Manual de legislación europea en materia de 

protección de datos

2.1.1. Principales aspectos del concepto de datos

personales
En el Derecho de la UE, así como en el Derecho del CdE, la definición de «datos per-
sonales» comprende toda información sobre una persona física identificada o iden-
tificable (136). Se refiere a información acerca de una persona cuya identidad sea
manifiestamente clara o se pueda determinar a partir de información adicional. Para
determinar si una persona es identificable, el responsable del tratamiento u otra
persona deberá tener en cuenta todos los medios razonables que puedan utilizarse
para identificar de manera directa o indirecta a la persona física, como por ejemplo
la singularización, que permite tratar a una persona de forma diferente a otra (137).

Si se tratan datos de dicha persona, esta persona se denominará el «interesado».

El interesado

En el Derecho de la UE, las personas físicas son las únicas beneficiarias de las nor-
mas de protección de datos (138) y únicamente los seres vivos están protegidos por la
legislación europea sobre protección de datos (139). El Reglamento general de protec-
ción de datos (RGPD) define los datos personales como toda información sobre una
persona física identificada o identificable.

(136) Reglamento general de protección de datos, artículo 4, apartado 1; Convenio 108 modernizado,

artículo 2, letra a).
(137) Reglamento general de protección de datos, considerando 26.
(138) Ibíd., artículo 1.
(139) Ibíd., considerando 27. Véase también Grupo de Trabajo del Artículo 29 (2007), Dictamen 4/2007 sobre
el concepto de datos personales, WP 136, 20 de junio de 2007, p. 22.

96
 Terminología de protección de datos

El Derecho del CdE, en particular el Convenio 108 modernizado, también se refiere

a la protección de las personas físicas en relación con el tratamiento de sus datos
personales. También ahí se entiende por datos personales toda información sobre
una persona física identificada o identificable. Esta persona física es conocida en la
legislación sobre protección de datos como «el interesado».

Las personas jurídicas también gozan de cierta protección. Existe jurisprudencia del
TEDH en relación con demandas de personas jurídicas que alegan la violación de su
derecho a la protección contra el uso de sus datos, de conformidad con el artículo 8
del CEDH. El artículo 8 del CEDH comprende el derecho al respeto de la vida privada
y familiar y también del domicilio y la correspondencia. Por tanto, el Tribunal puede
examinar casos en virtud de este último derecho, en lugar del derecho a la vida
privada.

Ejemplo: Bernh Larsen Holding AS y otros contra Noruega (140) trataba de una

demanda presentada por tres empresas noruegas contra una resolución de
la administración fiscal, que les ordenaba facilitar a los auditores fiscales
una copia de todos los datos almacenados en un servidor que todas ellas
utilizaban conjuntamente.

El TEDH determinó que dicha obligación de las empresas demandantes

constituía una injerencia en sus derechos al respeto al «domicilio» y la
«correspondencia», en virtud de lo dispuesto en el artículo 8 del CEDH.
No obstante, el Tribunal dictaminó que las autoridades fiscales contaban
con garantías efectivas y adecuadas contra los abusos: las empresas
demandantes habían sido notificadas con bastante antelación; estuvieron
presentes y pudieron realizar aportaciones durante la intervención in situ;
y el material debía destruirse una vez finalizada la inspección fiscal. En esas
circunstancias, se había logrado un equilibrio justo entre el derecho al respeto
del «domicilio» y la «correspondencia» de las empresas demandantes y su
interés en proteger la privacidad de las personas que trabajaban para ellas,
por un lado, y el interés público de garantizar una inspección eficaz a efectos
de la declaración de impuestos, por otro lado. El Tribunal resolvió que no
había existido una violación del artículo 8.

(140) TEDH, Bernh Larsen Holding AS y otros contra Noruega, n.o 24117/08, 14 de marzo de 2013. Véase
asimismo, en cambio, TEDH, Liberty y otros contra Reino Unido, n.o 58243/00, 1 de julio de 2008.

97
Manual de legislación europea en materia de protección de datos

De acuerdo con el Convenio 108 modernizado, la protección de datos tiene que ver

fundamentalmente con la protección de las personas físicas, si bien las Partes Con-
tratantes pueden extender dicha protección a personas jurídicas como empresas
y asociaciones en su Derecho nacional. El Informe explicativo del Convenio moder-
nizado establece que el Derecho nacional puede proteger los intereses legítimos
de las personas jurídicas extendiendo el ámbito de aplicación del Convenio a estos
agentes (141). La legislación de la UE sobre protección de datos no cubre el trata-
miento de datos que conciernan a personas jurídicas, y en particular no afecta a las
empresas establecidas como personas jurídicas, incluidos el nombre y la forma de la
persona jurídica, así como sus datos de contacto (142) No obstante, la Directiva sobre
la privacidad y las comunicaciones electrónicas sí protege la confidencialidad de las
comunicaciones y los intereses legítimos de las personas jurídicas en relación con
el incremento de la capacidad de almacenamiento y tratamiento automatizado de
datos relativos a abonados y usuarios (143). Del mismo modo, el proyecto de Regla-
mento sobre la privacidad y las comunicaciones electrónicas extiende la protección
a las personas jurídicas.

Ejemplo: En Volker und Markus Schecke (144), el TJUE, en relación con la

publicación de los datos personales de los beneficiarios de ayudas agrícolas,
sostuvo que «las personas jurídicas solo pueden acogerse a la protección
de los artículos 7 y 8 de la Carta frente a dicha identificación en la medida
en que en la razón social de la persona jurídica se identifique a una o varias
personas físicas. [...E]l respeto del derecho a la vida privada en lo que
respecta al tratamiento de los datos de carácter personal, reconocido por
los artículos 7 y 8 de la Carta, se aplica a toda información sobre una persona
física identificada o identificable […]» (145).

Ponderando el interés de la UE de garantizar la transparencia en la concesión

de las ayudas, por una parte, y los derechos fundamentales a la privacidad y la
protección de los datos de las personas beneficiarias de dichas ayudas, por
otra, el TJUE consideró que la injerencia en estos derechos fundamentales era

(141) Informe explicativo del Convenio 108 modernizado para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal, apartado 30.
(142) Reglamento general de protección de datos, considerando 14.
(143) Directiva sobre la privacidad y las comunicaciones electrónicas, considerando 7 y artículo 1, apartado 2.
(144) TJUE, asuntos acumulados C-92/09 y C-93/09, Volker und Markus Schecke GbR y Hartmut Eifert contra
Land Hessen [GS], 9 de noviembre de 2010, apartado 53.
(145) Ibíd., apartados 52-53.

98
 Terminología de protección de datos

desproporcionada. Consideró que el objetivo de transparencia se podría haber

logrado de manera efectiva con medidas menos invasivas para los derechos
de las personas afectadas. Sin embargo, al examinar la proporcionalidad de la
publicación de información relativa a personas jurídicas receptoras de ayudas,
el TJUE alcanzó una conclusión diferente y resolvió que dicha publicación no
sobrepasaba los límites del principio de proporcionalidad. Declaró que «para
las personas jurídicas, la gravedad de la lesión del derecho a la protección de
sus datos de carácter personal se presenta de forma diferente que para las
personas físicas» (146). Las personas jurídicas estaban sujetas a obligaciones
más onerosas en relación con la publicación de información sobre ellas. El
TJUE consideró que supondría una carga administrativa desmesurada para
las autoridades nacionales competentes obligarlas a examinar si los datos
de cada persona jurídica identifican a alguna persona jurídica beneficiaria
de ayudas, antes de publicar tales datos. Por lo tanto, la legislación que
exigía una publicación generalizada de los datos relativos a personas jurídicas
respetaba un justo equilibrio entre los intereses enfrentados.

Naturaleza de los datos

Cualquier tipo de información puede ser considerada datos personales siempre que
estos hagan referencia a una persona identificada o identificable.

Ejemplo: La evaluación del desempeño laboral de un empleado por parte

de un superior, conservada en el expediente laboral del empleado, son
datos personales acerca del empleado. Esto es así aunque puedan reflejar
únicamente, en todo o en parte, la opinión personal del superior, como por
ejemplo: «el empleado no muestra dedicación por su trabajo»; en lugar de
hechos concretos, como sería: «el empleado se ha ausentado del trabajo
durante cinco semanas en los últimos seis meses».

Los datos personales comprenden información relativa a la vida privada de una
persona, que también incluye sus actividades profesionales, así como información
sobre su vida pública.

(146) Ibíd., apartado 87.

99
Manual de legislación europea en materia de protección de datos

En Amann (147), el TEDH interpretó que el término «datos personales» no se limitaba

a las cuestiones del ámbito privado de una persona física. Este significado del tér-
mino «datos personales» también es relevante para el RGPD.

Ejemplo: En Volker und Markus Schecke (148), el TJUE declaró que «[a] este
respecto es irrelevante el hecho de que los datos publicados se refieran
a actividades profesionales […]. El Tribunal Europeo de Derechos Humanos
ha declarado a este respecto, en referencia a la interpretación del artículo 8
del Convenio 108, que los términos “vida privada” no debían interpretarse
restrictivamente y que “ninguna razón de principio permite excluir las
actividades profesionales [...] del concepto de “vida privada”».

Ejemplo: En los asuntos acumulados YS contra Minister voor Immigratie,

Integratie en Asiel y Minister voor Immigratie, Integratie en Asiel contra
M y S (149), el TJUE declaró que el análisis jurídico incluido en un proyecto
de resolución del servicio de inmigración y naturalización relativo a las
solicitudes de permisos de residencia no constituye en sí mismo un dato
personal, aunque puede incluir datos personales.

La jurisprudencia del TEDH relativa al artículo 8 del CEDH confirma que puede
resultar difícil separar completamente los aspectos de la vida privada y de la vida
profesional (150).

Ejemplo: En Bărbulescu contra Rumanía (151), el demandante había sido

despedido por utilizar la internet de su empleador en horario laboral
vulnerando el reglamento interno. Su empleador había vigilado sus
comunicaciones y presentó las grabaciones, que recogían mensajes de
carácter puramente privado, durante el procedimiento nacional. El TEDH
resolvió que el artículo 8 era de aplicación y dejó abierta la cuestión de
si el restrictivo reglamento del empleador dejaba al demandante una

(147) Véase TEDH, Amann contra Suiza [GS], n.o 27798/95, 16 de febrero de 2000, apartado 65.
(148) TJUE, asuntos acumulados C-92/09 y C-93/09, Volker und Markus Schecke GbR y Hartmut Eifert contra
Land Hessen [GS], 9 de noviembre de 2010, apartado 59.
(149) TJUE, asuntos acumulados C-141/12 y C-372/12, YS contra Minister voor Immigratie, Integratie en Asiel
y Minister voor Immigratie, Integratie en Asiel contra M y S, 17 de julio de 2014, apartado 39.
(150) Véase, por ejemplo, TEDH, Rotaru contra Rumanía [GS], n.o 28341/95, 4 de mayo de 2000, apartado 43;
TEDH, Niemietz contra Alemania, n.o 13710/88, 16 de diciembre de 1992, apartado 29.
(151) TEDH, Bărbulescu contra Rumanía [GS], n.o 61496/08, 5 de septiembre de 2017, apartado 121.

100
 Terminología de protección de datos

expectativa razonable de privacidad, pero en cualquier caso determinó que

las instrucciones del empleador no podían reducir a cero la vida social privada
en el lugar de trabajo. En lo que respecta al fondo del asunto, se debía
otorgar a los Estados Contratantes un amplio margen de apreciación para
determinar la necesidad de establecer un marco jurídico que reglamentase
las condiciones en las que un empleador podía regular las comunicaciones
no profesionales de sus empleados —por medios electrónicos u otros— en el
lugar de trabajo. No obstante, las autoridades nacionales debían asegurarse
de que la introducción por parte de un empleador de medidas de vigilancia
de la correspondencia y otras comunicaciones, al margen del alcance
y duración de tales medidas, fuera acompañada de garantías adecuadas
y suficientes contra los abusos. Era esencial respetar la proporcionalidad
y disponer de garantías procesales contra la arbitrariedad y el TEDH señaló
una serie de factores pertinentes en las circunstancias en cuestión. Estos
factores incluían, por ejemplo, el alcance de la vigilancia de los empleados
por parte del empleador y el grado de invasión de la privacidad del empleado,
las consecuencias para este último y si se habían establecido garantías
adecuadas. Además, las autoridades nacionales debían garantizar que un
empleado cuyas comunicaciones hubieran sido objeto de vigilancia dispusiera
de un recurso ante un órgano judicial con jurisdicción para determinar, al
menos en el fondo, cómo se habían respetado los criterios establecidos
y si las medidas impugnadas eran lícitas. En este caso, el TEDH resolvió que
existía una violación del artículo 8 porque las autoridades nacionales no
habían protegido adecuadamente el derecho del demandante al respeto de
su vida privada y su correspondencia y, en consecuencia, no habían alcanzado
un equilibrio justo entre los intereses enfrentados.

Tanto en el Derecho de la Unión Europea como en el Derecho del CdE, la información

contiene datos sobre una persona si:

• la persona es identificada o identificable con esta información; o

• en dicha información se singulariza a la persona, aunque no se identifique, de

manera que fuera posible averiguar quién es el interesado si se llevara a cabo
una mayor investigación.

Ambos tipos de información están protegidos del mismo modo por la legislación
europea en materia de protección de datos. La identificabilidad directa o indirecta

101
Manual de legislación europea en materia de protección de datos

de las personas físicas requiere una apreciación continua, «teniendo en cuenta tanto
la tecnología disponible en el momento del tratamiento como los avances tecnoló-
gicos» (152). El TEDH ha declarado en repetidas ocasiones que el concepto de «datos
personales» con arreglo al CEDH es el mismo que el que se contempla en el Conve-
nio 108, en especial por lo que respecta a la condición de que se refieran a personas
identificadas o identificables (153).

El RGPD establece que una persona física es identificable cuando su «identidad

pueda determinarse, directa o indirectamente, en particular mediante un identifi-
cador, como por ejemplo un nombre, un número de identificación, datos de localiza-
ción, un identificador en línea o uno o varios elementos propios de la identidad física,
fisiológica, genética, psíquica, económica, cultural o social de dicha persona» (154).
Por lo tanto, la identificación requiere elementos que describan a una persona de
un modo que permita distinguirla de todas las demás y reconocerla de forma indi-
vidual. El nombre de una persona es un ejemplo excelente de tales elementos des-
criptivos y puede identificar directamente a una persona. En algunos casos, otros
atributos pueden tener efectos similares a los del nombre y hacer que una persona
sea identificable directamente. El número de teléfono, el número de la seguridad
social o el número de matrícula de un vehículo son ejemplos de datos que pueden
hacer que una persona sea identificable. También es posible utilizar atributos —como
archivos informáticos, cookies y herramientas de control de tráfico web— para sin-
gularizar a las personas físicas identificando su comportamiento y sus hábitos. Como
se explica en un dictamen del Grupo de Trabajo del Artículo 29, «[s]in ni siquiera
solicitar el nombre y la dirección de la persona es posible incluirla en una categoría,
sobre la base de criterios socioeconómicos, psicológicos, filosóficos, o de otro tipo,
y atribuirle determinadas decisiones, puesto que el punto de contacto del individuo
(un ordenador) hace innecesario conocer su identidad en sentido estricto» (155). La
definición de datos personales, tanto en el Derecho de la UE como en el Derecho del
CdE, es suficientemente amplia para abarcar todas las posibilidades de identificación
(y, por tanto, todos los grados de identificabilidad).

(152) Reglamento general de protección de datos, considerando 26.

(153) Véase TEDH, Amann contra Suiza [GS], n.o 27798/95, 16 de febrero de 2000, apdo. 65.
(154) Reglamento general de protección de datos, artículo 4, apartado 1.
(155) Grupo de Trabajo del Artículo 29, Dictamen 4/2007 sobre el concepto de datos personales, WP 136, 20
de junio de 2007, p. 15.

102
 Terminología de protección de datos

Ejemplo: En Promusicae contra Telefónica de España (156), el TJUE declaró que

«[t]ampoco se discute que la comunicación de los nombres y direcciones
de determinados usuarios de [una determinada plataforma de intercambio
de archivos por internet] implique la comunicación de datos personales, es
decir, de información sobre las personas físicas identificadas o identificables,
conforme a la definición que figura en el artículo 2, letra a), de la Directiva
95/46 [actualmente el artículo 4, apartado 1, del RGPD]. Esta comunicación
de datos que, según Promusicae, almacena Telefónica —cuestión que ésta
no niega—, constituye un tratamiento de datos personales» (157).

Ejemplo: Scarlet Extended SA contra Société belge des auteurs, compositeurs

et éditeurs SCRL (SABAM) (158) trataba de la negativa del proveedor de
servicios de internet de instalar un sistema de filtrado de las comunicaciones
electrónicas que utilizan los programas de intercambio de archivos para evitar
que se compartan archivos vulnerando los derechos de autor protegidos por
SABAM, una empresa de gestión que representa a autores, compositores
y editores. El TJUE resolvió que las direcciones IP de los usuarios «son datos
protegidos de carácter personal, ya que permiten identificar concretamente
a tales usuarios».

Dado que muchos nombres no son únicos, es posible que para establecer la iden-
tidad de una persona sean necesarios otros atributos que garanticen que no se
confunda a una persona con otra. A veces, puede ser necesario combinar atributos
directos e indirectos para identificar a la persona a la que se refiere la información.
Con frecuencia se utiliza la fecha y el lugar de nacimiento. Además, en algunos paí-
ses se han introducido números personalizados para distinguir mejor a los ciudada-
nos. Los datos fiscales transferidos (159), los datos relativos al solicitante de un docu-
mento de residencia incluido en un documento administrativo (160) y los documentos

(156) TJUE, C-275/06, Productores de Música de España (Promusicae) contra Telefónica de España SAU [GS],
29 de enero de 2008, apartado 45.
(157) Antigua Directiva 95/46, artículo 2, letra b), actual Reglamento general de protección de datos,
artículo 4, apartado 2.
(158) TJUE, C-70/10, Scarlet Extended SA contra Société belge des auteurs, compositeurs et éditeurs SCRL
(SABAM), 24 de noviembre de 2011, apartado 51.
(159) TJUE, C-201/14, Smaranda Bara y otros contra Casa Naţională de Asigurări de Sănătate y otros, 1 de
octubre de 2015.
(160) TJUE, asuntos acumulados C-141/12 y C-372/12, YS contra Minister voor Immigratie, Integratie en Asiel
y Minister voor Immigratie, Integratie en Asiel contra M y S, 17 de julio de 2014.

103
Manual de legislación europea en materia de protección de datos

relativos a relaciones bancarias y fiduciarias (161) pueden ser datos personales. Los

datos biométricos, como las impresiones dactilares, fotografías digitales o imágenes
del iris, los datos de localización y los atributos en línea se utilizan cada vez más para
identificar a las personas en la era tecnológica.

En lo que atañe a la aplicabilidad de la legislación europea en materia de protec-

ción de datos, sin embargo, no es necesaria la propia identificación del interesado,
sino que basta que la persona en cuestión sea identificable. Se considera que una
persona es identificable si se dispone de elementos suficientes para identificar a la
persona de forma directa o indirecta (162). De conformidad con el considerando 26
del RGPD, el criterio de referencia es si puede ser que los usuarios previsibles de
la información tengan a su disposición y administren medios razonables de identi-
ficación, entre los que se incluye la información que obre en poder de los terceros
destinatarios (véase la sección 2.3.2).

Ejemplo: Una autoridad local decide recopilar datos de los automóviles que
circulan por las calles de su localidad. Para ello, toma fotografías de los
automóviles, grabando automáticamente la hora y la ubicación, para pasar
dichos datos a la autoridad competente, de forma que esta pueda imponer
multas a quienes han infringido los límites de velocidad. Un interesado
presenta una reclamación, alegando que la autoridad local carece de base
jurídica para recopilar esos datos con arreglo a la legislación en materia
de protección de datos. La autoridad local mantiene que no recopila datos
personales. Las matrículas, afirma, son anónimas. La autoridad local no está
legalmente autorizada a acceder al registro general de vehículos a fin de
descubrir la identidad del propietario o del conductor del automóvil.

Este razonamiento no es conforme con el considerando 26 del RGPD.

Dado que la finalidad de la recopilación de datos es claramente identificar
y sancionar a los conductores que circulan a una velocidad excesiva, es
previsible que se intente su identificación. Aunque las autoridades locales
no disponen directamente de medios de identificación, transmiten los datos
a la autoridad competente, la policía, que sí dispone de esos medios. En el
considerando 26 también se menciona de manera expresa una situación en
la que es previsible que otros destinatarios de los datos, distintos del usuario
inmediato de estos, puedan intentar identificar a la persona física. En vista

(161) TEDH, M.N. y otros contra San Marino, n.o 28005/12, 7 de julio de 2015.
(162) Reglamento general de protección de datos, artículo 4, apartado 1.

104
 Terminología de protección de datos

de lo dispuesto en el considerando 26, la actuación de la autoridad local

equivale a recopilar datos sobre personas identificables y, por tanto, exige
la existencia de una base jurídica con arreglo a la legislación en materia de
protección de datos.

Para «determinar si existe una probabilidad razonable de que se utilicen medios

para identificar a una persona física, deben tenerse en cuenta todos los factores
objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en
cuenta tanto la tecnología disponible en el momento del tratamiento como los avan-
ces tecnológicos» (163).

Ejemplo: En Breyer contra Bundesrepublik Deutschland (164), el TJUE examinó el

concepto de la identificabilidad indirecta de los interesados. El asunto trataba
de las direcciones IP dinámicas, que cambian cada vez que se establece una
nueva conexión a internet. Los sitios web gestionados por las instituciones
federales alemanas registraban y almacenaban las direcciones IP dinámicas
para evitar ataques cibernéticos y para ejercitar acciones penales en caso
necesario. Solo el proveedor de servicios de internet que utilizaba Mr. Breyer
disponía de la información adicional necesaria para identificarle.

El TJUE consideró que una dirección IP dinámica, que un proveedor de

servicios de medios en línea registra cuando una persona accede a un
sitio web que dicho proveedor hace accesible al público, constituye datos
personales cuando solo un tercero —el proveedor de servicios de internet
en este caso— tiene los datos adicionales necesarios para identificar a esa
persona (165). Sostuvo que «no es necesario que toda la información que
permita identificar al interesado deba encontrarse en poder de una sola
persona» para que la información sea constitutiva de datos personales.
Los usuarios de una dirección IP dinámica registrada por un proveedor de
servicios de internet pueden ser identificados en determinadas situaciones,
por ejemplo en el marco de un proceso penal en caso de ataques cibernéticos,

(163) Ibíd., considerando 26.

(164) TJUE, C-582/14, Patrick Breyer contra Bundesrepublik Deutschland, 19 de octubre de 2016, apartado 43.
(165) Antigua Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa
a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, artículo 2, letra a).

105
Manual de legislación europea en materia de protección de datos

con la ayuda de otras personas (166). Según el TJUE, cuando el proveedor

«disponga de medios legales que le permitan identificar a la persona
interesada gracias a la información adicional de que dispone el proveedor
de acceso a internet de dicha persona», esto constituiría «un medio que
pueda ser razonablemente utilizado para identificar al interesado». Por tanto,
estos datos se consideran datos de carácter personal.

Según el Derecho del CdE, la identificabilidad debe entenderse de un modo similar.

El Informe explicativo del Convenio 108 modernizado incluye una descripción simi-
lar: el concepto de «identificable» no solo se refiere a la identidad civil o jurídica de
la persona física como tal, sino también a lo que puede permitir que una persona
sea «individualizada» o singularizada respecto de los demás y, en consecuencia,
que pueda recibir un trato diferente. Esta «individualización» podría efectuarse,
por ejemplo, haciendo referencia a esa persona en concreto, o a un dispositivo
o conjunto de dispositivos (ordenador, teléfono móvil, cámara, dispositivos de jue-
gos, etc.) vinculado a un número de identificación, un seudónimo, datos biométri-
cos o genéticos, datos de localización, una dirección IP u otro identificador (167). Una
persona física no se considera «identificable» si su identificación requiere dedicar
tiempo, esfuerzo o recursos más allá de lo razonable. Este es el caso, por ejemplo,
cuando para identificar al interesado serían necesarias operaciones excesivamente
complejas, prolongadas en el tiempo y costosas. La apreciación de si el tiempo, el
esfuerzo o los recursos dedicados van más allá de lo razonable o no es algo que
debe determinarse caso por caso teniendo en cuenta factores como la finalidad del
tratamiento, los costes y beneficios de la identificación, el tipo de responsable del
tratamiento y la tecnología utilizada (168).

En cuanto a la forma de conservación o uso de los datos personales, es importante

señalar que no es relevante para la aplicabilidad de la legislación sobre protección
de datos. Las comunicaciones escritas o habladas pueden incluir datos personales

(166) TJUE, C-70/10, Scarlet Extended SA contra Société belge des auteurs, compositeurs et éditeurs SCRL
(SABAM), 24 de noviembre de 2011, apartados 47-48.
(167) Informe explicativo del Convenio 108 modernizado para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal, apartado 18.
(168) Ibíd., apartado 16.

106
 Terminología de protección de datos

y también imágenes (169), en particular las filmaciones (170) o el sonido (171) de un sis-

tema de circuito cerrado de televisión (CCTV). La información grabada por medios
electrónicos y la información en papel también pueden ser datos de carácter perso-
nal. Incluso las muestras de tejido humano —que contienen el ADN de una persona—
pueden ser fuentes de datos biométricos (172), en la medida en que estos datos están
relacionados con las características genéticas heredadas o adquiridas de una per-
sona física, proporcionan información única acerca de su salud o fisiología y se obtie-
nen del análisis de una muestra biológica de esa persona (173).

(169) TEDH, Von Hannover contra Alemania, n.o 59320/00, 24 de junio de 2004; TEDH, Sciacca contra Italia,
n.o 50774/99, 11 de enero de 2005; TJUE, C-212/13, František Ryneš contra Úřad pro ochranu osobních
údajů, 11 de diciembre de 2014.
(170) TEDH, Peck contra Reino Unido, n.o 44647/98, 28 de enero de 2003; TEDH, Köpke contra Alemania (dic.),
n.o 420/07, 5 de octubre de 2010; SEPD (2010), Directrices de videovigilancia del SEPD, 17 de marzo
de 2010.
(171) TEDH, P.G. y J.H. contra Reino Unido, n.o 44787/98, 25 de septiembre de 2001, apartados 59-60; TEDH,
Wisse contra Francia, n.o 71611/01, 20 de diciembre de 2005 (versión en francés).
(172) Véase Grupo de Trabajo del Artículo 29 (2007), Dictamen 4/2007 sobre el concepto de datos
personales, WP136, 20 de junio de 2007, p. 9; Consejo de Europa, Recomendación Rec(2006) 4 del
Comité de Ministros a los Estados miembros sobre la investigación con materiales biológicos de origen
humano, 15 de marzo de 2006.
(173) Reglamento general de protección de datos, artículo 4, apartado 13.

107