2.

3 El consentimiento del interesado

De acuerdo con la antigua LOPD, el consentimiento del interesado era “toda manifestación
de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen”. Sin embargo, con el nuevo
RGPD, se añade el requisito de que dicho consentimiento se otorgue “mediante una
declaración o una clara acción afirmativa”.

Así, en aquellos supuestos en los que sea necesario el consentimiento del interesado, ya no
cabe el consentimiento tácito que en ocasiones se permitía, especialmente en el ámbito de
internet, sino que debe haber una acción positiva por su parte. Por ejemplo, ya no se
entenderá otorgado el consentimiento por la simple navegación en una página web.
Tampoco se considera un consentimiento válido el silencio del interesado o cuando haya
que marcar unas casillas para prestar el consentimiento que ya estuvieran
preseleccionadas.

NOTA: Las cookies consiguen información sobre los hábitos de navegación del usuario, de
esta forma los servidores pueden monitorizar el comportamiento del mismo. Por eso las
páginas web que usan tecnología cookie tienen la obligación de informar al usuario para que
éste sepa que se está registrando información sobre su comportamiento en la red.

El RGPD menciona las cookies en el Considerando 30. En él señala que algunas cookies
pueden obtener información de una persona a través de su dispositivo, lo que se considera
un dato personal. En este caso, es necesario lograr el consentimiento por parte del usuario.

Sin embargo, no todas las cookies identifican usuarios, sino que algunas de ellas se utilizan
para servicios publicitarios, análisis, encuestas y chats. Las cookies publicitarias son
generalmente más intrusivas, ya que mientras las generales buscan el beneficio del usuario,
las publicitarias buscan el de terceros.

Todas las organizaciones con páginas web que necesiten recoger información de carácter
personal están obligadas a obtener el consentimiento del usuario. Ya sea a través de una
ventana emergente, en la página de bienvenida de la web o bien en la cabecera o en el pie
de la página, se ha de informar –de manera clara, completa y concisa– que se va a proceder
a la instalación de cookies. Para ello es importante tener en cuenta que:
Las casillas pre-marcadas no estarán permitidas y el consentimiento implícito ya no es
suficiente. En la mayoría de los casos –especialmente, si se trata de datos sensibles o
protegidos–, será necesario conseguir el consentimiento explícito del interesado, el cual no
debe dejar lugar a la libre interpretación. Los responsables de datos tendrán que asegurarse
de la obtención de dicho tratamiento de manera indiscutible.

No se pueden enviar comunicaciones electrónicas solo porque el interesado visite una web.
Según indica el RGPD, “el consentimiento a darse a través de una manifestación libre,
específica, informada e inequívoca, mediante la cual, el interesado acepta el tratamiento de
datos personales que le conciernen”. Debe ser fácil dar el consentimiento, pero también
retirarlo. El usuario debe encontrar cómodamente la opción de cancelar sus suscripciones,
eliminar sus cookies y dejar de recibir información.

La normativa actual requiere que el consentimiento sea explícito con respecto a datos de
carácter personal que hacen referencia al origen racial, a la salud y a la vida sexual,
ideología, afiliación sindical, religión y creencias. Esto se debe a que se tratan de categorías
especiales de datos personales cuyo tratamiento de datos, por norma general, están
prohibidos salvo que se dé alguna de las circunstancias que se establecen en el RGPD,
siendo una de ellas el consentimiento explícito.

Además, el RGPD detalla las condiciones para que sea aceptable el consentimiento de
menores, estableciendo un régimen especial para los menores de 16 años (y que los
Estados miembros pueden reducir hasta a los 13 años) en los que es necesario que el
consentimiento lo de o autorice el titular de la patria potestad o tutela sobre el niño.

En España, la LOPDGDD fija a los 14 años la edad del consentimiento del menor para el
tratamiento de sus datos personales, a pesar de que por habilitación del RGPD podría
haberlo reducido hasta los 13 años.
El RGPD refuerza la obligación del deber de información que ha de facilitarse al interesado
en el momento de la recogida de datos, introduciendo nuevos extremos que se refieren en el
artículo 13 del RGPD:

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del

tratamiento, en el momento en que estos se obtengan, le facilitará toda la información
indicada a continuación:
● la identidad y los datos de contacto del responsable y, en su caso, de su
representante;

● los datos de contacto del delegado de protección de datos, en su caso;

● los fines del tratamiento a que se destinan los datos personales y la base
jurídica del tratamiento;

● cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses

legítimos del responsable o de un tercero;

● los destinatarios o las categorías de destinatarios de los datos personales, en su

caso;

● en su caso, la intención del responsable de transferir datos personales a un

tercer país u organización internacional y la existencia o ausencia de una
decisión de adecuación de la Comisión, o, en el caso de las transferencias
indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo,
referencia a las garantías adecuadas o apropiadas y a los medios para obtener
una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento
facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente
información necesaria para garantizar un tratamiento de datos leal y transparente:
● el plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo;

● la existencia del derecho a solicitar al responsable del tratamiento el acceso a

los datos personales relativos al interesado, y su rectificación o supresión, o la
limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a
la portabilidad de los datos;

● cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el

artículo 9, apartado 2, letra a), la existencia del derecho a retirar el
consentimiento en cualquier momento, sin que ello afecte a la licitud del
tratamiento basado en el consentimiento previo a su retirada;
 ● el derecho a presentar una reclamación ante una autoridad de control;

● si la comunicación de datos personales es un requisito legal o contractual, o un

requisito necesario para suscribir un contrato, y si el interesado está obligado a
facilitar los datos personales y está informado de las posibles consecuencias de
que no facilitar tales datos;

● la existencia de decisiones automatizas, incluida la elaboración de perfiles, a

que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos,
información significativa sobre la lógica aplicada, así como la importancia y las
consecuencias previstas de dicho tratamiento para el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos
personales para un fin que no sea aquel para el que se recogieron, proporcionará al
interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y
cualquier información adicional pertinente a tenor del apartado 2.

4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en

que el interesado ya disponga de la información.
EJEMPLO: En el supuesto de que la recogida de datos se realice a través de una página
web, las obligaciones a las que acabamos de referirnos, suelen cumplirse mediante
formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso
legal” o “política de protección”. También es importante incluir algún tipo de “link” de este tipo
en relación con los derechos de los interesados de rectificación, cancelación, acceso y
oposición.

Uno de los puntos de la nueva normativa es que los datos que se recojan sean limitados, es
decir que sólo se recojan los que sean necesarios para la prestación del servicio. En el caso
de un formulario de registro será necesario un correo electrónico y un nombre para dirigirse
a la persona.

Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe
tener derecho a oponerse a dicho tratamiento, incluso a la elaboración de perfiles en la
medida en que esté relacionada con dicha mercadotecnia directa y ello en cualquier
momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado
y presentarse claramente y al margen de cualquier otra información.

El Reglamento también extiende y detalla, en su artículo 14, la información que debe

facilitarse cuando los datos personales no se hayan obtenido del interesado:
1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del
tratamiento le facilitará la siguiente información:
 ● la identidad y los datos de contacto del responsable y, en su caso, de su
representante;

● los datos de contacto del delegado de protección de datos, en su caso;

● los fines del tratamiento a que se destinan los datos personales, así como la
base jurídica del tratamiento;

● las categorías de datos personales de que se trate;

● los destinatarios o las categorías de destinatarios de los datos personales, en su

caso;

● en su caso, la intención del responsable de transferir datos personales a un

destinatario en un tercer país u organización internacional y la existencia o
ausencia de una decisión de adecuación de la Comisión, o, en el caso de las
transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1,
párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los
medios para obtener una copia de ellas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento
facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de
datos leal y transparente respecto del interesado:
● el plazo durante el cual se conservarán los datos personales o, cuando eso no
sea posible, los criterios utilizados para determinar este plazo;

● cuando el tratamiento se base en el artículo 6.1, letra f), los intereses legítimos
del responsable del tratamiento o de un tercero;

● la existencia del derecho a solicitar al responsable del tratamiento el acceso a

los datos personales relativos al interesado, y su rectificación o supresión, o la
limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a
la portabilidad de los datos;

● cuando el tratamiento esté basado en el artículo 6.1, letra a), o el artículo 9.2,
letra a), la existencia del derecho a retirar el consentimiento en cualquier
momento, sin que ello afecte a la licitud del tratamiento basada en el
consentimiento antes de su retirada;

● el derecho a presentar una reclamación ante una autoridad de control;

● la fuente de la que proceden los datos personales y, en su caso, si proceden de

fuentes de acceso público;

● la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a

que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos,
 información significativa sobre la lógica aplicada, así como la importancia y las
consecuencias previstas de dicho tratamiento para el interesado.
3. El responsable del tratamiento facilitará la información indicada en sus apartados 1 y 2:
● dentro de un plazo razonable, una vez obtenidos los datos personales, y a más
tardar dentro de un mes, habida cuenta de las circunstancias específicas en las
que se traten dichos datos;

● si los datos personales han de utilizarse para comunicación con el interesado, a

más tardar en el momento de la primera comunicación a dicho interesado, o si
está previsto comunicarlos a otro destinatario, a más tardar en el momento en
que los datos personales sean comunicados por primera vez.
4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos
personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al
interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra
información pertinente indicada en el apartado 2.

5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en

que:
● el interesado ya disponga de la información;

● la comunicación de dicha información resulte imposible o suponga un esfuerzo

desproporcionado, en particular para el tratamiento con fines de archivo en
interés público, fines de investigación científica o histórica o fines estadísticos, a
reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o
en la medida en que la obligación mencionada en el apartado 1 del presente
artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos
de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas
para proteger los derechos, libertades e intereses legítimos del interesado,
inclusive haciendo pública la información;

● la obtención o la comunicación esté expresamente establecida por el Derecho

de la Unión o de los Estados miembros que se aplique al responsable del
tratamiento y que establezca medidas adecuadas para proteger los intereses
legítimos del interesado, o

● cuando los datos personales deban seguir teniendo carácter confidencial sobre
la base de una de secreto profesional regulada por el Derecho de la Unión o de
los Estados miembros, incluida una obligación de secreto de naturaleza
estatutaria.
OBLIGACIONES DE LA EMPRESA
En primer lugar, las empresas y organizaciones que empleen a más de 250 personas, las
que traten datos de manera frecuente, de manera que pueda entrañar un riesgo para los
derechos y libertades, o incluyan datos personales especialmente protegidos o relativos a
condenas e infracciones penales, deberán tener un registro de las actividades de
tratamiento efectuadas bajo su responsabilidad. Este registro interno que tienen que
efectuar tanto responsables como encargados de tratamiento deberá realizarse por escrito,
y contener información detallada acerca de cada tratamiento de datos que realicen.
El RGPD diferencia el contenido dependiendo de si el Registro lo realiza el Responsable del
tratamiento o el Encargado del tratamiento.

Registro del Responsable del tratamiento

Si ese registro se realiza por el Responsable del tratamiento debe contener:

● Identificación y datos de contacto de responsable, corresponsable,
representante y delegado de protección de datos.
● Fines del tratamiento.
● Descripción de categorías de interesados y datos.
● Categorías de destinatarios existentes o previstos (inclusive en terceros países
u organizaciones internacionales).
● Transferencias internacionales de datos y documentación de garantías para
transferencias de datos internacionales exceptuadas sobre base de intereses
legítimos imperiosos.
Cuando sea posible:
● Plazos previstos para supresión de datos.
● Descripción general de medidas de seguridad:
● Seudonimización y cifrado de datos personales.
● Capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
● Restaurar la disponibilidad y el acceso a los datos personales de forma rápida
en caso de incidente físico o técnico.
● Proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Registro del Encargado del tratamiento

El registro que debe llevar el encargado debe contener la siguiente información:

● Identificación y datos de contacto del encargado, de cada responsable por
cuenta del cual actúe, del representante del encargado o del responsable, y del
delegado de protección de datos.
● Las categorías de los tratamientos efectuados por cuenta del responsable.
● Transferencias internacionales de datos y documentación de garantías para
transferencias de datos internacionales exceptuadas sobre base de intereses
legítimos imperiosos.
 ● Cuando sea posible, una descripción general de medidas de seguridad.

EJEMPLO: Veamos ejemplos de preguntas frecuentes:

○ ¿Cómo debo elaborar el Registro de actividades de

tratamiento?
● Los responsables o los encargados del tratamiento deberán mantener registros
de las actividades de tratamiento que se encuentren bajo su responsabilidad.
Ambos se encuentran obligados a cooperar con la autoridad de control y a
poner a su disposición, previa solicitud, dichos registros de modo que puedan
servir para supervisar las operaciones de tratamiento.

Estos registros deben constar siempre por escrito, aunque también se

consideran válidos en formato electrónico.
○ ¿Cómo debe organizarse el registro de operaciones de
tratamiento?
● Una posibilidad para organizar este registro de actividades de tratamiento es
partir de los ficheros que actualmente han sido notificados por los responsables
a la Agencia de Protección de Datos, detallando todas las operaciones que se
realizan sobre cada conjunto estructurado de datos.

No obstante, el Registro también podría organizarse en torno a operaciones de

tratamiento concretas vinculadas a una finalidad básica común de todas ellas
(por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos
humanos y nóminas”) o con arreglo a otros criterios distintos.
○ Una vez elaborado ese Registro, ¿qué hago con él?
● El Registro de actividades de tratamiento debe guardarse en la empresa y
tenerlo siempre actualizado y a disposición de la Autoridad de control si ésta
nos lo solicita.
○ ¿Qué me puede ocurrir si no tengo ese Registro de actividades
de tratamiento?
● La normativa vigente en protección de datos considera como infracción grave el
no disponer de un Registro de actividades de tratamiento en los casos en que
sea necesario. Y como tal, podrá ser sancionada con multas de hasta millones
de euros o el 4% del volumen global de facturación anual de la empresa.
En segundo lugar, de acuerdo con el art. 35 RGPD, en algunos supuestos en los que sea
probable que un tratamiento entrañe un alto riesgo para los derechos y libertades de las
personas físicas, en especial por el uso de nuevas tecnologías, el responsable del
tratamiento deberá realizar, antes del tratamiento, una evaluación del impacto (data
protection impact assessment) de las operaciones de tratamiento en la protección de datos
personales.
Esta evaluación de impacto deberá contener:
 ● Una descripción de las operaciones de tratamiento previstas.
● Los fines.
● Una evaluación de la necesidad y la proporcionalidad de las operaciones.
● Una evaluación de los riesgos para los derechos y libertades de los interesados.
● Las medidas previstas para afrontar los riesgos.
Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que
entrañen altos riesgos similares. Cuando la evaluación de impacto resuelva que el
tratamiento entrañaría un alto riesgo, el responsable deberá consultar a la autoridad de
control antes de proceder al tratamiento, que le asesorará acerca del mismo.

Es, principalmente, un ejercicio de análisis de los riesgos que un determinado sistema de

información, producto o servicio puede suponer para el derecho a la protección de datos de
los afectados cuyos datos se tratan y, como resultado de ese análisis, la gestión de dichos
riesgos mediante la adopción de las medidas necesarias para eliminar o atenuar en lo
posible aquellos que se hayan identificado.

Sus siglas en inglés son PIA, que corresponden a Privacy Impact Assessment (Evaluación
de Impacto de Privacidad o EIPD)
Análisis de riesgos de protección de datos
El objetivo del análisis de riesgos es determinar la probabilidad de que se produzcan
situaciones no deseadas y su gravedad. Por lo tanto, concretaremos y describiremos qué
medidas se han previsto para los procesos clave del tratamiento que estamos evaluando.

Se deberá analizar también las diferentes medidas que se han previsto inicialmente para
reducir los riesgos del tratamiento (en sus dos dimensiones: probabilidad y gravedad). De
esta forma, podemos valorar el nivel de riesgo inicial de las operaciones de tratamiento que
se han diseñado.

Si no se toma ningún tipo de medida para mitigar la probabilidad y la gravedad de un

potencial escenario de riesgo, es altamente probable que se produzca y, a priori, puede
tener unas consecuencias muy graves.
Finalidad de una EIPD
El objetivo de una EIPD es permitir a los responsables del tratamiento tomar medidas
adecuadas para reducir dicho riesgo (minimizar la probabilidad de su materialización y las
consecuencias negativas para los interesados).

Destacar, en este sentido, que las EIPD deben realizarse antes de iniciar las operaciones de
tratamiento; siendo el primer paso la determinación de la necesidad (o no) del análisis de la
evaluación de impacto.
¿Cuándo debe realizarse la Evaluación de Impacto de Protección de Datos?
No siempre es necesaria la redacción de una Evaluación de Impacto, aunque es
recomendable que a la hora de realizar un nuevo tratamiento siempre se analicen los
posibles riesgos que puede entrañar el mismo.

No obstante, la nueva regulación europea tasa una serie de supuestos en los que será
obligatorio la realización de una evaluación de impacto en la protección de datos. Cuando se
dé:
● Alto riesgo: Cuando el tratamiento vaya a entrañar un alto riesgo para los
derechos y libertades de las personas físicas.
Por ejemplo, en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto
y alcance.
● Evaluación sistemática: En el momento que, sistemáticamente, se evalúe
aspectos personales de personas físicas basadas en un tratamiento
automatizado. Es el caso de la elaboración de perfiles.
● Tratamiento a gran escala de datos especialmente protegidos: Si se realiza
un tratamiento a gran escala de las categorías especiales de datos del artículo
9, apartado 1 del RGPD, o de los datos personales relativos a condenas e
infracciones penales a que se refiere el artículo 10 del RGPD. Incluimos en este
apartado también los datos personales relativos a menores.
● Uso de tecnologías invasivas: Cuando se vayan a utilizar tecnologías que se
consideran especialmente invasivas con la privacidad.
Nos referimos a:
● Videovigilancia a gran escala.
● Aeronaves no tripuladas (drones).
● Vigilancia electrónica.
● Minería de datos.
● Biometría.
● Técnicas genéticas.
● Geolocalización.
Empresas obligadas a realizar una Evaluación de Impacto
Algunas de las entidades que tienen que realizar una evaluación de impacto son:
● Farmacéuticas.
● Hospitales y clínicas.
● Seguridad privada, vigilancia y control.
● Comercializadoras de energía.
● Empresas que realicen e-commerce.
● Colegios.
Continuando con la descripción de las circunstancias que obligan a hacer la evaluación de
impacto, el Reglamento también establece que las autoridades de supervisión están
obligadas a elaborar y publicar una lista con los tipos de operaciones de tratamiento que
están sujetos a la exigencia de llevar a cabo una EIPD.
Contenido
El resultado final de una evaluación de impacto no deja de ser un informe, o un conjunto de
documentación, que recoge las características del tratamiento evaluado y las decisiones
tomadas para mitigar sus riesgos, de acuerdo con su identificación, análisis, valoración y
tratamiento (gestión de riesgos) y una vez analizadas, también, cuestiones como el interés
legítimo (si procede) o la necesidad y la proporcionalidad de las operaciones de tratamiento.

El artículo 35.7 del RGPD concreta cuál debe ser el contenido mínimo de la evaluación o, si
se prefiere, determina qué cuestiones se tienen que analizar, como mínimo, para considerar
que se ha hecho la evaluación de manera adecuada.

Estas cuestiones que obligatoriamente se tienen que analizar son las siguientes:
● Descripción del tratamiento y finalidades: Se deberá llevar a cabo un análisis en
profundidad del proyecto, obteniendo el detalle de las categorías de datos que
se tratan, los usuarios de los mismos, los flujos de información y las tecnologías
utilizadas.

● Evaluación de la proporcionalidad y necesidad del tratamiento: Las autoridades

de protección de datos a menudo señalan que para comprobar si una operación
de tratamiento supone una medida restrictiva de un derecho fundamental, esta
operación tiene que superar los tres puntos del llamado juicio de
proporcionalidad:
● Juicio de idoneidad: Que la medida pueda conseguir el objetivo propuesto.

● Juicio de necesidad: Si, además, es necesaria, en el sentido de que no existe

otra más moderada para conseguir este propósito con la misma eficacia.

● Juicio de proporcionalidad en sentido estricto: Si la medida es ponderada o

equilibrada, porque se derivan más beneficios o ventajas para el interés general
que no perjuicios sobre otros bienes o valores en conflicto.
Por lo tanto, la proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se
puede conseguir por otros medios, por ejemplo: usando otros datos (o menos datos),
reduciendo el colectivo de personas afectadas (cuantitativamente o cualitativamente
hablando), usando otras tecnologías menos invasivas o aplicando otros procedimientos o
medios de tratamiento modificando los inicialmente previstos, etc.
● Evaluación de los riesgos: Se tiene que llevar a cabo un análisis de los
posibles riesgos para la protección de datos de los afectados y valoración de la
probabilidad y el impacto de su materialización.
Medidas previstas
Una vez analizado los riesgos se deben establecer medidas para afrontarlos.
Es decir, se deben establecer garantías en función de los mismos mediante las cuales se
garantice la protección de los datos personales, así como también que todos los
procedimientos cumplen escrupulosamente con la normativa (RGPD), siempre sin perder de
vista los derechos e intereses legítimos de los interesados y de otras personas afectadas.

En tercer lugar, el artículo 37 del Reglamento General de Protección de Datos determina la

obligatoriedad de la designación del Delegado de Protección de Datos en tres supuestos:
● Cuando el tratamiento lo lleve a cabo una autoridad u organismo público;
● Cuando las actividades principales del responsable o encargado del tratamiento
consistan en operaciones de tratamiento que requieran un seguimiento regular y
sistemático de los interesados a gran escala.
● Cuando las actividades principales del responsable o el encargado consistan en
el tratamiento a gran escala de categorías especiales de datos o datos
personales relacionados con condenas y delitos.
El GP29 recomienda, en caso de duda de si una empresa entra dentro de esos supuestos,
ésta elabore un informe que recoja el análisis realizado para determinar la necesidad o no
de designar al delegado.

El primero de los tres supuestos afecta a las Administraciones y entes del sector público, en
los que se plantean menos dudas. Los otros dos sí emplean algunos conceptos más
indeterminados y que requieren una mayor precisión.

"Actividades principales"

Cuando los dos segundos apartados se refieren a las "actividades principales del
responsable o el encargado del tratamiento" hablan de la actividad primaria de la empresa, y
no aquellas en las que el tratamiento de datos sea una función auxiliar.

Se entenderá que estamos ante una actividad principal cuando el tratamiento de datos sea
el objetivo fundamental de la misma (una App que maneja perfiles, por ejemplo), o bien,
cuando el tratamiento resulte parte intrínseca de la actuación de la empresa. En este
segundo supuesto, por ejemplo, encajaría el caso de un hospital en el que, si bien finalidad
principal es la prestación de servicios sanitarios, éstos no podrían prestarse sin operar con
los datos de los pacientes. En consecuencia, el hospital deberá contratar un DPO.

En el otro extremo, el procesamiento de datos de los empleados necesario para el pago de

nóminas, por ejemplo, no tendrá la consideración de actividad principal sino de actividad
auxiliar. Así, no dará lugar a la obligación de contratar un delegado.
"A gran escala"

De momento, los elementos que deben tenerse en cuenta para precisar si el tratamiento es
"a gran escala" son:
● La cantidad de personas afectadas (en número o en proporción).
● El volumen de datos o el abanico de diferentes conceptos de datos que se
procesan.
● La duración o permanencia de la actividad de tratamiento de datos.
● El alcance geográfico de la actividad del tratamiento.
"Seguimiento regular y sistemático"

Por "seguimiento" debe entenderse todas las formas posibles de seguimiento y creación de
perfiles en Internet, incluso a efectos de publicidad basada en el comportamiento. Dicha
noción no se limita, además, al comportamiento online.

Al hablar de "regular" se refiere el que se realice de forma continuada o que se produce en

intervalos concretos durante un tiempo concreto; recurrente o repetido en momento
prefijados; o que se produce de forma constante o periódica.

Y, finalmente, por "sistemático", el GP29 especifica que es el que se produce de acuerdo

con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un
plan general de recogida de datos; o, por último, como parte una estrategia.

El resto de empresas pueden designar uno si así lo desean, y un grupo empresarial podrá
nombrar un único delegado de protección de datos para todo el grupo.

El delegado de protección de datos puede ser un trabajador en plantilla, o ser contratado de

manera externa, y deberá ser designado atendiendo a sus cualidades profesionales y, en
particular, a sus conocimientos especializados del Derecho y la práctica en materia de
protección de datos y a su capacidad para desempeñar sus funciones.

Debe participar en todas las cuestiones relativas a la protección de datos, y ser la figura con
la que contacten los interesados para la gestión de sus derechos.

Así, se encarga de informar y asesorar al responsable y a los empleados que se ocupen del
tratamiento de las obligaciones que les incumben en virtud de la legislación de protección de
datos, supervisar el cumplimiento de la misma y de las políticas de protección de datos que
existan dentro de la empresa, realizar las evaluaciones de impacto, y cooperar y estar en
contacto con la autoridad de control.

Su actividad debe ser adecuada con el deber de confidencialidad y secreto, e independiente

del responsable y encargado de tratamiento, de los que no puede recibir instrucciones,
debiendo rendir cuentas al más alto nivel jerárquico de la empresa. En cualquier caso, si se
produce alguna infracción, la responsabilidad seguirá recayendo en el responsable del
tratamiento, no en el delegado de protección de datos.

El delegado de protección de datos debe ser un sujeto que sólo tenga entre sus funciones
las relativas a la protección de datos personales en la empresa, pudiendo trabajar con la
cooperación del responsable de seguridad, o ser él mismo, si coordina conocimientos
técnico-informáticos con conocimientos específicos sobre protección de datos.

Como contrapartida de las obligaciones añadidas de control dentro del seno de las propias
empresas, el RGPD elimina la obligación de notificar ficheros a las autoridades de
supervisión. Sin embargo, la obligación persiste hasta que el Reglamento entre en vigor, el
25 de mayo de 2018.
Como hemos visto el RGPD ha introducido importantes modificaciones:
● La extensión del ámbito territorial de aplicación.
● El refuerzo de consentimiento del interesado. Consentimiento expreso.
● La introducción de nuevos derechos reconocidos al interesado.
● La ampliación del deber de información y transparencia.
● La obligación de notificar las brechas de seguridad a la autoridad de control.
● La obligación que se tienen que llevar a cabo en el seno de la empresa.
● Y cambios sobre la legislación de las autoridades de control, medidas de
seguridad y sanciones.
CASO PRÁCTICO: Estamos en mayo de 2019 y en el departamento de la empresa en la
que trabajamos hemos recibido una carta de una señora indicándonos:
● Que está harta de recibir publicidad de esa empresa.
● No ha comprado ningún producto en la empresa y solo participó en un sorteo en
el que no le tocó nada.
● En ningún momento ha autorizado a que le manden publicidad y quisiera saber
de dónde han sacado sus datos.
● Solicita que se borre cualquier información sobre ella y que dejen de mandarle
publicidad.
Se pide: Analizar qué aspectos formales debes de tener en cuenta para dar una respuesta a
la carta de la señora, la información que debes de tener y redactar una carta atendiendo a
sus peticiones.
SOLUCIÓN: 1. Debemos identificarla dentro de nuestros sistemas y cancelarla, y eliminar su
información de la lista de email, y la de correo postal.
2. La carta de respuesta debe atender los extremos que solicita:
● Identificar la fuente de sus datos.
● La identificación de que hemos borrado sus datos de nuestro sistema para que
no reciba publicidad.
● Indicarle que solo conservaremos la información relacionada con su petición
para posibles reclamaciones.

3.3 Quién ha de informar y en qué momento

La obligación de informar a las personas interesadas sobre las circunstancias relativas al
tratamiento de sus datos recae sobre el Responsable del Tratamiento.
La información se debe poner a disposición de los interesados en el momento en que se
soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen
directamente del interesado.

En el caso de que los datos no se obtengan del propio interesado, por proceder de alguna
cesión legítima, o de fuentes de acceso público, el Responsable informará a las personas
interesadas dentro de un plazo razonable, pero, en cualquier caso:
● antes de un mes desde que se obtuvieron los datos personales,
● antes o en la primera comunicación con el interesado,
● antes de que los datos, en su caso, se hayan comunicado a otros destinatarios
Esta obligación se debe cumplir sin necesidad de requerimiento alguno, y el responsable
deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.

¿Cuándo NO es preciso informar?

Únicamente no será necesario informar cuando el interesado ya disponga de la información,

ni tampoco, en el caso de que los datos no procedan del interesado, cuando:
● la comunicación resulte imposible o suponga un esfuerzo desproporcionado,
● el registro o la comunicación esté expresamente establecido por el Derecho de
la Unión o de los Estados miembros,
● cuando los datos deban seguir teniendo carácter confidencial por un deber legal
de secreto
RESUMEN
En este tema hemos visto en su totalidad la Guía elaborada por la Agencia Española de
Protección de Datos sobre el deber de informar que recae sobre el responsable del
tratamiento y que tiene por finalidad informar a los interesados de todos los extremos que
les corresponde en virtud de los artículos 13 y 14 del RGPD.
La diferencia entre ambos artículos es la siguiente: el artículo 13 RGPD versa sobre la
información que tiene que facilitar el responsable cuando los datos personales se han
obtenido de él y ha de hacerlo en el momento en que se obtengan. En cambio, el artículo 14
RGPD la información a facilitar se produce cuando los datos personales no se hayan
obtenido del interesado.

Con la finalidad de aumentar la transparencia en la información llevada a cabo por el

responsable del tratamiento, la Agencia recomienda realizar la información en doble capa en
la que figuren los epígrafes contenidos en los artículos 13 y 14 RGPD; de una manera
básica en la primera capa y, en la segunda capa de forma más detallada con su
correspondiente vínculo web o código QR para más información sobre el tratamiento de
datos.

Condiciones para prestar el consentimiento

Una de las bases fundamentales para tratar los datos personales es el consentimiento del
interesado.

Definición: Con arreglo al artículo 4 RGPD el consentimiento del interesado es: “toda
manifestación de voluntad libre, especifica, informada e inequívoca por la que el interesado
acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de
datos personales que le concierne”.

El artículo 7 del RGPD establece las condiciones en las que debe ser prestado el
consentimiento. En concreto:
1. Cuando el tratamiento se base en el consentimiento del interesado, el
responsable deberá ser capaz de demostrar que aquel consintió el tratamiento
de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración

escrita que también se refiera a otros asuntos, la solicitud de consentimiento se
presentará de tal forma que se distinga claramente de los demás asuntos, de
forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No
será vinculante ninguna parte de la declaración que constituya infracción del
presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento.

La retirada del consentimiento no afectará a la licitud del tratamiento basada en
el consentimiento previo a su retirada. Antes de dar su consentimiento, el
interesado será informado de ello. Será tan fácil retirar el consentimiento como
 darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la

mayor medida posible el hecho de si, entre otras cosas, la ejecución de un
contrato, incluida la prestación de un servicio, se supedita al consentimiento al
tratamiento de datos personales que no son necesarios para la ejecución de
dicho contrato.
El considerando 32 del RGPD también se ocupa del consentimiento y establece:

“El consentimiento debe darse mediante un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada, e inequívoca del interesado de
aceptar el tratamiento de datos de carácter personal que le conciernen, como una
declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto
podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos
para la utilización de servicios de la sociedad de la información, o cualquier otra declaración
o conducta que indique claramente en este contexto que el interesado acepta la propuesta
de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la
inacción no deben constituir consentimiento. El consentimiento debe darse para todas las
actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el
tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el
consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos,
la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para
el que se presta”.

EJEMPLO: Entre los ejemplos de consentimiento manifestado mediante un acto

afirmativo claro, el considerando 32 menciona “escoger parámetros técnicos para la
utilización de servicios de la sociedad de la información”:

¿Qué puede entenderse, a efectos prácticos, por esos parámetros técnicos para
utilización de servicios de sociedad de la información?

La traducción del RGPD no es estrictamente la más adecuada. En su versión inglesa

–choosing technical settings for information society services– se refiere, por ejemplo, a
aquellas situaciones en las que seleccionamos los parámetros de la aplicación o del
dispositivo para permitir el acceso a datos personales. De esta manera, si es el interesado
es el que los habilita se entiende que se está prestando el consentimiento a que se traten
sus datos, ya que en caso contrario no sería considerado un consentimiento válido.
En relación con el consentimiento, también debemos tener en cuenta, que no será necesario
recabar de nuevo el mismo por el responsable de Tratamiento si la forma en la que se
recogió el dato cumple con el RGPD. Efectivamente el considerando 171 establece:

“La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya
iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente
Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el
tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es
necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el
consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el
responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente
Reglamento”.

El artículo 8 RGPD se regulan unas condiciones especiales aplicables al consentimiento del

niño para el tratamiento de los datos personales:
1. En relación con la oferta directa de servicios de la sociedad de la información a
niños, el tratamiento de los datos personales de un niño se considerará lícito
cuando ha prestado su consentimiento como mínimo con 16 años. Para los
menores de dicha edad será necesario el consentimiento o que lo autorice el
titular de la patria potestad o tutela sobre el niño. No obstante, los estados
miembros podrán establecer por ley una edad inferior a tales fines, siempre que
esta no sea inferior a 13 años. En el caso de España, ese límite se encuentra ya
reconocido en 13 años.

2. El responsable del tratamiento hará esfuerzos razonables para verificar que el

consentimiento fue dado o autorizado por el titular de la patria potestad o tutela
sobre el niño, teniendo en cuenta la tecnología disponible. El consentimiento del
titular de la patria potestad o tutela no debe ser necesario en el contexto de los
servicios preventivos o de asesoramiento ofrecidos directamente a los niños.

3. Esta condición especial no afectará a las disposiciones generales del Derecho

contractual de los Estados miembros, como las normas relativas a la validez,
formación o efectos de los contratos en relación con un niño.
El RGPD se refiere a lo largo de su articulado a los tratamientos de los datos de los
menores:
1. En la regulación de los intereses legítimos del responsable como base legal
para el tratamiento, señalándose que no será aplicable cuando prevalezcan los
derechos, libertades o intereses de los interesados que requieran protección de
datos personales, especialmente cuando esos interesados sean niños.

2. Al señalar que la información que se ofrece a los interesados en relación con el

tratamiento o con el ejercicio de derechos deberá ser especialmente concisa,
 transparente, inteligible y proporcionada con lenguaje claro y sencillo cuando los
interesados sean niños.

3. En el contexto del derecho al borrado de los datos personales.

4. Al establecer que las actividades de formación y sensibilización dirigidas a los

niños deberán estar entre las prioridades de las autoridades de protección de
datos.

5. En el contexto de las explicaciones que ofrecen los Considerandos del RGPD

cuando se refieren a la realización de perfiles.
Menores

Los datos de los niños merecen una alusión especial, debido a que pueden no ser tan
conscientes de sus derechos y de los peligros o efectos de los tratamientos de sus datos.

Requisitos específicos

El Reglamento establece específicamente que, en labores de mercadotecnia, en la

confección de perfiles, o al momento de recoger sus datos, hay que adoptar precauciones
especiales, entre las que están:
1. Facilitar la información básica del tratamiento de manera clara y ajustada a su
capacidad cognitiva si los servicios van dirigidos específicamente a ellos
(principio de transparencia).

2. Asegurar que los plazos mínimos de conservación sean menores a los previstos
para un adulto.

3. Otorgar al interesado el derecho a la cancelación de sus datos o revocación del

consentimiento cuando se convierta en adulto.

4. También se detalla que no es posible tomar decisiones automatizadas de sus

datos, sobre su perfil o personalidad, con efectos jurídicos vinculantes.
Veamos ejemplos y preguntas frecuentes:

¿Cuándo necesito el consentimiento del menor o de sus padres?

Para poder realizar un tratamiento de los datos personales de un menor de edad

necesitamos siempre un consentimiento que debe proporcionarlo el propio menor o sus
padres dependiendo de la edad de aquel. Así, con arreglo al RGPD, los mayores de 16 años
pueden otorgar por sí mismos el consentimiento para tratar sus datos. Si son menores de 16
años, se requiere la autorización de sus padres o tutores legales. En la LOPDGDD española
la edad para que un menor de edad pueda prestar el consentimiento es de 14 años. Si es
menor de 14 años necesitará el consentimiento de sus padres o tutores legales.

En casos de padres divorciados, ¿es necesario el consentimiento de ambos?

Aquí, independientemente de que la guarda y custodia del menor en cuestión se atribuya en

exclusiva a uno de ellos, no le da derecho sin más al progenitor que ostente la custodia a
autorizar el tratamiento de los datos personales de su hijo menor sin el consentimiento del
otro, ya que debemos tener en cuenta que en estos casos lo más normal es el ejercicio
compartido de la patria potestad o representación legal del menor por parte de ambos
padres, con lo que sigue siendo preciso que ambos autoricen previamente ese tratamiento.

Soy fotógrafo, ¿puedo exponer las fotos de los niños/as en el escaparate? ¿y en una
página web?

Para poder exponer las fotos de menores en el escaparate es necesario asimismo el

consentimiento del menor o de sus progenitores al tratarse de un dato personal.
No puede ser aceptado que la mera captación de las imágenes de una persona en un
estudio fotográfico conceda al fotógrafo un derecho de autor o de propiedad intelectual a
utilizar de la forma que estime conveniente la imagen de esa persona sin su consentimiento,
exponiéndola al público.

Igualmente, la publicación en una página web de las fotos de los menores constituye una
cesión o comunicación de datos de carácter personal, definida como “Toda revelación de
datos realizada a una persona distinta del interesado” y requiere el consentimiento, en los
términos antes señalados, del afectado o de sus padres si se trata de un menor de 13 años.

En relación con las fotografías no existen novedades específicas en el RGPD. Tan sólo se
introduce una aclaración sobre los datos biométricos. El uso de sistemas biométricos
deberá, en primer lugar, disponer de una evaluación de impacto. En segundo lugar, dado
que se tratan datos de carácter sensible, se deberá disponer de mayor protección por parte
del responsable y el encargado, en su caso, del tratamiento. Y, en tercer lugar, se deberá
disponer del consentimiento expreso del interesado.

La imagen de una persona precisamente fusiona varios elementos identificativos que hacen
que sea única y distinta del resto sin necesidad de más información. Esa imagen alude
también a datos especialmente protegidos, como la raza, religión, circunstancias especiales
físicas o de salud, etc.

¿Puede ceder el centro de enseñanza los datos del alumnado a la Asociación de

Madres y Padres de Alumnos (AMPA) sin su consentimiento previo?

No. La ley establece que los datos de carácter personal objeto del tratamiento sólo podrán
ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con
las funciones legítimas del cedente y del cesionario con el previo consentimiento del
interesado. Será necesario que el centro solicite el consentimiento previo e informado para
poder comunicar los datos a la AMPA.
ARTÍCULO EL PAÍS.COM 27/11/2017:

Se acerca la función de Navidad en el colegio: ¿podemos hacer fotos a los niños y

publicarlas en redes?

Las dudas que despierta este tema son tan frecuentes que la Agencia de Protección de
Datos acaba de editar una guía práctica.

Elia (10 años) pasó los dos primeros cursos de Primaria sin salir en las fotos del colegio. Su
madre (una servidora) se negó a firmar la autorización que reclamaba el centro para poder
hacérselas y posteriormente publicarlas en la web. Cada vez que había una excursión y
tocaba foto de grupo, la profesora cogía a Elia de la mano y la separaba. Al final, era la niña
quien huía de las instantáneas: “Esperad, esperad, que yo no puedo salir en las fotos”,
decía. Era la única. Cuando la profesora pasaba por WhatsApp las fotos de las excursiones,
tampoco estaba. Aunque decía que no le importaba, yo intuía que sí, que no le gustaba eso
de que la separaran del grupo. Así que llegó el momento de claudicar: firmé la autorización
en los cursos siguientes. Ahora sale en las fotos y hasta posa, aunque el colegio también
sabe que no me gusta que se publiquen en la web. La cuestión es, ¿existen soluciones que
no marginen al niño? Según explica Georgina Sáez, psicóloga de Isep Clinic, centro
especializado en el asesoramiento a padres y educadores, excluir al niño del grupo puede
repercutir negativamente en su estado emocional porque se siente distinto a sus iguales y,
con el tiempo, puede afectar al aprendizaje. Reconoce que no es un tema fácil de resolver:
“La solución para el niño sería salir en el grupo con todos y no sentirse diferente. Algunos
colegios pixelan la cara para que el niño pueda ponerse en la foto, sin desvelar su
identidad”.
La Ley protege especialmente la imagen de los menores: “Se prohíbe la difusión de datos o
imágenes referidos a menores de edad en los medios de comunicación cuando sea
contrario a su interés, incluso cuando conste el consentimiento del menor”. Y a esto hay que
sumar la Ley de Protección de Datos de Carácter Personal, cuyo cumplimiento está en
manos de la Agencia Española de Protección de Datos: “Datos de carácter personal:
cualquier información concerniente a personas físicas identificadas o identificables. Los
interesados a los que se soliciten datos personales deberán ser previamente informados de
modo expreso”. En el caso de los menores de 13años, la Agencia deja claro que debe
pedirse el consentimiento de los padres o tutores, de ahí que los colegios reclamen la
autorización por escrito para poder hacer fotos a los niños y publicarlas posteriormente en la
revista escolar o la página web. Pero existen excepciones: cuando las imágenes se realizan
únicamente con fines educativos, como trabajos escolares o evaluaciones, el centro no está
obligado a pedir autorización. “Pero es requisito indispensable que esas imágenes sean con
fines educativos y no salgan de la esfera educativa”.

En caso de que los padres no autoricen a que la imagen de su hijo se publique en la web,
las redes sociales o la revista escolar, según explica Morales, “el centro está obligado a
poner los medios menos invasivos, como puede ser colocar al niño en un lugar de la foto
que sea menos visible y que le haga no identificable, o utilizar técnicas de pixelado o
difuminado antes de publicar la foto. No es necesario realizar actos discriminatorios, como
apartarle de la foto”, recalca. ¿Y si se publica la foto sin el consentimiento? Se puede acudir
a la Agencia Española de Protección de Datos para que aclare si existe infracción y obligue
a eliminar el material publicado. Aunque, en situaciones de conflicto, se recomienda una
solución entre las partes: “La parte afectada debe solicitar la eliminación de las imágenes
publicadas a la parte “infractora” por no mediar consentimiento expreso”.

Actuaciones y fiestas en el colegio

Una de las cuestiones que genera más problemáticas cuando se acercan las funciones de
Navidad o fin de curso, es si los padres pueden o no tomar fotos de los eventos organizados
en el centro escolar. Pues bien, la Agencia Española de Protección de Datos es clara: “Sí.
En estos casos la grabación de las imágenes suele corresponder a una actividad
exclusivamente personal y doméstica, es decir, aquellas que se inscriben en el marco de la
vida privada, familiar y de amistad, que están excluidas de la aplicación de la normativa de
protección de datos”. Pero también advierte que, si esas imágenes se difunden fuera del
ámbito privado, familiar y de amistad, por ejemplo, mediante su publicación en Internet, los
familiares asumirán la responsabilidad. Un punto que desconocen muchos padres. “Sería
conveniente que el centro informase a los familiares de su responsabilidad en caso de que
las imágenes fueran divulgadas en entornos abiertos”, dice la Agencia. Incluso, si hay
padres que se niegan a que les hagan fotos a sus hijos en los actos organizados por el
colegio, el organismo aclara que ni se debe cancelar el evento ni se debe prohibir la toma de
imágenes.
Cuándo hay delito

No es lo mismo una foto de una actuación Navideña que una imagen en la que el niño
aparece en la ducha o en situación de maltrato. La cosa cambia si el contenido de las
imágenes daña la intimidad del menor: “En caso de que se grabe a un niño desnudo dentro
del colegio, en las duchas o los vestuarios, o si las fotos muestran acoso o maltrato, hay que
denunciarlo ante los cuerpos de seguridad”, informan fuentes de la Policía Nacional. “El
Código Penal castiga con una pena de prisión de tres meses a un año o multa de seis a
doce meses (el juez fija el importe) a quien, sin autorización de la persona afectada, difunda,
revele o ceda a terceros imágenes o grabaciones audiovisuales, cuando la divulgación
menoscabe gravemente la intimidad personal de esa persona”.

Si se realizan este tipo de grabaciones en el centro escolar, se aconseja que se ponga en

conocimiento del colegio, “pues los centros deben contar con protocolos de actuación ante
este tipo de conductas que pued
El artículo 8 RGPD se regulan unas condiciones especiales aplicables al consentimiento del
niño para el tratamiento de los datos personales:
1. En relación con la oferta directa de servicios de la sociedad de la información a
niños, el tratamiento de los datos personales de un niño se considerará lícito
cuando ha prestado su consentimiento como mínimo con 16 años. Para los
menores de dicha edad será necesario el consentimiento o que lo autorice el
titular de la patria potestad o tutela sobre el niño. No obstante, los estados
miembros podrán establecer por ley una edad inferior a tales fines, siempre que
esta no sea inferior a 13 años. En el caso de España, ese límite se encuentra ya
reconocido en 13 años.

2. El responsable del tratamiento hará esfuerzos razonables para verificar que el

consentimiento fue dado o autorizado por el titular de la patria potestad o tutela
sobre el niño, teniendo en cuenta la tecnología disponible. El consentimiento del
titular de la patria potestad o tutela no debe ser necesario en el contexto de los
servicios preventivos o de asesoramiento ofrecidos directamente a los niños.

3. Esta condición especial no afectará a las disposiciones generales del Derecho

contractual de los Estados miembros, como las normas relativas a la validez,
formación o efectos de los contratos en relación con un niño.
El RGPD se refiere a lo largo de su articulado a los tratamientos de los datos de los
menores:
1. En la regulación de los intereses legítimos del responsable como base legal
para el tratamiento, señalándose que no será aplicable cuando prevalezcan los
derechos, libertades o intereses de los interesados que requieran protección de
 datos personales, especialmente cuando esos interesados sean niños.

2. Al señalar que la información que se ofrece a los interesados en relación con el

tratamiento o con el ejercicio de derechos deberá ser especialmente concisa,
transparente, inteligible y proporcionada con lenguaje claro y sencillo cuando los
interesados sean niños.

3. En el contexto del derecho al borrado de los datos personales.

4. Al establecer que las actividades de formación y sensibilización dirigidas a los

niños deberán estar entre las prioridades de las autoridades de protección de
datos.

5. En el contexto de las explicaciones que ofrecen los Considerandos del RGPD

cuando se refieren a la realización de perfiles.
Menores

Los datos de los niños merecen una alusión especial, debido a que pueden no ser tan
conscientes de sus derechos y de los peligros o efectos de los tratamientos de sus datos.

Requisitos específicos

El Reglamento establece específicamente que, en labores de mercadotecnia, en la

confección de perfiles, o al momento de recoger sus datos, hay que adoptar precauciones
especiales, entre las que están:
1. Facilitar la información básica del tratamiento de manera clara y ajustada a su
capacidad cognitiva si los servicios van dirigidos específicamente a ellos
(principio de transparencia).

2. Asegurar que los plazos mínimos de conservación sean menores a los previstos
para un adulto.

3. Otorgar al interesado el derecho a la cancelación de sus datos o revocación del

consentimiento cuando se convierta en adulto.

4. También se detalla que no es posible tomar decisiones automatizadas de sus

datos, sobre su perfil o personalidad, con efectos jurídicos vinculantes.
Veamos ejemplos y preguntas frecuentes:

¿Cuándo necesito el consentimiento del menor o de sus padres?

Para poder realizar un tratamiento de los datos personales de un menor de edad
necesitamos siempre un consentimiento que debe proporcionarlo el propio menor o sus
padres dependiendo de la edad de aquel. Así, con arreglo al RGPD, los mayores de 16 años
pueden otorgar por sí mismos el consentimiento para tratar sus datos. Si son menores de 16
años, se requiere la autorización de sus padres o tutores legales. En la LOPDGDD española
la edad para que un menor de edad pueda prestar el consentimiento es de 14 años. Si es
menor de 14 años necesitará el consentimiento de sus padres o tutores legales.

En casos de padres divorciados, ¿es necesario el consentimiento de ambos?

Aquí, independientemente de que la guarda y custodia del menor en cuestión se atribuya en

exclusiva a uno de ellos, no le da derecho sin más al progenitor que ostente la custodia a
autorizar el tratamiento de los datos personales de su hijo menor sin el consentimiento del
otro, ya que debemos tener en cuenta que en estos casos lo más normal es el ejercicio
compartido de la patria potestad o representación legal del menor por parte de ambos
padres, con lo que sigue siendo preciso que ambos autoricen previamente ese tratamiento.

Soy fotógrafo, ¿puedo exponer las fotos de los niños/as en el escaparate? ¿y en una
página web?

Para poder exponer las fotos de menores en el escaparate es necesario asimismo el

consentimiento del menor o de sus progenitores al tratarse de un dato personal.
No puede ser aceptado que la mera captación de las imágenes de una persona en un
estudio fotográfico conceda al fotógrafo un derecho de autor o de propiedad intelectual a
utilizar de la forma que estime conveniente la imagen de esa persona sin su consentimiento,
exponiéndola al público.

Igualmente, la publicación en una página web de las fotos de los menores constituye una
cesión o comunicación de datos de carácter personal, definida como “Toda revelación de
datos realizada a una persona distinta del interesado” y requiere el consentimiento, en los
términos antes señalados, del afectado o de sus padres si se trata de un menor de 13 años.

En relación con las fotografías no existen novedades específicas en el RGPD. Tan sólo se
introduce una aclaración sobre los datos biométricos. El uso de sistemas biométricos
deberá, en primer lugar, disponer de una evaluación de impacto. En segundo lugar, dado
que se tratan datos de carácter sensible, se deberá disponer de mayor protección por parte
del responsable y el encargado, en su caso, del tratamiento. Y, en tercer lugar, se deberá
disponer del consentimiento expreso del interesado.
La imagen de una persona precisamente fusiona varios elementos identificativos que hacen
que sea única y distinta del resto sin necesidad de más información. Esa imagen alude
también a datos especialmente protegidos, como la raza, religión, circunstancias especiales
físicas o de salud, etc.

¿Puede ceder el centro de enseñanza los datos del alumnado a la Asociación de

Madres y Padres de Alumnos (AMPA) sin su consentimiento previo?

No. La ley establece que los datos de carácter personal objeto del tratamiento sólo podrán
ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con
las funciones legítimas del cedente y del cesionario con el previo consentimiento del
interesado. Será necesario que el centro solicite el consentimiento previo e informado para
poder comunicar los datos a la AMPA.
ARTÍCULO EL PAÍS.COM 27/11/2017:

Se acerca la función de Navidad en el colegio: ¿podemos hacer fotos a los niños y

publicarlas en redes?

Las dudas que despierta este tema son tan frecuentes que la Agencia de Protección de
Datos acaba de editar una guía práctica.

Elia (10 años) pasó los dos primeros cursos de Primaria sin salir en las fotos del colegio. Su
madre (una servidora) se negó a firmar la autorización que reclamaba el centro para poder
hacérselas y posteriormente publicarlas en la web. Cada vez que había una excursión y
tocaba foto de grupo, la profesora cogía a Elia de la mano y la separaba. Al final, era la niña
quien huía de las instantáneas: “Esperad, esperad, que yo no puedo salir en las fotos”,
decía. Era la única. Cuando la profesora pasaba por WhatsApp las fotos de las excursiones,
tampoco estaba. Aunque decía que no le importaba, yo intuía que sí, que no le gustaba eso
de que la separaran del grupo. Así que llegó el momento de claudicar: firmé la autorización
en los cursos siguientes. Ahora sale en las fotos y hasta posa, aunque el colegio también
sabe que no me gusta que se publiquen en la web. La cuestión es, ¿existen soluciones que
no marginen al niño? Según explica Georgina Sáez, psicóloga de Isep Clinic, centro
especializado en el asesoramiento a padres y educadores, excluir al niño del grupo puede
repercutir negativamente en su estado emocional porque se siente distinto a sus iguales y,
con el tiempo, puede afectar al aprendizaje. Reconoce que no es un tema fácil de resolver:
“La solución para el niño sería salir en el grupo con todos y no sentirse diferente. Algunos
colegios pixelan la cara para que el niño pueda ponerse en la foto, sin desvelar su
identidad”.
La Ley protege especialmente la imagen de los menores: “Se prohíbe la difusión de datos o
imágenes referidos a menores de edad en los medios de comunicación cuando sea
contrario a su interés, incluso cuando conste el consentimiento del menor”. Y a esto hay que
sumar la Ley de Protección de Datos de Carácter Personal, cuyo cumplimiento está en
manos de la Agencia Española de Protección de Datos: “Datos de carácter personal:
cualquier información concerniente a personas físicas identificadas o identificables. Los
interesados a los que se soliciten datos personales deberán ser previamente informados de
modo expreso”. En el caso de los menores de 13años, la Agencia deja claro que debe
pedirse el consentimiento de los padres o tutores, de ahí que los colegios reclamen la
autorización por escrito para poder hacer fotos a los niños y publicarlas posteriormente en la
revista escolar o la página web. Pero existen excepciones: cuando las imágenes se realizan
únicamente con fines educativos, como trabajos escolares o evaluaciones, el centro no está
obligado a pedir autorización. “Pero es requisito indispensable que esas imágenes sean con
fines educativos y no salgan de la esfera educativa”.

En caso de que los padres no autoricen a que la imagen de su hijo se publique en la web,
las redes sociales o la revista escolar, según explica Morales, “el centro está obligado a
poner los medios menos invasivos, como puede ser colocar al niño en un lugar de la foto
que sea menos visible y que le haga no identificable, o utilizar técnicas de pixelado o
difuminado antes de publicar la foto. No es necesario realizar actos discriminatorios, como
apartarle de la foto”, recalca. ¿Y si se publica la foto sin el consentimiento? Se puede acudir
a la Agencia Española de Protección de Datos para que aclare si existe infracción y obligue
a eliminar el material publicado. Aunque, en situaciones de conflicto, se recomienda una
solución entre las partes: “La parte afectada debe solicitar la eliminación de las imágenes
publicadas a la parte “infractora” por no mediar consentimiento expreso”.

Actuaciones y fiestas en el colegio

Una de las cuestiones que genera más problemáticas cuando se acercan las funciones de
Navidad o fin de curso, es si los padres pueden o no tomar fotos de los eventos organizados
en el centro escolar. Pues bien, la Agencia Española de Protección de Datos es clara: “Sí.
En estos casos la grabación de las imágenes suele corresponder a una actividad
exclusivamente personal y doméstica, es decir, aquellas que se inscriben en el marco de la
vida privada, familiar y de amistad, que están excluidas de la aplicación de la normativa de
protección de datos”. Pero también advierte que, si esas imágenes se difunden fuera del
ámbito privado, familiar y de amistad, por ejemplo, mediante su publicación en Internet, los
familiares asumirán la responsabilidad. Un punto que desconocen muchos padres. “Sería
conveniente que el centro informase a los familiares de su responsabilidad en caso de que
las imágenes fueran divulgadas en entornos abiertos”, dice la Agencia. Incluso, si hay
padres que se niegan a que les hagan fotos a sus hijos en los actos organizados por el
colegio, el organismo aclara que ni se debe cancelar el evento ni se debe prohibir la toma de
imágenes.

Cuándo hay delito

No es lo mismo una foto de una actuación Navideña que una imagen en la que el niño
aparece en la ducha o en situación de maltrato. La cosa cambia si el contenido de las
imágenes daña la intimidad del menor: “En caso de que se grabe a un niño desnudo dentro
del colegio, en las duchas o los vestuarios, o si las fotos muestran acoso o maltrato, hay que
denunciarlo ante los cuerpos de seguridad”, informan fuentes de la Policía Nacional. “El
Código Penal castiga con una pena de prisión de tres meses a un año o multa de seis a
doce meses (el juez fija el importe) a quien, sin autorización de la persona afectada, difunda,
revele o ceda a terceros imágenes o grabaciones audiovisuales, cuando la divulgación
menoscabe gravemente la intimidad personal de esa persona”.

Si se realizan este tipo de grabaciones en el centro escolar, se aconseja que se ponga en

conocimiento del colegio, “pues los centros deben contar con protocolos de actuación ante
este tipo de conductas que pueden ser constitutivas de delito.

.3 Tratamiento de categorías especiales de datos personales

El artículo 9 del RGPD dispone:

1. Prohíbe el tratamiento de los datos de carácter personal en los siguientes casos:

● Los que revelen el origen étnico o racial.
● Las opiniones políticas.
● Las convicciones religiosas o filosóficas.
● La afiliación sindical.
● El tratamiento de datos genéticos.
● Los datos biométricos dirigidos a identificar de manera unívoca a una persona
física.
● Los datos relativos a la salud.
● Los datos relativos a la vida sexual o la orientación sexual de una persona
física.
Es importante aclarar en este punto que el Reglamento considera que el tratamiento de
fotografías no debe considerarse sistemáticamente comprendido en la norma general de los
datos biométricos, sino únicamente cuando el hecho de ser tratados con medios técnicos
específicos permita la identificación o la autenticación unívocas de una persona física, como
puede ser la tecnología de reconocimiento facial.

2. No será de aplicación cuando concurra una de las circunstancias siguientes:

● Cuando el interesado dio su consentimiento explícito para el tratamiento de
dichos datos personales con uno o más de los fines especificados, excepto
cuando el Derecho de la Unión o de los Estados miembros establezca que la
prohibición general no puede ser levantada por el interesado.

● Cuando el tratamiento es efectuado, en el ámbito de sus actividades legítimas y

con las debidas garantías, por una fundación, una asociación o cualquier otro
organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o
sindical, siempre que el tratamiento se refiera exclusivamente a los miembros
actuales o antiguos de tales organismos o a personas que mantengan contactos
regulares con ellos en relación con sus fines y siempre que los datos personales
no se comuniquen fuera de ellos sin el consentimiento de los interesados.

● Cuando el tratamiento se refiere a datos personales que el interesado ha hecho

manifiestamente públicos.

● Cuando el tratamiento es necesario:

○ Para el cumplimiento de obligaciones y el ejercicio de derechos
específicos del responsable del tratamiento o del interesado en el ámbito
del Derecho laboral y de la seguridad y protección social, en la medida en
que así lo autorice el Derecho de la Unión de los Estados miembros o un
convenio colectivo con arreglo al Derecho de los Estados miembros que
establezca garantías adecuadas del respeto de los derechos
fundamentales y de los intereses del interesado.

○ Para proteger intereses vitales del interesado o de otra persona física, en

el supuesto de que el interesado no esté capacitado, física o
jurídicamente, para dar su consentimiento.

○ Para la formulación, el ejercicio o la defensa de reclamaciones o cuando

los tribunales actúen en ejercicio de su función judicial.

○ Por razones de un interés público esencial, sobre la base del Derecho de

la Unión o de los Estados miembros, que debe ser proporcional al
objetivo perseguido, respetar en lo esencial el derecho a la protección de
datos y establecer medidas adecuadas y específicas para proteger los
intereses y derechos fundamentales del interesado.

○ Para fines de medicina preventiva o laboral, evaluación de la capacidad

laboral del trabajador, diagnóstico médico, prestación de asistencia o
tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios
de asistencia sanitaria y social, sobre la base del Derecho de la Unión o
de los Estados miembros o en virtud de un contrato con un profesional
sanitario y sin perjuicio de las condiciones y garantías contempladas en
el apartado 3.
 ○ Por razones de interés público en el ámbito de la salud pública, como la
protección frente a amenazas transfronterizas graves para la salud, o
para garantizar elevados niveles de calidad y de seguridad de la
asistencia sanitaria y de los medicamentos o productos sanitarios, sobre
la base del Derecho de la Unión o de los Estados miembros que
establezca medidas adecuadas y específicas para proteger los derechos
y libertades del interesado, en particular el secreto profesional.

○ Con fines de archivo en interés público, fines de investigación científica o

histórica o fines estadísticos, sobre la base del Derecho de la Unión o de
los Estados miembros, que debe ser proporcional al objetivo perseguido,
respetar en lo esencial el derecho a la protección de datos y establecer
medidas adecuadas y específicas para proteger los intereses y derechos
fundamentales del interesado.
3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en
el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la
obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de
la Unión o de los Estados miembros o con las normas establecidas por los organismos
nacionales competentes, o por cualquier otra persona sujeta también a la obligación de
secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas
establecidas por los organismos nacionales competentes.

4. Por su parte, los Estados miembros podrán mantener o introducir condiciones adicionales,
inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o
datos relativos a la salud.

Este artículo 9 RGPD ostenta una importancia mayúscula en lo que a los tratamientos de
datos personales se refiere, ya que no se tratan de datos personales básicos sino de lo que
anterior legislación denominaba datos sensibles, ahora categorías especiales de datos
personales con arreglo a la terminología del RGPD. El apartado 1 establece una prohibición
general al tratamiento de datos personales que releven este tipo de datos, si bien el
apartado 2 establece una serie de excepciones por las que sí se podrán ser de aplicación.
Habrá que atender específicamente a cada caso concreto por la grave vulneración que se
podrían producir en relación con los derechos fundamentales de la persona.

4.7 Tratamiento con fines de investigación científica o histórica con fines

estadísticos
Como norma general, el tratamiento con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, estarán sujetos a las garantías
adecuadas, con arreglo al RGPD, para los derechos y libertades de los interesados. Dichas
garantías harán que se disponga de medidas técnicas y organizativas, para garantizar el
respeto del principio de minimización de los datos personales.
Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de los datos
personales con fines de investigación científica en el momento de su recogida. Por
consiguiente, debe permitirse a los interesados dar su consentimiento para determinados
ámbitos de investigación científica que respeten las normas éticas reconocidas para la
investigación científica.

Los interesados deben tener la oportunidad de dar su consentimiento solamente para

determinadas áreas de investigación o partes de proyectos de investigación, en la medida
en que lo permita la finalidad perseguida.

Combinando información procedente de registros, los investigadores pueden obtener

nuevos conocimientos de gran valor sobre condiciones médicas extendidas, como las
enfermedades cardiovasculares, el cáncer y la depresión.

A tener en cuenta:

● Obligaciones de secreto: Según el artículo 58.1 letras e) y f) del RGPD, los

responsables o encargados del tratamiento de datos están obligados al secreto
profesional u otras obligaciones de secreto equivalente, cuando sea necesario y
proporcionado para conciliar el derecho de los datos personales con la
obligación del secreto.

● Normas sobre protección de datos en las Iglesias y asociaciones religiosas:

cuando en un estado miembro de la Unión Europea, Iglesias o asociaciones
religiosas apliquen, en el momento de la entrada en vigor del RGPD, un
conjunto de normas relativas al tratamiento de datos de las personas físicas;
tales normas podrán seguir aplicándose siempre que sean conformes con el
RGPD.

4.8 Resumen
En esta unidad se ha analizado el consentimiento que se precisa para el tratamiento de los
datos junto con situaciones específicas de tratamiento de datos, respecto de las que los
Estados miembros podrán identificar las condiciones para que dicho tratamiento sea
considerado lícito.

En relación al consentimiento debemos olvidarnos del consentimiento tácito, puesto que el

RGPD solo contempla el consentimiento expreso como “Toda manifestación de voluntad
libre, especifica, informada e inequívoca por la que el interesado acepta, ya sea mediante
una declaración o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen”.
También nos hemos acercado a conocer cuáles son las condiciones que se aplican al
consentimiento del niño en relación con los servicios de la sociedad de la información, así
como el tratamiento que el RGPD les da a las categorías especiales de datos personales.

Por último, conviene tener en cuenta otros tratamientos de datos personales que el RGPD
recoge al final de su articulado como los que tienen fines de investigación científica o
histórica con fines estadísticos y el tratamiento y acceso del público a documentos oficiales,
entre otros.
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o
varios fines específicos;
el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte
o para la aplicación a petición de este de medidas precontractuales;
el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona
física;
el tratamiento es necesario para el cumplimiento de una misión realizada en interés público
o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado
por las autoridades públicas en el ejercicio de sus funciones.

5.5 Resumen
En esta unidad hemos visto diferentes elementos que tienen gran relevancia con el nuevo
RGPD:
● Los principios de legitimación por los que se rigen los tratamientos de datos
personales: licitud, leal y transparencia; limitación de la finalidad; minimización
de datos; exactitud; limitación del plazo de conservación; integridad y
confidencialidad; y responsabilidad proactiva.

● Las bases de legitimación por las que un tratamiento de datos será lícito:
consentimiento; ejecución de un contrato; cumplimiento de una obligación legal;
proteger intereses vitales; misión realizada en interés público o ejercicio de
 poderes públicos; e interés legítimo.

● Los artículos 13 y 14 RGPD dedicados al deber de información del responsable

del tratamiento al interesado, en función de si los datos se han obtenido del
propio interesado o de terceros.

● Los derechos que le corresponden al interesado con arreglo al poder de control

y disposición que tiene sobre sus datos: derecho de acceso, rectificación,
supresión o derecho al olvido, limitación del tratamiento, portabilidad, oposición
y derecho a no ser objeto de una decisión basada únicamente en el tratamiento
automatizado, incluida la elaboración de perfiles.
Obligaciones en violaciones de seguridad
Cuando se produzca una violación de la seguridad de los datos, el responsable debe
notificarla a la autoridad de protección de datos competente, a menos que sea improbable
que la violación suponga un riesgo para los derechos y libertades de los afectados. Debe
tenerse en cuenta que, si bien es responsabilidad del responsable del tratamiento notificar la
brecha de seguridad a la autoridad de control, en caso de que un trabajador sea consciente
de que se ha producido una brecha de seguridad debe notificar de inmediato al responsable
del tratamiento para que éste efectúe la respectiva notificación a la autoridad de control.

La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser
posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

La notificación ha de incluir un contenido mínimo (artículo 33 RGPD):

● la naturaleza de la violación de la seguridad de los datos personales
● categorías de datos y de interesados afectados, y las categorías y el número
aproximado de registros de datos personales afectados
● el nombre y los datos de contacto del delegado de protección de datos o de otro
punto de contacto para obtener más información
● las posibles consecuencias de la violación de la seguridad de los datos
personales
● las medidas adoptadas o propuestas por el responsable del tratamiento para
poner remedio a la violación de la seguridad de los datos personales,
incluyendo, si procede las medidas adoptadas para mitigar los posibles efectos
negativos

En cualquier caso, a través de la evolución de los trabajos e investigaciones, se ha

constatado que hay un conjunto de elementos comunes que forman parte del núcleo de
cualquier procedimiento que se pueda considerar como una evaluación de impacto en el
derecho fundamental a la protección de datos personales:
● Una EIPD es un proceso más amplio que el de la mera comprobación del
cumplimiento normativo, que debe llevarse a cabo con anterioridad a la
 implantación de un nuevo producto, servicio o sistema de información o cuando
uno existente vaya a sufrir cambios sustanciales que impliquen la posibilidad de
la aparición de nuevos riesgos.
● Debe ser sistemática y reproducible, y estar orientada a revisar procesos más
que a producir un resultado o informe final. Además, debe permitir una
identificación clara de los responsables de las distintas tareas.
● Comienza con una primera fase de identificación y clasificación de la
información para determinar los datos personales que se tratan y sus
características.
● Debe identificar quién y cómo tendrá acceso y tratará los datos personales.
● Se debe permitir participar en el proceso y realizar aportaciones a todos los
afectados por el mismo, tanto departamentos de la organización como socios o
entidades externas, afectados u otros agentes sociales.
● Debe contener una descripción de los controles que se implantarán para
asegurar que solo se tratan los datos personales necesarios y para las
finalidades legítimas previstas y definidas.
● El resultado final debe ser un documento con un contenido mínimo y una
estructura que deben definirse previamente.
Supuestos en los que es obligatorio realizar una EIPD
Los supuestos que el Reglamento General de Protección de Datos contempla en el artículo
35 como obligatorios son aquellos en que se produzcan:
● Decisiones automatizadas, que originen efectos jurídicos hacia el interesado
(persona a quien corresponden los datos personales) o le afecte
significativamente.
● Tratamientos a gran escala de categorías especiales de datos o de datos
personales relativos a condenas e infracciones penales o medidas de seguridad
conexas.
● Observación sistemática a gran escala de una zona de acceso público.
● Operaciones que, a criterio de la autoridad de control competente, impliquen un
alto riesgo para los derechos de los interesados.
● Cualquier tratamiento de datos que, por su naturaleza, alcance, contexto o
fines, implique un alto riesgo para los derechos y libertades de las personas
físicas, y en particular si utiliza nuevas tecnologías.
CONTENIDO MÍNIMO DE UNA EIPD
El artículo 35.7 del RGPD concreta cuál debe ser el contenido mínimo de la evaluación o, si
se prefiere, determina qué cuestiones se tienen que analizar, como mínimo, para considerar
que se ha hecho la evaluación de manera adecuada:
1. una descripción sistemática de las operaciones de tratamiento previstas y de los
fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido
por el responsable del tratamiento;
2. una evaluación de la necesidad y la proporcionalidad de las operaciones de
tratamiento con respecto a su finalidad;
3. una evaluación de los riesgos para los derechos y libertades de los interesados
a que se refiere el apartado 1, y
 4. las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de
seguridad y mecanismos que garanticen la protección de datos personales, y a
demostrar la conformidad con el presente Reglamento, teniendo en cuenta los
derechos e intereses legítimos de los interesados y de otras personas
afectadas.

En este tema hemos analizado la evaluación del impacto como otra de las novedades del
RGPD. La evaluación del impacto se configura como una herramienta que debe llevar a
cabo el responsable del tratamiento, siempre y cuando un determinado sistema de
información, producto o servicio presente un alto riesgo para los derechos y libertades de las
personas físicas.

Hemos analizado los supuestos en los que el RGPD considera obligatorio realizar una
evaluación del impacto y los supuestos en los que es recomendable, así como las distintas
fases por las que pasa un Evaluación de Impacto.

Para ello hemos acudido a lo establecido en los artículos 35 y 36 del RGPD y, además,
hemos hecho alusión al contenido íntegro de la Guía de la Agencia Española de Protección
de Datos sobre evaluaciones de impacto.
ISO/IEC 27001
Esta norma ISO (que es certificable para las empresas) define los requisitos para establecer,
implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI) documentado en el contexto de los riesgos de una
organización empresarial en general. Es aplicable a todo tipo de organizaciones tanto
públicas como privadas independientemente de su área de actividad o tamaño.

La gestión de la seguridad de los datos personales no deja de ser en cierto sentido un

subconjunto de una problemática mayor: la seguridad de la información. Según la norma
ISO 27001 el sistema de gestión de seguridad de la información es “la parte del sistema de
gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear,
implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información”.

La norma establece un modelo de mejora continua que podríamos asimilar al ciclo de

Deming, conocido como PDCA (Plan-Do-Check-Act).
● La fase de planificación (plan) se encarga de la creación del SGSI abarcando:

- Definición del alcance del SGSI.

- Definir la política del SGSI.
- Identificación, análisis y gestión del riesgo.
 - Selección de controles para tratar el riesgo.
- Elaboración de la declaración de aplicabilidad.
● La implantación del SGSI corresponde con la fase de Do (hacer), que llevará
consigo la implantación de los controles seleccionados de acuerdo al plan de
tratamiento del riesgo, habrá que desarrollar programas de formación y
concienciación e indicadores para medir la eficacia de los controles.
● La fase de Check (verificar) se lleva a cabo mediante una serie de acciones:
revisiones periódicas, auditorías internas y revisiones del sistema por la
dirección.
● La mejora del sistema corresponde al Act (actuar), fase durante la cual la
dirección debe tomar decisiones en la revisión del sistema para mejorar la
eficacia del mismo, identificando las acciones correctivas correspondientes.
Los problemas de seguridad que pueden aparecer en la realidad empresarial pueden
suponer un problema que afecte a la viabilidad y reputación de la empresa. La norma ISO
27001 establece el concepto de dimensiones de la seguridad que son las de
confidencialidad, integridad y disponibilidad.
● Confidencialidad: es la propiedad de la información de no ponerse a
disposición o ser revelada a individuos, entidades o procesos no autorizados. A
grandes rasgos, consiste en asegurar el acceso a la información únicamente a
aquellas personas que cuenten con la debida autorización.
● Integridad: propiedad de la información relativa a su exactitud y completitud. La
integridad persigue mantener, con exactitud, la información tal cual fue
generada, sin ser manipulada o alterada por personas o procesos no
autorizados.
● Disponibilidad: propiedad de la información de estar accesible y utilizable
cuando lo requiera una entidad autorizada. La disponibilidad debe garantizar el
acceso a la información y a los sistemas por personas autorizadas en el
momento en que así lo requieran.
Algunas metodologías de análisis de riesgos como MAGERIT consideran también que
existen otras dos propiedades más, vinculadas con las garantías que se requieren en el
mundo online para conocer la fiabilidad de los procesos:
● Autenticidad: propiedad de que una entidad es lo que afirma ser. Se garantiza
siempre que se conserva la confidencialidad e integridad de la información
utilizada para acreditar la identidad, como pueden ser las contraseñas.
● Trazabilidad: propiedad que permite que todas las acciones realizadas sobre la
información o un sistema de tratamiento de la información sean asociadas de
modo inequívoco a un individuo o entidad. La trazabilidad se garantiza
conservando la integridad y disponibilidad de la información, que registra los
eventos vinculados a acciones sobre la información.
La misión de la seguridad de la información dentro del marco de gobierno de las TI es
asegurar una adecuada gestión del riesgo.
La norma ISO 27002 establece directrices y principios generales para crear, implementar,
mantener y mejorar la gestión de seguridad de la información en una organización. Los
objetivos de control y controles relacionados en esta norma están orientados a satisfacer las
necesidades de seguridad identificadas tras un análisis y evaluación del riesgo dentro del
entorno empresarial.

La norma ISO 27002 detalla varios controles (medidas tanto organizativas como técnicas) a
la hora de implementar un SGSI. Se agrupa en 14 apartados que comprenden las medidas
de seguridad según su naturaleza y contempla aspectos organizativos, técnicos, la
protección física de elementos o el cumplimiento legal o contractual.

La organización de cada una de estas áreas se estructura con base en la definición de unos
objetivos de seguridad que deben lograrse, indicando, para ello, cuáles son los controles o
salvaguardas que deben aplicarse. Por tanto, este catálogo de medidas de seguridad se
orienta a satisfacer unas necesidades de gestión del riesgo y define cuáles serían las
mejores prácticas que deberían ponerse en marcha para lograrlo. Por cada control, la ISO
27002 proporciona una guía de implantación, que proporciona recomendaciones o detalles
de que en qué debiera consistir la puesta en marcha del control. A efectos de cumplimiento
y certificación de la norma, sólo el texto vinculado al control es de obligado cumplimiento.

La guía de implantación puede verse como un texto de recomendaciones o consejos, pero

su cumplimiento no es revisado por el auditor de certificación. Tener planteado un marco
estándar de medidas de seguridad permite:
● Proporcionar principios y recomendaciones de gestión en los que basar la
política de seguridad de la información en cualquier soporte para cualquier
organización.
● Identificar controles independientes de la tecnología que sean de aplicación
general para organizaciones pequeñas, medianas y grandes, y aplicables a
diferentes aplicaciones, sistemas y plataformas tecnológicas.
● Facilitar la selección y adopción de controles proporcionales al riesgo en
términos de políticas, prácticas, procedimientos, estructuras organizativas y
funciones software.
● Crear un marco comparativo para la seguridad de la información.
Para ello, la norma se estructura en 14 áreas, que agrupan los diferentes aspectos que
deben contemplarse en materia de seguridad de la información. Para cada una de ellas, se
especifican un conjunto de objetivos de control (el objetivo de protección que desea
alcanzarse) y un conjunto de controles (el requisito de seguridad que debe cumplirse) para
lograr dicho objetivo. Además, la norma proporciona, para cada control, una guía de
implantación que proporciona recomendaciones para lograr una implementación completa y
efectiva de las medidas de seguridad. Las áreas de control se dividen según el tipo de
medida, siendo estas: organizativas, de seguridad lógica, de seguridad física y de
cumplimiento normativo o legal.
A continuación, se muestra una figura en la que consta cada uno de estos apartados,
indicando qué aspecto trata cada una de estas áreas y si establece medidas de tipo
organizativo u operativo.

La ISO 27701 especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un Sistema de Gestión de Información de Privacidad (PIMS). Esta normativa
se basa en los requisitos, controles y objetivos de la norma ISO 27001: Requisitos de
Sistemas de Gestión de Seguridad de la Información (SGSI).

Este estándar describe un marco para ayudar a reducir los riesgos de privacidad en los
tratamientos de datos personales o información de identificación personal, es decir, de
aquella información o datos que identifican o podrían servir para identificar a una persona.
Esta norma está diseñada para su uso por responsables y encargados del tratamiento de
datos personales.

Además, cuenta con un anexo que mapea los distintos controles con el RGPD. Estas son
algunas áreas en las que la ISO 27701 contribuye al trabajo de los responsables y
encargados de la protección de la privacidad:
● Aporta garantías de seguridad sobre los tratamientos de los datos personales.
● Incorpora la gestión de la privacidad en la gestión de riesgos de la empresa.
● Controla la existencia de mecanismos para la notificación de brechas de
seguridad.
● Establece roles y responsabilidades claras sobre los tratamientos.
 ● Mejora la gestión de contratos con encargados del tratamiento.
● Verifica el registro de actividades de los tratamientos.
● Contribuye a implementar la privacidad por diseño y por defecto en los
tratamientos.
● Garantiza que se permita a los propietarios de los datos personales el ejercicio
de sus derechos sobre los mismos.
● Aporta transparencia a los accionistas y eficacia a la hora de gestionar los
tratamientos de datos personales.
Las empresas que hayan implementado en su organización la norma ISO 27001 podrán
utilizar esta nueva norma ISO 27701 para reforzar o extender los esfuerzos en preservar la
privacidad de los datos que manejan, ampliando el alcance de su sistema de gestión. Esto
ayudará a mejorar la reputación e imagen de la empresa, puesto que refuerza su
compromiso con la seguridad de la información y con el cumplimiento de las leyes en
materia de protección de datos, como es el RGPD o la LOPDGDD, lo que sin duda se
convertirá en una ventaja competitiva.

Aquellas organizaciones que no cuenten con un sistema de gestión de la seguridad de la

información, o SGSI, y quieran certificarse tendrán que implementar conjuntamente la ISO
27001 y la ISO 27701. Esto es debido a que la nueva normativa es una extensión de los
requisitos de la ISO 27001 y de los códigos de buenas prácticas de la ISO 27002.

Adicionalmente, esta normativa es aplicable a todo tipo de organizaciones, sin importar su

tamaño o sector al que pertenezcan, incluyendo empresas tanto de ámbito público, como
privado u organizaciones gubernamentales o sin ánimo de lucro.
El estándar internacional IESO 31000:2018 define las condiciones que deben cumplir las
metodologías de análisis y gestión del riesgo que vayan a ser utilizadas.

El proceso de gestión del riesgo pasa por diferentes fases:

● Alcance, contexto, criterios: deben identificarse quienes son las partes
interesadas, los requisitos propios de la organización o las necesidades de
cumplimiento legal.
● Evaluación del riesgo: Esta fase se descompone a su vez en una serie de
actividades.

- Identificación: el propósito es encontrar, reconocer y describir los riesgos que

pueden ayudar o impedir a una organización lograr sus objetivos. En esta fase
debe realizar el inventario de activos, localizar aquellos elementos que tienen
valor para la organización y que pueden sufrir problemas de seguridad. Para
ello, se construye un árbol de activos que identifica cuáles son los procesos de
negocio, la información necesaria, las aplicaciones en donde ésta se procesa y
los recursos tecnológicos que dan soporte.
 - Análisis: una vez se han identificado todos los factores que determinan el
riesgo es posible calcular el valor del mismo. Para ello, se pueden utilizar
matrices de cálculo donde se termine la función matemática que será utilizada
para el cálculo del riesgo. Como regla general, el riesgo siempre será:
Probabilidad x Impacto.

- Valoración: el propósito de la valoración es apoyar a la toma de decisiones.

Puede conducir a una decisión de no hacer nada más; considerar opciones para
el tratamiento del riesgo; realizar un análisis adicional para comprender mejor el
riesgo; mantener los controles existentes; o reconsiderar los objetivos.
Llegados a este momento se deben tomar ya las primeras decisiones respecto a cuál será el
apetito de riesgo. La organización debe establecer el umbral entre lo asumible y aceptable o
entre los riesgos que deberán ser mitigados para incorporar medidas de seguridad que
garanticen una reducción de los mismos. En esta fase además se deben definir los dueños
de los riesgos.
● Tratamiento del riesgo: el objetivo es seleccionar e implementar opciones para
abordar el riesgo. La selección de las medidas de seguridad a aplicar tiene en
consideración la naturaleza de las mismas, su coste y el tipo de estrategia que
aplica la medida para la reducción del riesgo.
La Agencia Europea para la Seguridad de la Información y las Redes (ENISA) publicó a
finales de 2017 un manual para la seguridad de los datos personales. Este documento
establece medidas de carácter organizativo y de carácter técnico que deben ser
consideradas:

Medidas organizativas
● Política de Seguridad y procedimientos para la protección de datos
personales. La política de seguridad es un documento de alto nivel que
establece los principios básicos para la seguridad y protección de datos
personales en una organización. Constituye la base para la implementación de
todas las medidas técnicas y organizativas específicas.
● Roles y responsabilidades. Todas las personas de la organización con acceso
a datos personales deben tener responsabilidades claramente definidas y
documentadas, roles y una base de necesidad de conocimiento (revisado
regularmente).
● Política de control de acceso. Cada rol/usuario solo deberá tener nivel de
acceso a los datos personales que sea estrictamente necesario para la
realización de sus tareas relevantes.
● Gestión de activos. La gestión adecuada de hardware, software y recursos de
red es esencial para la seguridad de los datos personales, ya que permite el
control de los medios empleados en el tratamiento.
● Gestión del cambio. Tiene como objetivo sincronizar y controlar todos los
cambios realizados en el sistema de TI utilizado para el tratamiento de datos
personales.
 ● Relaciones con proveedores. El responsable del tratamiento utilizará
únicamente proveedores que proporcionen garantías suficientes para aplicar
medidas técnicas y organizativas adecuadas.
● Gestión de incidentes/violaciones de la seguridad de los datos. La
organización debe evaluar si esto conduce a una destrucción, pérdida,
alteración, divulgación no autorizada o acceso a datos personales transmitidos,
almacenados o procesados de forma no oficial o accidental.
● Continuidad de negocio. Es esencial para determinar los procesos y medidas
técnicas que la organización debe seguir en caso de una infracción de datos
personales o incidente. Como tal, complementa a la política de seguridad de la
organización, así como su plan de respuesta a la incidencia.
● Confidencialidad del personal. La organización debe garantizar que sus
empleados también brinden suficientes garantías de confidencialidad, tanto en
términos de experiencia técnica como de integridad personal. Se deben
implementar medidas específicas para asegurar que el personal involucrado en
el tratamiento de datos personales esté debidamente informado sobre su deber
de confidencialidad, así como para garantizar que este deber esté
suficientemente estipulado en las políticas de recursos humanos de la
organización.
Medidas técnicas
● Control de acceso y autenticación. Son medidas de seguridad básicas para la
protección contra el acceso no autorizado al sistema de TI utilizado para el
tratamiento de datos personales.
● Registros de actividad y monitorización. El uso de archivos de registro es
una medida de seguridad esencial que permite la identificación y el seguimiento
de las acciones del usuario respaldando así la responsabilidad en caso de
divulgación no autorizada, modificación o destrucción de datos personales.
● Seguridad de los datos almacenados. Esta categoría de medidas se relaciona
principalmente con el tratamiento de datos personales en bases de datos u
otros sistemas relevantes. El RGPD reconoce la capacidad de la
seudonimización para ayudar a proteger los derechos de las personas a la vez
que permite la utilidad de los datos.
● Seguridad de redes y comunicaciones. La seguridad de la red es importante
para la protección de los datos personales, tanto con respecto a las conexiones
externas como a la interconexión con otros sistemas de la organización.
● Copias de respaldo. Es un medio esencial para recuperarse frente a la pérdida
o destrucción de datos. La frecuencia y naturaleza de la copia de seguridad
dependerá, entre otros factores, del tipo de tratamiento, la valoración del
impacto en el negocio en caso de pérdida y de la naturaleza de los datos que se
procesan.
● Dispositivos móviles y portátiles. Estos dispositivos pueden ampliar el nivel
de servicios ofrecidos por el responsable de datos, pero aumentan la exposición
al robo y la pérdida accidental. Se debe tener especial cuidado para garantizar
que los datos corporativos no se vean comprometidos.
 ● Seguridad en el ciclo de vida de la aplicación. Durante todas las fases del
ciclo de vida de desarrollo de la aplicación, la organización debe garantizar que
se tenga en cuenta el cumplimiento de la protección de datos, incluida la
seguridad de los datos personales.
● Eliminación de los datos. El objetivo del borrado es eliminar o destruir
irreversiblemente los datos personales para que no se puedan recuperar. Al
desechar equipo obsoleto o redundante, el responsable de datos debe
asegurarse de que todos los datos almacenados previamente en los dispositivos
hayan sido borrados antes de su eliminación.
● Seguridad física. La seguridad física es igualmente importante para las
medidas de seguridad orientadas a la tecnología, ya que el acceso físico al
sistema de información puede ser la base de la estrategia general de seguridad.
El marco internacional de referencia en materia de Gobierno de las Tecnologías de la
Información (TI) queda establecido por la norma ISO 38500:2008. Esta norma resulta muy
útil para determinar los criterios de un buen gobierno de los procesos y decisiones
empresariales relacionados con el uso de los sistemas de información.

Tiene tres propósitos fundamentales:

● Asegurar que, si la norma es seguida de manera adecuada, las partes
implicadas puedan confiar en el gobierno corporativo de las TIC.
● Informar y orientar a los directores que controlan el uso de las TIC en su
organización.
● Proporcionar una base para la evaluación objetiva por parte de la alta dirección
en el Gobierno de las TIC.
La norma ISO 38500 configura seis principios del buen gobierno TI que deben ser aplicados,
expresando los objetivos que han de ser alcanzados:
● Principio 1. Responsabilidad. Los individuos y los grupos en la organización
han de comprender y aceptar sus respectivas responsabilidades en la oferta y
demanda de TI.
● Principio 2. Estrategia. La estrategia de negocio de la organización tiene en
consideración las capacidades, actuales y futuras, de las TIC.
● Principio 3. Adquisición. Las adquisiciones de TI se hacen por razones
válidas, con base en un análisis adecuado y constante, con decisiones claras y
transparentes.
● Principio 4. Rendimiento. La TI está configurada para dar soporte a la
organización, suministrando los servicios con la calidad adecuada para
satisfacer las necesidades actuales y futuras.
● Principio 5. Conformidad. La función de TI cumple todas las legislaciones y
normas que resultan de aplicación. Las políticas y prácticas al respecto están
definidas, implementadas y exigidas con claridad.
● Principio 6. Factor humano. Las políticas TIC, prácticas y decisiones ponen de
manifiesto el respeto al factor humano, donde se incluyen las necesidades
actuales y potenciales de toda la gente participante.
Para dar soporte a estos principios, se define un modelo que establece un ciclo de gestión
basado en el ciclo Evaluar-Dirigir-Monitorizar.
● Evaluar la utilización, actual y futura, de las TI. Los directivos habrían de
examinar y tomar conciencia del estado actual y futuro de las TI, incluidas
estrategias, propuestas y procedimientos establecidos. La evaluación debería
ser continua y tener en consideración las necesidades actuales y futuras del
negocio para poder alcanzar y mantener una ventaja competitiva y alcanzar los
objetivos específicos de las estrategias y propuestas que están siendo objeto de
evaluación.
● Dirigir la preparación e implementación de los planes y políticas que garanticen
que la utilización de las TI alcanza los objetivos de negocio.
● Monitorizar, por medio de un adecuado sistema de medida, la adecuación a las
políticas, procedimientos y planes establecidos.
La norma ISO 38500 establece el marco general y estratégico de gobierno de las TI y se
relaciona con otras normas y estándares existentes más centrados en aspectos concretos
como la gestión de TI, la seguridad de la información o la gestión de proyectos.
Son ejemplos de tratamiento a gran escala los siguientes:
● Tratamiento de datos de pacientes en el desarrollo normal de la actividad de un
hospital.
● Tratamiento de datos de desplazamiento de personas físicas que utilizan el
sistema de transporte público de una ciudad (p. ej. seguimiento a través de
tarjetas de transporte).
● Tratamiento de datos de geolocalización en tiempo real de clientes de una
cadena de comida rápida internacional con fines estadísticos por parte de un
Encargado del Tratamiento especializado en la prestación de estos servicios.
● Tratamiento de datos de clientes en el desarrollo normal de la actividad de una
empresa de seguros o un banco.
● Tratamiento de datos personales para publicidad basada en el comportamiento
por parte de un motor de búsqueda.
● Tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de
telefonía o de servicios de Internet.
Casos que no constituyen tratamiento a gran escala son los siguientes:
● Tratamiento de datos de pacientes por parte de un médico.
● Tratamiento de datos personales relativos a condenas y delitos penales por
parte de un abogado.
La nueva normativa, que adapta el derecho español al modelo establecido por el
Reglamento General de Protección de Datos (RGPD), introduce novedades mediante el
desarrollo de materias contenidas en el mismo.

La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que
los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que
debe informarse a las personas acerca del tratamiento de sus datos optándose,
específicamente en el ámbito de internet, por un sistema de información por capas que
permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del
tratamiento, pudiendo acceder a los restantes a través de un enlace directo.

Otro de los aspectos novedosos incluidos en la nueva normativa es que se reconoce

específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte
de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y
a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo
hubiera prohibido.

En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar
consentimiento de manera autónoma. También se regula expresamente el derecho a
solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad
de la información por el propio menor o por terceros durante su minoría de edad.

La Ley refuerza, como propuso la Agencia, las obligaciones del sistema educativo para
garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola
de forma específica en los currículums académicos y exigiendo que el profesorado reciba
una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo
de un año desde la entrada en vigor de la Ley un proyecto de ley dirigido específicamente a
garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la
inclusión de dicha formación en los currículums.

El texto regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad

de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido
facilitados por terceros en el ejercicio de actividades personales o domésticas.

Por otra parte, la Agencia ha propuesto que se recogieran en la Ley los sistemas de
denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una
entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la
normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan
acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este
modo, la Ley dota a las empresas de un mecanismo que les permite conciliar su propio
derecho con el derecho a la protección de datos de las personas.

Además, la Ley actualiza las garantías del derecho a la intimidad frente al uso de
dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo,
refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos
digitales puestos a disposición de los empleados, complementando la regulación del
derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral,
de los que deberán ser informados.

Otra novedad es la referida a la regulación de los sistemas de información crediticia (los

conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de
inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la
incorporación de las deudas a dichos sistemas. Con la anterior Ley, no existía una cantidad
mínima.

Por último, se modifica la Ley de competencia desleal, regulando como prácticas agresivas
las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con
el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de
ínfima calidad a las empresas.

Antecedentes Legislativos

La protección de las personas físicas en relación con el tratamiento de datos personales es

un derecho fundamental protegido por el artículo 18.4 de la Constitución española. De esta
manera, nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la
protección de datos de carácter personal cuando dispuso que «la ley limitará el uso de la
informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el
pleno ejercicio de sus derechos». Se hacía así́ eco de los trabajos desarrollados desde
finales de la década de 1960 en el Consejo de Europa y de las pocas disposiciones legales
adoptadas en países de nuestro entorno.

El Tribunal Constitucional señaló́ en su Sentencia 94/1998, de 4 de mayo, que nos

encontramos ante un derecho fundamental a la protección de datos por el que se garantiza
a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y
destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de
los afectados; de esta forma, el derecho a la protección de datos se configura como una
facultad del ciudadano para oponerse a que determinados datos personales sean usados
para fines distintos a aquél que justificó su obtención. Por su parte, en la Sentencia
292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente
que consiste en un poder de disposición y de control sobre los datos personales que faculta
a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un
particular, o cuáles puede este tercero recabar, y que también permite al individuo saber
quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.

A nivel legislativo, la concreción y desarrollo del derecho fundamental de protección de las

personas físicas en relación con el tratamiento de datos personales tuvo lugar en sus
orígenes mediante la aprobación de la Ley Orgánica 5/1992, de 29 de octubre, reguladora
del tratamiento automatizado de datos de carácter personal, conocida como LORTAD. La
Ley Orgánica 5/1992 fue reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de
protección de datos de carácter personal, a fin de trasponer a nuestro Derecho a la Directiva
95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos. Esta ley orgánica supuso un segundo hito en la evolución
de la regulación del derecho fundamental a la protección de datos en España y se
complementó́ con una cada vez más abundante jurisprudencia procedente de los órganos
de la jurisdicción contencioso-administrativa.

En segundo lugar, también se recoge en el artículo 8 de la Carta de los Derechos

Fundamentales de la Unión Europea; y en el artículo 16.1 del Tratado de Funcionamiento de
la Unión Europea. Anteriormente, a nivel europeo, se había adoptado la Directiva 95/46/CE
citada, cuyo objeto era procurar que la garantía del derecho a la protección de datos de
carácter personal no supusiese un obstáculo a la libre circulación de los datos en el seno de
la Unión, estableciendo así́ un espacio común de garantía del derecho que, al propio tiempo,
asegurase que en caso de transferencia internacional de los datos, su tratamiento en el país
de destino estuviese protegido por salvaguardas adecuadas a las previstas en la propia
directiva.

En los últimos anos de la pasada década se intensificaron los impulsos tendentes a lograr
una regulación más uniforme del derecho fundamental a la protección de datos en el marco
de una sociedad cada vez más globalizada. Así́, se fueron adoptando en distintas instancias
internacionales propuestas para la reforma del marco vigente. Y en este marco la Comisión
lanzó el 4 de noviembre de 2010 su Comunicación titulada «Un enfoque global de la
protección de los datos personales en la Unión Europea», que constituye el germen de la
posterior reforma del marco de la Unión Europea. Al propio tiempo, el Tribunal de Justicia de
la Unión ha venido adoptando a lo largo de los últimos años una jurisprudencia que resulta
fundamental en su interpretación.

El último hito en esta evolución tuvo lugar con la adopción del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general
de protección de datos), así́ como de la Directiva (UE) 2016/680 del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por parte de las autoridades competentes para
fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de
ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se
deroga la Decisión Marco 2008/977/JAI del Consejo.

El Reglamento general de protección de datos pretende con su eficacia directa superar los
obstáculos que impidieron la finalidad armonizadora de la Directiva 95/46/CE del Parlamento
Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos
datos. La transposición de la Directiva por los Estados miembros se ha plasmado en un
mosaico normativo con perfiles irregulares en el conjunto de la Unión Europea lo que, en
último extremo, ha conducido a que existan diferencias apreciables en la protección de los
derechos de los ciudadanos.

Asimismo, se atiende a nuevas circunstancias, principalmente el aumento de los flujos

transfronterizos de datos personales como consecuencia del funcionamiento del mercado
interior, los retos planteados por la rápida evolución tecnológica y la globalización, que ha
hecho que los datos personales sean el recurso fundamental de la sociedad de la
información. El carácter central de la información personal tiene aspectos positivos, porque
permite nuevos y mejores servicios, productos o hallazgos científicos. Pero tiene también
riesgos, pues las informaciones sobre los individuos se multiplican exponencialmente, son
más accesibles, por más actores, y cada vez son más fáciles de procesar mientras que es
más difícil el control de su destino y uso.

El Reglamento general de protección de datos supone la revisión de las bases legales del
modelo europeo de protección de datos más allá́ de una mera actualización de la vigente
normativa. Procede a reforzar la seguridad jurídica y transparencia a la vez que permite que
sus normas sean especificadas o restringidas por el Derecho de los Estados miembros en la
medida en que sea necesario por razones de coherencia y para que las disposiciones
nacionales sean comprensibles para sus destinatarios. Así́, el Reglamento general de
protección de datos contiene un buen número de habilitaciones, cuando no imposiciones, a
los Estados miembros, a fin de regular determinadas materias, permitiendo incluso en su
considerando 8, y a diferencia de lo que constituye principio general del Derecho de la Unión
Europea que, cuando sus normas deban ser especificadas, interpretadas o,
excepcionalmente, restringidas por el Derecho de los Estados miembros, estos tengan la
posibilidad de incorporar al Derecho nacional previsiones contenidas específicamente en el
reglamento, en la medida en que sea necesario por razones de coherencia y comprensión.

En este punto hay que subrayar que no se excluye toda intervención del Derecho interno en
los ámbitos concernidos por los reglamentos europeos. Al contrario, tal intervención puede
ser procedente, incluso necesaria, tanto para la depuración del ordenamiento nacional como
para el desarrollo o complemento del reglamento de que se trate. Así́, el principio de
seguridad jurídica, en su vertiente positiva, obliga a los Estados miembros a integrar el
ordenamiento europeo en el interno de una manera lo suficientemente clara y pública como
para permitir su pleno conocimiento tanto por los operadores jurídicos como por los propios
ciudadanos, en tanto que, en su vertiente negativa, implica la obligación para tales Estados
de eliminar situaciones de incertidumbre derivadas de la existencia de normas en el Derecho
nacional incompatibles con el europeo. De esta segunda vertiente se colige la consiguiente
obligación de depurar el ordenamiento jurídico. En definitiva, el principio de seguridad
jurídica obliga a que la normativa interna que resulte incompatible con el Derecho de la
Unión Europea quede definitivamente eliminada «mediante disposiciones internas de
carácter obligatorio que tengan el mismo valor jurídico que las disposiciones internas que
deban modificarse» (Sentencias del Tribunal de Justicia de 23 de febrero de 2006, asunto
Comisión vs. España; de 13 de julio de 2000, asunto Comisión vs. Francia; y de 15 de
octubre de 1986, asunto Comisión vs. Italia). Por último, los reglamentos, pese a su
característica de aplicabilidad directa, en la práctica pueden exigir otras normas internas
complementarias para hacer plenamente efectiva su aplicación. En este sentido, más que de
incorporación cabría hablar de «desarrollo» o complemento del Derecho de la Unión
Europea.

La adaptación al Reglamento general de protección de datos, que será aplicable a partir del
25 de mayo de 2018, según establece su artículo 99, requiere, en suma, la elaboración de
una nueva ley orgánica que sustituya a la actual. En esta labor se han preservado los
principios de buena regulación, al tratarse de una norma necesaria para la adaptación del
ordenamiento español a la citada disposición europea y proporcional a este objetivo, siendo
su razón última procurar seguridad jurídica.

Internet, por otra parte, se ha convertido en una realidad omnipresente tanto en nuestra vida
personal como colectiva. Una gran parte de nuestra actividad profesional, económica y
privada se desarrolla en la Red y adquiere una importancia fundamental tanto para la
comunicación humana como para el desarrollo de nuestra vida en sociedad. Ya en los años
noventa, y conscientes del impacto que iba a producir Internet en nuestras vidas, los
pioneros de la Red propusieron elaborar una Declaración de los Derechos del Hombre y del
Ciudadano en Internet.

Hoy identificamos con bastante claridad los riesgos y oportunidades que el mundo de las
redes ofrece a la ciudadanía. Corresponde a los poderes públicos impulsar políticas que
hagan efectivos los derechos de la ciudadanía en Internet promoviendo la igualdad de los
ciudadanos y de los grupos en los que se integran para hacer posible el pleno ejercicio de
los derechos fundamentales en la realidad digital. La transformación digital de nuestra
sociedad es ya una realidad en nuestro desarrollo presente y futuro tanto a nivel social como
económico. En este contexto, países de nuestro entorno ya han aprobado normativa que
refuerza los derechos digitales de la ciudadanía.
Los constituyentes de 1978 ya intuyeron el enorme impacto que los avances tecnológicos
provocarían en nuestra sociedad y, en particular, en el disfrute de los derechos
fundamentales. Una deseable futura reforma de la Constitución debería incluir entre sus
prioridades la actualización de la Constitución a la era digital y, específicamente, elevar a
rango constitucional una nueva generación de derechos digitales. Pero, en tanto no se
acometa este reto, el legislador debe abordar el reconocimiento de un sistema de garantía
de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato
impuesto por el apartado cuarto del artículo 18 de la Constitución Española y que, en
algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y
europea.

Para conocer más en profundidad el objeto o la finalidad que trae consigo la nueva
normativa, hemos de analizarlo desde una doble perspectiva, recogida en las primeras
páginas de desarrollo del articulado.

En primer lugar, se pretende lograr la adaptación del ordenamiento jurídico español al

Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016,
Reglamento general de protección de datos, y completar sus disposiciones (en adelante
RGPD o Reglamento (UE) 2016/679).

A su vez, establece que el derecho fundamental de las personas físicas a la protección de

datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a
lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

En este sentido, cabe añadir que las comunidades autónomas ostentan competencias de
desarrollo normativo y ejecución del derecho fundamental a la protección de datos
personales en su ámbito de actividad y a las autoridades autonómicas de protección de
datos que se creen les corresponde contribuir a garantizar este derecho fundamental de la
ciudadanía. En segundo lugar, es también objeto de la ley garantizar los derechos digitales
de la ciudadanía, al amparo de lo dispuesto en el artículo 18.4 de la Constitución.

Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras
excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas
vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el
acceso a los mismos, así́ como su rectificación o supresión, en su caso con sujeción a las
instrucciones del fallecido. También excluye del ámbito de aplicación los tratamientos que se
rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga
la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria cuarta la
aplicación a estos tratamientos de la Ley Orgánica 15/1999, de 13 de diciembre, hasta que
se apruebe la citada normativa.

La nueva LOPDGDD tiene un doble objetivo, que más claramente podemos observarlos del
siguiente modo:
a) Adaptar la normativa española al RGPD y completar sus disposiciones. Asimismo, el
derecho fundamental a la protección de datos de las personas físicas deberá ejercerse
conforme a esta normativa creada para este fin.

b) Garantizar los derechos digitales de la ciudadanía (que se detallarán a fondo en el

apartado creado al respecto) conforme a la obligación impuesta por nuestra norma suprema,
la Constitución Española, que concretamente recoge en el artículo 18.4 lo siguiente: “La ley
limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de
los ciudadanos y el pleno ejercicio de sus derechos.”
La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales se aplica:
● A cualquier tratamiento total o parcialmente automatizado de los datos relativos
a las personas físicas.
● Al tratamiento no automatizado de datos personales contenidos o destinados a
ser incluidos en un fichero.
● A los tratamientos de datos llevados a cabo por los órganos judiciales de los
procesos que desarrollen bajos sus funciones, así como la gestión de la Oficina
Judicial, aunque también deben estar a lo que se establezca por la Unión
Europea y en la Ley Orgánica del Poder Judicial.
En este caso, se hace necesario añadir una cuestión importante en la práctica, ya que en
virtud de la Directiva (UE) 2016/680 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de
27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por parte de las autoridades competentes para fines de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución
de sanciones penales, y a la libre circulación de dichos datos, se establece que, con fines de
investigación, pueden solicitar sin oficio ni requerimiento previo para la solicitud de datos
personales aquellos agentes de la autoridad que participen en una investigación en curso,
aunque no se elimina la obligación de identificación por parte de ese agente o autoridad que
solicita los datos.

De este modo, es conveniente recabar esos datos identificativos a través de un documento

justificativo firmado que también acredite la entrega o cesión de los derechos que nos
soliciten.

Por otro lado, se recogen aquellos tratamientos a los que no se le aplica la ley:
● A los tratamientos ya mencionados por el RGPD, entre los que se incluyen los
que se llevan a cabo por las personas físicas en sus actividades personales o
domésticas, es decir, en su vida diaria.
Dentro de este punto es conveniente mencionar que aquellos tratamientos que, de forma
obligatoria no han de seguir los principios y normas recogidas en la LOPDGDD, sí deben
seguir lo que se establece en la normativa específica creadas para esas materias en
relación con la protección de datos.
Entre estos ámbitos podemos encontrarnos con los tratamientos vinculados a la normativa
del régimen electoral general, las instituciones penitenciarias, el Registro Civil y los
Registros de la Propiedad y Mercantiles.
● A los tratamientos de datos de personas fallecidas, aunque aquí debamos hacer
un estudio de lo que se establece en el articulado para el tratamiento de estos
datos:
La LOPDGDD otorga a un catálogo de personas que enumeraremos a continuación a
dirigirse al responsable o encargado de tratamiento con el objeto de solicitar el acceso,
rectificación o supresión de los datos personales relativos a la persona que fallece. Este
catálogo sería el siguiente:
● Las personas vinculadas al fallecido por razones familiares o de hecho.
● Sus herederos.
Como excepción: las personas a las que se refiere el párrafo anterior no podrán acceder a
los datos del fallecido, ni solicitar su rectificación o supresión, cuando ésta lo hubiese
prohibido expresamente o así́ lo establezca una ley. Aunque debe tenerse en cuenta que
dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter
patrimonial de la persona fallecida.
● Personas o instituciones a las que el fallecido hubiese designado
expresamente.
● Por el Ministerio Fiscal o representantes legales si se trata de fallecimiento de
menores o personas con discapacidad.
● A los tratamientos sometidos a la normativa sobre protección de materias
clasificadas.
En lo que respecta a la entrada en vigor de la LOPDGDD conviene mencionar las enormes
dificultades que atravesó su proceso legislativo debido a la falta de estabilidad política que
permitiera un adecuado desarrollo del poder legislativo con la finalidad de aprobar nuevas
normas. La LOPDGDD finalmente entró en vigor el 7 de diciembre de 2018, siendo
plenamente aplicable a partir de esa fecha, un día después de su publicación en el BOE el 6
de diciembre.