no imposiciones, a
los Estados miembros, a fin de regular determinadas materias, permitiendo incluso en su
considerando 8, y a diferencia de lo que constituye principio general del Derecho de la Unión
Europea que, cuando sus normas deban ser especificadas, interpretadas o,
excepcionalmente, restringidas por el Derecho de los Estados miembros, estos tengan la
posibilidad de incorporar al Derecho nacional previsiones contenidas específicamente en el
reglamento, en la medida en que sea necesario por razones de coherencia y comprensión.
En este punto hay que subrayar que no se excluye toda intervención del Derecho interno en
los ámbitos concernidos por los reglamentos europeos. Al contrario, tal intervención puede
ser procedente, incluso necesaria, tanto para la depuración del ordenamiento nacional como
para el desarrollo o complemento del reglamento de que se trate. Así́, el principio de
seguridad jurídica, en su vertiente positiva, obliga a los Estados miembros a integrar el
ordenamiento europeo en el interno de una manera lo suficientemente clara y pública como
para permitir su pleno conocimiento tanto por los operadores jurídicos como por los propios
ciudadanos, en tanto que, en su vertiente negativa, implica la obligación para tales Estados
de eliminar situaciones de incertidumbre derivadas de la existencia de normas en el Derecho
nacional incompatibles con el europeo. De esta segunda vertiente se colige la consiguiente
obligación de depurar el ordenamiento jurídico. En definitiva, el principio de seguridad
jurídica obliga a que la normativa interna que resulte incompatible con el Derecho de la
Unión Europea quede definitivamente eliminada «mediante disposiciones internas de
carácter obligatorio que tengan el mismo valor jurídico que las disposiciones internas que
deban modificarse» (Sentencias del Tribunal de Justicia de 23 de febrero de 2006, asunto
Comisión vs. España; de 13 de julio de 2000, asunto Comisión vs. Francia; y de 15 de
octubre de 1986, asunto Comisión vs. Italia). Por último, los reglamentos, pese a su
característica de aplicabilidad directa, en la práctica pueden exigir otras normas internas
complementarias para hacer plenamente efectiva su aplicación. En este sentido, más que de
incorporación cabría hablar de «desarrollo» o complemento del Derecho de la Unión
Europea.
La adaptación al Reglamento general de protección de datos, que será aplicable a partir del
25 de mayo de 2018, según establece su artículo 99, requiere, en suma, la elaboración de
una nueva ley orgánica que sustituya a la actual. En esta labor se han preservado los
principios de buena regulación, al tratarse de una norma necesaria para la adaptación del
ordenamiento español a la citada disposición europea y proporcional a este objetivo, siendo
su razón última procurar seguridad jurídica.
Internet, por otra parte, se ha convertido en una realidad omnipresente tanto en nuestra vida
personal como colectiva. Una gran parte de nuestra actividad profesional, económica y
privada se desarrolla en la Red y adquiere una importancia fundamental tanto para la
comunicación humana como para el desarrollo de nuestra vida en sociedad. Ya en los años
noventa, y conscientes del impacto que iba a producir Internet en nuestras vidas, los
pioneros de la Red propusieron elaborar una Declaración de los Derechos del Hombre y del
Ciudadano en Internet.
Hoy identificamos con bastante claridad los riesgos y oportunidades que el mundo de las
redes ofrece a la ciudadanía. Corresponde a los poderes públicos impulsar políticas que
hagan efectivos los derechos de la ciudadanía en Internet promoviendo la igualdad de los
ciudadanos y de los grupos en los que se integran para hacer posible el pleno ejercicio de
los derechos fundamentales en la realidad digital. La transformación digital de nuestra
sociedad es ya una realidad en nuestro desarrollo presente y futuro tanto a nivel social como
económico. En este contexto, países de nuestro entorno ya han aprobado normativa que
refuerza los derechos digitales de la ciudadanía.
Los constituyentes de 1978 ya intuyeron el enorme impacto que los avances tecnológicos
provocarían en nuestra sociedad y, en particular, en el disfrute de los derechos
fundamentales. Una deseable futura reforma de la Constitución debería incluir entre sus
prioridades la actualización de la Constitución a la era digital y, específicamente, elevar a
rango constitucional una nueva generación de derechos digitales. Pero, en tanto no se
acometa este reto, el legislador debe abordar el reconocimiento de un sistema de garantía
de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato
impuesto por el apartado cuarto del artículo 18 de la Constitución Española y que, en
algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y
europea.
Para conocer más en profundidad el objeto o la finalidad que trae consigo la nueva
normativa, hemos de analizarlo desde una doble perspectiva, recogida en las primeras
páginas de desarrollo del articulado.
En este sentido, cabe añadir que las comunidades autónomas ostentan competencias de
desarrollo normativo y ejecución del derecho fundamental a la protección de datos
personales en su ámbito de actividad y a las autoridades autonómicas de protección de
datos que se creen les corresponde contribuir a garantizar este derecho fundamental de la
ciudadanía. En segundo lugar, es también objeto de la ley garantizar los derechos digitales
de la ciudadanía, al amparo de lo dispuesto en el artículo 18.4 de la Constitución.
Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras
excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas
vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el
acceso a los mismos, así́ como su rectificación o supresión, en su caso con sujeción a las
instrucciones del fallecido. También excluye del ámbito de aplicación los tratamientos que se
rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga
la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria cuarta la
aplicación a estos tratamientos de la Ley Orgánica 15/1999, de 13 de diciembre, hasta que
se apruebe la citada normativa.
La nueva LOPDGDD tiene un doble objetivo, que más claramente podemos observarlos del
siguiente modo:
a) Adaptar la normativa española al RGPD y completar sus disposiciones. Asimismo, el
derecho fundamental a la protección de datos de las personas físicas deberá ejercerse
conforme a esta normativa creada para este fin.
Por otro lado, se recogen aquellos tratamientos a los que no se le aplica la ley:
● A los tratamientos ya mencionados por el RGPD, entre los que se incluyen los
que se llevan a cabo por las personas físicas en sus actividades personales o
domésticas, es decir, en su vida diaria.
Dentro de este punto es conveniente mencionar que aquellos tratamientos que, de forma
obligatoria no han de seguir los principios y normas recogidas en la LOPDGDD, sí deben
seguir lo que se establece en la normativa específica creadas para esas materias en
relación con la protección de datos.
Entre estos ámbitos podemos encontrarnos con los tratamientos vinculados a la normativa
del régimen electoral general, las instituciones penitenciarias, el Registro Civil y los
Registros de la Propiedad y Mercantiles.
● A los tratamientos de datos de personas fallecidas, aunque aquí debamos hacer
un estudio de lo que se establece en el articulado para el tratamiento de estos
datos:
La LOPDGDD otorga a un catálogo de personas que enumeraremos a continuación a
dirigirse al responsable o encargado de tratamiento con el objeto de solicitar el acceso,
rectificación o supresión de los datos personales relativos a la persona que fallece. Este
catálogo sería el siguiente:
● Las personas vinculadas al fallecido por razones familiares o de hecho.
● Sus herederos.
Como excepción: las personas a las que se refiere el párrafo anterior no podrán acceder a
los datos del fallecido, ni solicitar su rectificación o supresión, cuando ésta lo hubiese
prohibido expresamente o así́ lo establezca una ley. Aunque debe tenerse en cuenta que
dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter
patrimonial de la persona fallecida.
● Personas o instituciones a las que el fallecido hubiese designado
expresamente.
● Por el Ministerio Fiscal o representantes legales si se trata de fallecimiento de
menores o personas con discapacidad.
● A los tratamientos sometidos a la normativa sobre protección de materias
clasificadas.
En lo que respecta a la entrada en vigor de la LOPDGDD conviene mencionar las enormes
dificultades que atravesó su proceso legislativo debido a la falta de estabilidad política que
permitiera un adecuado desarrollo del poder legislativo con la finalidad de aprobar nuevas
normas. La LOPDGDD finalmente entró en vigor el 7 de diciembre de 2018, siendo
plenamente aplicable a partir de esa fecha, un día después de su publicación en el BOE el 6
de diciembre.