Programa Executive Delegado de Protección de

Datos (DPD)
Dominio 1. Normativa General de Protección de Datos

Tema 1.2. El Reglamento Europeo de Protección de datos y

actualización de LOPD. Fundamentos

2019/2020
Índice

1. INTRODUCCIÓN 3

2. OBJETIVOS Y REFLEXIÓN INICIAL 3

3. ENTRADA EN VIGOR Y APLICACIÓN DIRECTA 3

4. OBJETO Y ÁMBITO DE APLICACIÓN 4

4.1 Objeto 7

4.2 Ámbito de aplicación material. 8

4.3 Ámbito de aplicación territorial. 9

5. DATOS PERSONALES 11

5.1 Seudonimización vs anonimización 12

5.1.1 Preguntas frecuentes 13

5.2 Datos genéticos y biométricos 14

5.2.1 Preguntas frecuentes 15

5.3 Definiciones del RGPD 16

6. SUJETOS OBLIGADOS 20

7. RESUMEN Y ESQUEMA CONCEPTUAL 21

8. GLOSARIO 22

9. BIBLIOGRAFÍA 24

10. FOROS DE DEBATE 24

Página 2/24
1. INTRODUCCIÓN

El RGPD entró en vigor a los 20 días de su publicación en el Diario Oficial de la Unión

Europea, es decir el 24 de mayo de 2016, sin embargo, conforme el art. 99 del RGPD,
el mismo sólo será directamente aplicable y obligatorio en todos sus elementos en cada
Estado Miembros a partir del 25 de mayo de 2018. Conforme al mencionado artículo
los Estados Miembros y sus respectivas Autoridades de Control dispusieron de un
periodo de 2 años para su maduración, preparación, aplicación e interpretación de los
distintos derechos y obligaciones que establece.

En el presente capítulo estudiaremos el objeto y ámbito de aplicación material del

RGPD, es decir el Data de Carácter Personal. Analizaremos el proceso de
seudonimización y anonimización del dato, así como la aplicación territorial del mismo.
Por último, se estudiarán las definiciones que se han incluido en el RGPD para terminar
con los distintos sujetos obligados por el RGPD.

2. OBJETIVOS Y REFLEXIÓN INICIAL

El derecho a la protección de datos personales deriva directamente del derecho

fundamental a la intimidad, recogido en el artículo 18.4 de la Constitución Española,
y reconocido por el Tribunal Constitucional en la STC 292/2000.

“El derecho fundamental a la protección de datos, a diferencia del derecho a

la intimidad del art. 18.1 CE, atribuye a su titular un haz de facultades que
consiste en su mayor parte en el poder jurídico de imponer a terceros la
realización u omisión de determinados comportamientos”.

El derecho a la protección de datos por tanto según nuestro más alto Tribunal atribuye
al titular del mismo un poder de disposición y control sobre los datos, configurándose
estos como cualquier tipo de dato personal sea o no íntimo, porque su objeto no es
sólo la intimidad individual, sino los datos de carácter personal.

Los ciudadanos por tanto tienen el derecho a controlar sus datos y a saber quién los
está tratando, porque motivo, y si recabaron el consentimiento oportuno o por el
contrario se justificó el tratamiento en un contrato, una ley, un servicio público o un
interés legítimo.

3. ENTRADA EN VIGOR Y APLICACIÓN DIRECTA

El RGPD entró en vigor a los 20 días de su publicación en el Diario Oficial de la Unión

Europea, es decir el 24 de mayo de 2016, sin embargo, conforme el art. 99 del RGPD,
el mismo sólo fue directamente aplicable y obligatorio en todos sus elementos en
cada Estado Miembros a partir del 25 de mayo de 2018.

Página 3/24
Conforme al mencionado artículo los Estados Miembros y sus respectivas Autoridades
de Control dispusieron de un periodo de 2 años para su maduración, preparación,
aplicación e interpretación de los distintos derechos y obligaciones que establece. Esto
supone, que las leyes nacionales de protección han dejado de ser aplicables en la
medida en que se opongan al contenido del Reglamento.

Por otro lado, en la medida en que el RGPD establezca que sus normas deben ser
especificadas o restringidas por el Derecho de los Estados miembros, será necesario la
incorporación al Derecho nacional de diversos elementos del RGPD para que las
disposiciones nacionales sean comprensibles para todos los ciudadanos de la Unión.

Siguiendo estas directrices marcadas por el RGPD, el Ministerio de Justicia ha encargó

a la Sección Tercera de la Comisión General de Codificación, presidida por José Luis
Piñar Mañas, el estudio o redacción del borrador de Ley Orgánica de Protección de
Datos en España, de tal forma que la misma sea modificada en la medida en que se
oponga al contenido del Reglamento e introduzca aquellos elementos necesarios del
RGPD que permita una mejor comprensión para los ciudadanos españoles. Así mismo,
el RGPD fue estudiado por la Agencia Española de Protección de Datos en conjunto con
diversas Asociaciones y Operadores sectoriales para la elaboración de guías de trabajo
que en la actualidad facilitan la aplicación y comprensión del RGPD en España.
Igualmente, el Grupo de Trabajo 29 a realizado los correspondientes estudios, de tal
manera que determinados conceptos que hayan podido quedar indeterminados o de
difícil interpretación han sido abordados y estudiados durante este tiempo para su
correcta aplicación e implantación en la Unión Europea.

Importante

El RGPD entra en vigor el 24 de mayo de 2016 pero es de aplicación obligatoria

para todos los Estados miembros el 25 de mayo de 2018.

4. OBJETO Y ÁMBITO DE APLICACIÓN

El derecho a la protección de datos personales deriva directamente del derecho

fundamental a la intimidad, recogido en el artículo 18.4 de la Constitución Española,
y reconocido por el Tribunal Constitucional en la STC 292/2000.

El fundamento quinto de dicha sentencia confirma la interpretación conforme a la cual

el art. 18.4 de la CE incorpora un nuevo derecho fundamental a la protección de datos.

“Este derecho fundamental a la protección de datos, a diferencia del derecho a la

intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz
protección constitucional de la vida privada personal y familiar, atribuye a su titular
un haz de facultades que consiste en su mayor parte en el poder jurídico de
imponer a terceros la realización u omisión de determinados comportamientos,
cuya concreta regulación debe establecer la ley, aquella que conforme al art. 18.4 CE
debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la
protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La
peculiaridad de este derecho fundamental a la protección de datos respecto de aquel

Página 4/24
derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta
función, lo que apareja, por consiguiente, que también su objeto y contenido
difieran”.

Siguiendo la sentencia 292/2000 en su fundamento jurídico sexto, el objeto de

protección del derecho a la protección de datos alcanza:

“Cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por
terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no
es sólo la intimidad individual, que para ello está la Protección que el art. 18.1 CE
otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a
aquellos datos personales públicos, que, por el hecho de serlo, de ser accesibles al
conocimiento de cualquiera, no escapan al poder de disposición del afectado porque
así́ lo garantiza su derecho a la Protección de datos. También por ello, el que los datos
sean de carácter personal no significa que sólo tengan Protección los relativos a la
vida privada o íntima de la persona, sino que los datos amparados son todos aquellos
que identifiquen o permitan la identificación de la persona, pudiendo servir para
la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra
índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias
constituya una amenaza para el individuo”.

Asimismo, el marco legislativo europeo también reconoce este derecho a la protección

de datos y obliga a todos los Estados miembros a garantizarlo a sus ciudadanos. El
artículo 8, de la Carta de los Derechos Fundamentales de la Unión Europea en sus
apartados 1 y 2 establece:

1. Toda persona tiene derecho a la protección de los datos de carácter personal

que la conciernan.

2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base
del consentimiento de la persona afectada o en virtud de otro fundamento
legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos
recogidos que la conciernan y a su rectificación.

Por otro lado, el artículo 16 del Tratado de Funcionamiento de la Unión Europea en sus
apartados 1 y 2 establece:

1. Toda persona tiene derecho a la protección de los datos de carácter personal

que le conciernan.

2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento

legislativo ordinario, las normas sobre protección de las personas físicas
respecto del tratamiento de datos de carácter personal por las instituciones,
órganos y organismos de la Unión, así como por los Estados miembros en el
ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho
de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas
normas estará sometido al control de autoridades independientes.

Se trata por tanto de un derecho que tiene toda persona, sin importar la nacionalidad
o residencia, a la protección de los datos de carácter personal que la conciernan.

Página 5/24
 Por su parte la Unión Europea ha desarrollado este derecho a la protección de datos a
través de diversas directivas1 como la Directiva 95/46/CE del Parlamento Europeo y
del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación de estos
datos. A través de la misma, se pretendió armonizar la protección de los derechos y
las libertades fundamentales de las personas físicas en relación con las actividades de
tratamiento de datos de carácter personal, y garantizar la libre circulación de estos
datos entre los Estados miembros. Sin embargo, la transposición por los Estados
miembros de la Directiva 95/46/CE en el territorio de la Unión se hizo de manera
fragmentada, con diferencias en el nivel de protección de los derechos y libertades de
las personas físicas, y en particular del derecho a la protección de los datos de carácter
personal, impidiendo la libre circulación de los datos de carácter personal en la Unión.
Estas diferencias, han constituido un obstáculo al ejercicio de las actividades
económicas dentro de la Unión, pudiendo falsear la competencia e impedir que las
Autoridades competentes cumplan las funciones que les incumben en virtud del
Derecho de la Unión.

Estas divergencias, así como la obsolescencia tecnológica de la Directiva 95/46

provocan que en el año 2012 la Comisión Europea presente un proyecto de propuesta
de Reglamento de Protección de Datos General, confirmando así la necesidad de una
reforma a gran escala de la normativa de protección de datos. A raíz de las numerosas
enmiendas al proyecto de la Comisión propuestas por el Parlamento Europeo en el año
2014, se pasó la propuesta al Consejo de la UE y se inició durante el año 2015 entre la
Comisión, el Parlamento y el Consejo un proceso de negociación conocido como el
diálogo a tres bandas, para finalmente obtener una versión final del Reglamento a
finales de 2015. Finalmente, el 14 de abril de 2016 el Parlamento Europeo dio el visto
bueno definitivo a la normativa europea de protección de datos tras un largo proceso
legislativo de más de cuatro años, que concluye con la aprobación del REGLAMENTO
(UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (en adelante RGPD).

Se reforma por tanto con el RGPD la normativa de protección de datos europea,

estableciendo nuevas reglas que sustituyen el antiguo marco regulatorio de la Unión
Europea en materia de protección de datos.

La técnica legislativa del Reglamento utilizada por la UE para regular la protección de

datos supone una aplicación directa del mismo a todos los Estados Miembros de la

1
Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa
al tratamiento de los datos personales y a la protección de la intimidad en el sector de las
telecomunicaciones, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de
julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad
en el sector de las comunicaciones electrónicas o directiva sobre la privacidad y las
comunicaciones electrónicas y la Directiva 2006/ 24/CE sobre conservación de datos generados
o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso
público o de redes públicas de comunicaciones.

Página 6/24
UE sin necesidad de que sea transpuesto por las normas nacionales de los Estados. Por
tanto, el RGPD deroga y sustituye a la Directiva 95/46/CE reforzando el derecho de la
protección de datos de la Unión Europea, que se constituye como un pilar básico de
las garantías y libertades en Europa.

A través del RGPD se consigue armonizar en todos los Estados miembros de la UE la

dispersión normativa existente hasta entonces en materia de protección de datos. El
RGPD por tanto es una norma única de aplicación directa a todos los Estados cuyo
objetivo principal es otorgar un mayor control a los ciudadanos europeos sobre su
información privada, y permitir una aplicación uniforme en toda la Unión Europea con
el objetivo de alcanzar un nivel de protección de datos razonable en todo el territorio
de la UE que evite la aplicación las diferentes normativas de cada Estado miembro.

Importante

▪ El derecho a la protección de datos es un derecho fundamental recogido

en la Constitución Española en el art.18.4 y reconocido por el Tribunal
Constitucional.

▪ Se trata de un derecho a la protección de los datos de carácter personal

que le conciernan.

▪ El RGPD es de aplicación directa sin necesidad de que sea transpuesto

por las normas nacionales de los Estados.

4.1 Objeto

El objeto del RGPD es la protección de los derechos y libertades fundamentales de

las personas físicas, y la libre circulación de datos personales en territorio de la UE,
no pudiendo ser restringida ni prohibida.

La protección se otorga a las personas físicas, independientemente de su nacionalidad

o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.

Atendiendo al considerando 14 del RGPD, no será de aplicación a las personas jurídicas

y en particular a las empresas constituidas como personas jurídicas, incluido el nombre
y la forma de la persona jurídica y sus datos de contacto. Apuntando, a que el mismo
también será aplicable a las personas físicas que presten servicios en aquellas, ya que
la excepción únicamente opera sobre nombre y la forma y los datos de contacto.

Este considerando 14 del RGPD ha traído una gran polémica en España ya que en
nuestra antigua normativa se establecía una excepción establecida a través del RLOPD
que en su artículo 2.2 para los ficheros de contactos profesionales establecía lo
siguiente:

2.2. (RLOPD)

Este reglamento no será aplicable a los tratamientos de datos referidos a personas

jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas

Página 7/24
que presten sus servicios en aquéllas, consistentes únicamente en su nombre y
apellidos, las funciones o puestos desempeñados, así como la dirección postal o
electrónica, teléfono y número de fax profesionales.

A este respecto la LOPDGDD señala en su art. 19 que el tratamiento de datos de

contacto de los profesionales se presumirá lítico conforme al principio de interés
legítimo, y por tanto no necesitará de consentimiento siempre y cuando se cumplan
los siguientes requisitos:

▪ Que el tratamiento se refiera únicamente a los datos necesarios para su

localización profesional.

▪ Que la finalidad del tratamiento sea únicamente mantener relaciones de

cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

4.2 Ámbito de aplicación material.

El ámbito de aplicación Material se encuentra regulado en el art. 2, y en los

considerandos 14 a 21 y 27.

Artículo 2: Ámbito de aplicación material

1. El presente Reglamento se aplica al tratamiento total o parcialmente

automatizado de datos personales, así como al tratamiento no automatizado
de datos personales contenidos o destinados a ser incluidos en un fichero.

2. El presente Reglamento no se aplica al tratamiento de datos personales:

a) en el ejercicio de una actividad no comprendida en el ámbito de

aplicación del Derecho de la Unión;

b) por parte de los Estados miembros cuando lleven a cabo actividades

comprendidas en el ámbito de aplicación del capítulo 2 del título V del
TUE;

c) efectuado por una persona física en el ejercicio de actividades

exclusivamente personales o domésticas;

d) por parte de las autoridades competentes con fines de prevención,

investigación, detección o enjuiciamiento de infracciones penales, o de
ejecución de sanciones penales, incluida la de protección frente a
amenazas a la seguridad pública y su prevención.

Al igual que en la normativa española el RGPD será aplicable tanto al tratamiento

automatizado como al tratamiento manual, siempre y cuando estos últimos estén
estructurados con arreglo a unos criterios específicos de organización.

Por otro lado, también se mantienen las mismas actividades de exclusión que en la
normativa española como las actividades domésticas o las destinadas a la seguridad
nacional. A este respecto merece especial atención el considerando 18 del RGPD que

Página 8/24
establece como actividades personales o domésticas la correspondencia y la llevanza
de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en
línea realizada en el contexto de las citadas actividades domésticas.

Asimismo, al igual que nuestra normativa, en el considerando 27 se excluye del ámbito

de aplicación a las personas fallecidas. Sin embargo, en la LOPDGDD, en relación con
los datos de las personas fallecidas, se permite a que las personas vinculadas al
fallecido por razones familiares o, de hecho, así como sus herederos, puedan dirigirse
al responsable o encargado del tratamiento su rectificación o supresión. al objeto de
solicitar el acceso a los datos personales de la persona fallecida y, en su caso, su
rectificar o suprimir los mismos, salvo que expresamente lo haya prohibido en vida
éste último.

4.3 Ámbito de aplicación territorial.

El ámbito de aplicación Territorial se encuentra regulado en el art. 3, y en los

considerandos 22 a 25.

Artículo 3: Ámbito territorial

1. El presente Reglamento se aplica al tratamiento de datos personales en el

contexto de las actividades de un establecimiento del responsable o del
encargado en la Unión, independientemente de que el tratamiento tenga lugar
en la Unión o no.

2. El presente Reglamento se aplica al tratamiento de datos personales de

interesados que residan en la Unión por parte de un responsable o encargado no
establecido en la Unión, cuando las actividades de tratamiento estén
relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión,

independientemente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar

en la Unión.

3. El presente Reglamento se aplica al tratamiento de datos personales por parte

de un responsable que no esté establecido en la Unión sino en un lugar en que
el Derecho de los Estados miembros sea de aplicación en virtud del Derecho
internacional público.

Con el fin de garantizar que las organizaciones no europeas puedan evitar la aplicación
de la normativa de protección de datos simplemente por encontrarse fuera de la UE,
el RGPD introduce una nueva disposición para considerar aplicable el mismo a las
organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos
europeos. De esta manera se reemplaza el criterio de medios por el de servicios.

Recientemente tribunales y reguladores de la Unión Europea han manifestado su apoyo

a una interpretación amplia de la norma relativa a la aplicabilidad de la ley europea
que incorpora el RGPD. En efecto, el Tribunal de Justicia de la Unión Europea (TJUE)
en su decisión de mayo de 2014 (conocido como el caso “Costeja” de Google España o
Página 9/24
el derecho al olvido) estableció la aplicación de la Directiva 95/46 pese a que el
negocio del buscador no se encontraba ubicado en España, debido a que el tratamiento
de datos en cuestión se encontraba relacionado con dicho negocio de búsqueda para
venta de espacios publicitarios por Google España. Del mismo modo, la Autoridad de
control de privacidad belga (mayo de 2015) emitió una recomendación en la que aclaró
que la legislación belga aplica a las actividades de Facebook en Bélgica sin tener en
cuenta los argumentos de Facebook acerca del tratamiento de los datos realizado en
suelo irlandés. Igualmente, en octubre de 2015 el TJUE dictaminó en el caso
“Weltimmo” que el concepto de establecimiento en virtud de la actual Directiva sobre
Protección de Datos debe interpretarse en sentido amplio, de tal forma que las
actividades mínimas en un Estado miembro pueden producir la aplicación de la ley
local de dicho Estado miembro.

De esta manera si una organización no establecida en la UE está procesando los datos

personales de ciudadanos de la UE en actividades relacionadas con la oferta de
productos o servicios a dichas personas, o realizando un seguimiento, monitorización
y estudio del comportamiento (como por ejemplo el seguimiento a través de Cookies)
deberá cumplir plenamente con el contenido del RGPD.

Analizando los elementos de aplicación del Derecho de la Unión, nos encontramos que
el considerando 23 del RGPD relativo a las ofertas de productos y servicios establece
lo siguiente:

“Sí dicho responsable o encargado ofrece bienes o servicios a interesados que residan
en la Unión, debe determinarse si es evidente que el responsable o el encargado
proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros
de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado
o de un intermediario en la Unión, de una dirección de correo electrónico u otros
datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país
donde resida el responsable del tratamiento, no basta para determinar dicha
intención, hay factores, como el uso de una lengua o una moneda utilizada
generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes
y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la
Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer
bienes o servicios a interesados en la Unión”.

Por otro lado, para determinar si existe monitorización o seguimiento del

comportamiento de la persona el considerando 23 del RGPD establece lo siguiente:

“Debe evaluarse si las personas físicas son objeto de un seguimiento en internet,

inclusive el potencial uso posterior de técnicas de tratamiento de datos personales
que consistan en la elaboración de un perfil de una persona física con el fin, en
particular, de adoptar decisiones sobre él o de analizar o predecir sus
preferencias personales, comportamientos y actitudes”. La redacción parece por
tanto estar diseñada principalmente para incluir al sector del marketing digital o
comportamental (aunque habrá otros servicios a los que podrá ser aplicable) los cuales
crean perfiles de acuerdo con el comportamiento que se produce por un dispositivo
utilizado por persona física para el envío de publicidad personalizada.”

Página 10/24
Será por tanto aplicable el RGPD a toda empresa extranjera que, aunque no tenga
“equipos informáticos o medios” situados en la UE (como se requiere en virtud de la
Directiva de protección de datos), realiza una actividad real orientada de forma
deliberada a personas o ciudadanos ubicados en la UE.

Finalmente, como veremos más adelante, para estos casos será necesario designar un
representante en la Unión Europea que atienda las cuestiones relacionadas con la
Protección de Datos de los titulares de los datos o interesados europeos, así como
cualquier requerimiento de las Autoridades de Control.

Importante

▪ Es aplicable a las personas físicas, independientemente de su

nacionalidad o de su lugar de residencia, y en relación con el
tratamiento de sus datos personales.

▪ No aplica a las Personas jurídicas, pero sí a las personas físicas que

presten servicios en aquellas.

▪ Tampoco se aplica a las actividades personales o domésticas, ni a las

personas fallecidas.

▪ Las organizaciones no establecidas en la UE que ofrecen bienes o

servicios a ciudadanos EU, o que vigilan su comportamiento se
encuentran dentro del ámbito de aplicación del RGPD.

5. DATOS PERSONALES

La definición de dato personal se encuentra en el art.4.1 del RGPD, y en los

considerandos 26, 28 a 30, 34 y 35.

A través del mencionado artículo 4 apartado 1 se incluye la definición de Dato Personal

como “Toda información sobre una persona física identificada o identificable”.
Importante apuntar que el afectado o titular del dato será calificado por el RGPD como
"el interesado".

A continuación, la definición pasa a determinar cuándo se entiende que una persona

es identificable incluyendo elementos adicionales para la posible identificación
respecto de nuestra normativa de protección de datos.

En el reglamento, por tanto, la identificación de una persona a los efectos de

protección de datos se realiza cuando puede determinarse la identidad directa o
indirectamente a través de:

▪ elementos propios de la identidad física, fisiológica, psíquica, económica y

cultural o social, a los cuales añade el elemento genético; o

Página 11/24
 ▪ por identificadores como por ejemplo el nombre, un número de identificación,
datos de localización o un identificador en línea.

Se aclara por tanto en nuestra normativa que un dato personal puede ser un
identificador, un dato de localización o un nombre, siempre y cuando sean capaces de
identificar a la persona (como por ejemplo una dirección MAC).

Así mismo y de forma similar a como se recoge en nuestra normativa en el considerando

26 se establece la forma en la que se puede determinar si una persona es identificable:

Para determinar si una persona física es identificable, deben tenerse en cuenta todos
los medios, como la singularización, que razonablemente pueda utilizar el responsable
del tratamiento o cualquier otra persona para identificar directa o indirectamente a
la persona física. Para determinar si existe una probabilidad razonable de que se
utilicen medios para identificar a una persona física, deben tenerse en cuenta todos
los factores objetivos, como los costes y el tiempo necesarios para la
identificación, teniendo en cuenta tanto la tecnología disponible en el momento del
tratamiento como los avances tecnológicos.

Siguiendo con el considerando 26 el RGPD nos introduce la anonimización del dato

personal, excluyéndola del ámbito de aplicación del RGPD.

Por lo tanto, los principios de protección de datos no deben aplicarse a la

información anónima, es decir información que no guarda relación con una
persona física identificada o identificable, ni a los datos convertidos en anónimos
de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el
presente Reglamento no afecta al tratamiento de dicha información anónima,
inclusive con fines estadísticos o de investigación.

5.1 Seudonimización vs anonimización

A través de la definición de dato personal se introduce en la normativa de protección

de datos una tercera categoría de dato personal ubicada entre el dato personal y la
anonimización.

Esta categoría nueva es denomina por el RGPD como la “Seudonimización”, definida

en el apartado 5 del art. 4 relativo a las definiciones:

5. "seudonimización": el tratamiento de datos personales de manera tal que ya

no puedan atribuirse a un interesado sin utilizar información adicional,
siempre que dicha información adicional figure por separado y esté sujeta a
medidas técnicas y organizativas destinadas a garantizar que los datos
personales no se atribuyan a una persona física identificada o identificable;

La finalidad del proceso de anonimización es eliminar o reducir al mínimo los riesgos

de reidentificación de los datos anonimizados manteniendo la veracidad de los
resultados del tratamiento de los mismos, es decir, además de evitar la identificación
de las personas, los datos anonimizados deben garantizar que cualquier operación o
tratamiento que pueda ser realizado con posterioridad a la anonimización no conlleva
una distorsión de los datos reales.

Página 12/24
Sin embargo, la seudonimización no implica, una completa anonimización de los datos
o disociación completa sin retorno o posibilidad de reversión de los mismos, ya que
existe siempre la posibilidad de identificar al interesado a través de información
adicional. Esta información adicional, se encontrará separada por tanto de los datos
seudonimizados, y almacenada y custodiada con las debidas medidas de seguridad para
garantizar que los datos personales no se atribuyan a una determinada persona. De
esta manera se consigue un tratamiento más seguro por parte del responsable que sólo
autorizará a aquellas personas (trabajadores o terceros) el acceso a la identificación
del interesado cuando sea necesario para el ejercicio de las funciones u obligaciones
encomendadas (considerando 29).

La seudonimización a diferencia de la anonimización, sí es considerada como un dato

personal por el RGPD, quién a través del considerando 26 establece:

Los datos personales seudonimizados, que cabría atribuir a una persona física
mediante la utilización de información adicional, deben considerarse información
sobre una persona física identificable.

A través de esta técnica se pretende garantizar un mayor respeto a la privacidad de

los interesados o afectados, ya que pesar de considerarse datos personales
(considerando 26) el responsable limita el acceso a determinadas personas
autorizadas, y por tanto reduce el riesgo en el tratamiento (considerando 28).
Además, el RGPD crea incentivos para que los responsables apliquen la técnica de
seudonimización, estableciendo obligaciones menos estrictas para los responsables
quienes por ejemplo podrán procesar datos con seudónimo con finalidades distintas a
las establecidas en la recogida o con fines científicos, históricos o estadísticos.

En este sentido comprobamos que la seudonimización puede jugar un gran papel en el

contexto de la Privacidad por Diseño, considerándose como una buena práctica el uso
de esta técnica para garantizar un tratamiento de datos más seguro.

5.1.1 Preguntas frecuentes

Si un interesado ejerce su derecho a cancelación ¿es posible anonimizar sus datos

y usarlos también para fines estadísticos toda la vida? ¿O pasado el plazo legal de
conservación tengo que borrarlos de mis bases de datos?

La Anonimización trae consigo la irreversibilidad del dato, es decir el dato se encuentra

disociado y el responsable o cualquier tercero que acceda al dato no podrán identificar
a la persona física. La AEPD ha publicado una guía muy interesante sobre estas
cuestiones:

https://www.aepd.es/media/guias/guia-orientaciones-procedimientos-
anonimizacion.pdf

Desde el momento en que se anonimiza el dato, el mismo deja estar dentro del ámbito
de aplicación de la normativa de protección de datos, ya que es materialmente
imposible identificar a la persona física, por tanto, el responsable o un tercero podrá
tratar, ceder o comunicar sin necesidad de consentimiento alguno, obligación de
información o cumplimiento de obligaciones en materia de protección de datos. Desde

Página 13/24
el momento en que se anonimiza el dato el mismo no incide sobre la privacidad del
individuo.

La anonimización puede ser realizada por la empresa siempre, ya que el resultado no

es un dato personal sino información empresarial que no afecta a la privacidad de las
personas físicas, pues las mismas no son identificables, de esta manera la información
puede ser utilizada por la empresa para cualquier actividad, bien sean estadísticas,
estudios, investigaciones, o toma de decisiones, Big Data etc...

¿La información seudonimizada puede utilizarse con finalidades distintas a las que
se establecieron en su recogida sin necesidad de solicitar consentimiento alguno?
¿Existen más facilidades en su tratamiento?

La seudonimización no implica, una completa anonimización de los datos o disociación

completa sin retorno o posibilidad de reversión de los mismos, ya que existe siempre
la posibilidad de identificar al interesado a través de información adicional. Esta
información adicional, se encontrará separada por tanto de los datos seudonimizados,
y almacenada y custodiada con las debidas medidas de seguridad para garantizar que
los datos personales seudonimizados no se atribuyan a una determinada persona física.
De esta manera, se consigue un tratamiento más seguro por parte del responsable que
sólo autorizará a aquellas personas (trabajadores o terceros) el acceso a la
identificación del interesado cuando sea necesario para el ejercicio de las funciones u
obligaciones encomendadas.

Por otro lado, el RGPD establece que se puedan tratar los datos personales con otras
finalidades a las utilizadas en la recogida, si se dan los requisitos que el apartado 4 del
art. 6. En concreto de entre dichos requisitos destaca la letra e) que establece la
seudonimización como una garantía de seguridad que posibilitaría el uso del dato con
finalidad distinta a la recogida.

El dato seudonimizado aporta mayores garantías de seguridad, ya que no identifica a

la persona durante su procesamiento del dato, permitiendo realizar tratamientos de
datos sin implantar todas las medidas de seguridad que serían necesarias en caso de
no estar seudonimizados, de ahí que el RGPD promueva su aplicación por los
responsables y encargados de tratamiento.

5.2 Datos genéticos y biométricos

El RGPD introduce una serie de nuevas definiciones en las categorías especiales de

datos, como son los datos genéticos y biométricos los cuales define en el art. 4
apartado 13 y 14, y complementa en los considerandos 34, 35 y 51.

De esta manera por un lado define Dato Genético como:

“Datos personales relativos a las características genéticas heredadas o

adquiridas de una persona física que proporcionen una información única sobre la
fisiología o la salud de esa persona, obtenidos en particular del análisis de una
muestra biológica de tal persona”.

Por otro lado, define Dato Biométrico como:

Página 14/24
“Datos personales obtenidos a partir de un tratamiento técnico específico,
relativos a las características físicas, fisiológicas o conductuales de una persona
física que permitan o confirmen la identificación única de dicha persona, como
imágenes faciales o datos dactiloscópicos”.

Estas nuevas categorías de datos se incluyen entre las categorías especiales de datos
(lo que en nuestra normativa denominamos datos especialmente protegidos), pero sólo
en aquellos supuestos en los que están siendo tratados con el fin de identificar de
forma única a una persona. En este sentido conviene hacer mención al considerando
51, que establece que las fotografías no deben de considerarse como un dato sensible
pese a tratarse de imágenes faciales,

“Pues únicamente se encuentran comprendidas en la definición de datos biométricos

cuando el hecho de ser tratadas con medios técnicos específicos permita la
identificación o la autenticación unívocas de una persona física”.

Adicionalmente el RGPD también realiza una definición de Dato de Salud como aquellos
“datos personales relativos a la salud física o mental de una persona física, incluida
la prestación de servicios de atención sanitaria, que revelen información sobre su
estado de salud”. Además de esta definición el considerando 35 viene a aclarar y a
incluir dentro de la categoría de datos de salud a aquellos referidos a una asistencia
sanitaria.

5.2.1 Preguntas frecuentes

¿Qué tratamiento recibe con el RGPD la huella dactilar para el control de acceso a
los edificios o el control de presencia laboral? ¿es un dato de especialmente
sensible?

La huella dactilar se considera un dato biométrico conforme el RGPD. El uso de la

huella, actualmente, es puramente identificativo, una captación por infrarrojos de una
imagen de un dedo que mediante un tratamiento informático se relaciona con otra
serie de datos registrados para identificar a la persona.

El RGPD cataloga estos datos como especialmente sensibles cuando son tratados para
identificar a una persona de forma única. En estos supuestos el responsable o en su
caso encargado deberá proteger dicho dato de forma especial para evitar que terceros
puedan utilizar el dato y suplantar la personalidad del interesado. Básicamente podría
asimilarse la contraseña de acceso a los sistemas de información que debe de
permanecer encriptada para dar fiabilidad al sistema y garantizar que sólo el usuario
puede conocer la misma, de esta manera garantizamos que sólo el usuario es el que
pudo acceder ya que nadie podía acceder a la contraseña. Por tanto, si la huella
dactilar digitalizada puede identificar a una persona de manera unívoca deberá ser
conservada y administrada con las debidas garantías de seguridad, integridad y
confidencialidad, ya no sólo para garantizar la privacidad del interesado sino por la
propia fiabilidad del sistema que lo utilice para la identificación y autenticación de las
partes o interesados.

Página 15/24
5.3 Definiciones del RGPD

1. "datos personales": toda información sobre una persona física identificada o

identificable ("el interesado"); se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un número
de identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona;

2. "tratamiento": cualquier operación o conjunto de operaciones realizadas sobre

datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación
de acceso, cotejo o interconexión, limitación, supresión o destrucción;

3. "limitación del tratamiento": el marcado de los datos de carácter personal

conservados con el fin de limitar su tratamiento en el futuro;

4. "elaboración de perfiles": toda forma de tratamiento automatizado de datos

personales consistente en utilizar datos personales para evaluar determinados
aspectos personales de una persona física, en particular para analizar o predecir
aspectos relativos al rendimiento profesional, situación económica, salud,
preferencias personales, intereses, fiabilidad, comportamiento, ubicación o
movimientos de dicha persona física;

5. "seudonimización": el tratamiento de datos personales de manera tal que ya no

puedan atribuirse a un interesado sin utilizar información adicional, siempre
que dicha información adicional figure por separado y esté sujeta a medidas
técnicas y organizativas destinadas a garantizar que los datos personales no se
atribuyan a una persona física identificada o identificable;

6. "fichero": todo conjunto estructurado de datos personales, accesibles con

arreglo a criterios determinados, ya sea centralizado, descentralizado o
repartido de forma funcional o geográfica;

7. "responsable del tratamiento" o "responsable": la persona física o jurídica,

autoridad pública, servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento; si el Derecho de la Unión o de
los Estados miembros determina los fines y medios del tratamiento, el
responsable del tratamiento o los criterios específicos para su nombramiento
podrá establecerlos el Derecho de la Unión o de los Estados miembros;

8. "encargado del tratamiento" o "encargado": la persona física o jurídica,

autoridad pública, servicio u otro organismo que trate datos personales por
cuenta del responsable del tratamiento;

9. "destinatario": la persona física o jurídica, autoridad pública, servicio u otro

organismo al que se comuniquen datos personales, se trate o no de un tercero.

Página 16/24
 No obstante, no se considerarán destinatarios las autoridades públicas que
puedan recibir datos personales en el marco de una investigación concreta de
conformidad con el Derecho de la Unión o de los Estados miembros; el
tratamiento de tales datos por dichas autoridades públicas será conforme con
las normas en materia de protección de datos aplicables a los fines del
tratamiento;

10. "tercero": persona física o jurídica, autoridad pública, servicio u organismo

distinto del interesado, del responsable del tratamiento, del encargado del
tratamiento y de las personas autorizadas para tratar los datos personales bajo
la autoridad directa del responsable o del encargado;

11. "consentimiento del interesado": toda manifestación de voluntad libre,

específica, informada e inequívoca por la que el interesado acepta, ya sea
mediante una declaración o una clara acción afirmativa, el tratamiento de
datos personales que le conciernen;

12. "violación de la seguridad de los datos personales": toda violación de la

seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita
de datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos;

13. "datos genéticos": datos personales relativos a las características genéticas

heredadas o adquiridas de una persona física que proporcionen una información
única sobre la fisiología o la salud de esa persona, obtenidos en particular del
análisis de una muestra biológica de tal persona;

14. "datos biométricos": datos personales obtenidos a partir de un tratamiento

técnico específico, relativos a las características físicas, fisiológicas o
conductuales de una persona física que permitan o confirmen la identificación
única de dicha persona, como imágenes faciales o datos dactiloscópicos;

15. "datos relativos a la salud": datos personales relativos a la salud física o mental
de una persona física, incluida la prestación de servicios de atención sanitaria,
que revelen información sobre su estado de salud;

16. "establecimiento principal":

a) en lo que se refiere a un responsable del tratamiento con establecimientos en

más de un Estado miembro, el lugar de su administración central en la Unión,
salvo que las decisiones sobre los fines y los medios del tratamiento se tomen
en otro establecimiento del responsable en la Unión y este último
establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso
el establecimiento que haya adoptado tales decisiones se considerará
establecimiento principal;

b) en lo que se refiere a un encargado del tratamiento con establecimientos en más

de un Estado miembro, el lugar de su administración central en la Unión o, si
careciera de esta, el establecimiento del encargado en la Unión en el que se
realicen las principales actividades de tratamiento en el contexto de las

Página 17/24
 actividades de un establecimiento del encargado en la medida en que el
encargado esté sujeto a obligaciones específicas con arreglo al presente
Reglamento;

17. "representante": persona física o jurídica establecida en la Unión que, habiendo

sido designada por escrito por el responsable o el encargado del tratamiento con
arreglo al artículo 27 (Representantes de responsables o encargados del
tratamiento no establecidos en la Unión), represente al responsable o al
encargado en lo que respecta a sus respectivas 0obligaciones en virtud del
presente Reglamento;

18. "empresa": persona física o jurídica dedicada a una actividad económica,

independientemente de su forma jurídica, incluidas las sociedades o
asociaciones que desempeñen regularmente una actividad económica;

19. "grupo empresarial": grupo constituido por una empresa que ejerce el control
y sus empresas controladas;

20. "normas corporativas vinculantes": las políticas de protección de datos

personales asumidas por un responsable o encargado del tratamiento
establecido en el territorio de un Estado miembro para transferencias o un
conjunto de transferencias de datos personales a un responsable o encargado en
uno o más países terceros, dentro de un grupo empresarial o una unión de
empresas dedicadas a una actividad económica conjunta;

21. "autoridad de control": la autoridad pública independiente establecida por un

Estado miembro con arreglo a lo dispuesto en el artículo 51 (Autoridad de
Control);

22. "autoridad de control interesada": la autoridad de control a la que afecta el

tratamiento de datos personales debido a que:

a) al responsable o el encargado del tratamiento está establecido en el territorio

del Estado miembro de esa autoridad de control;

b) los interesados que residen en el Estado miembro de esa autoridad de control se

ven sustancialmente afectados o es probable que se vean sustancialmente
afectados por el tratamiento, o

c) se ha presentado una reclamación ante esa autoridad de control;

23. "tratamiento transfronterizo":

a) el tratamiento de datos personales realizado en el contexto de las

actividades de establecimientos en más de un Estado miembro de un
responsable o un encargado del tratamiento en la Unión, si el responsable
o el encargado está establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en el contexto de las

actividades de un único establecimiento de un responsable o un encargado
del tratamiento en la Unión, pero que afecta sustancialmente o es
Página 18/24
 probable que afecte sustancialmente a interesados en más de un Estado
miembro;

24. "objeción pertinente y motivada": la objeción sobre la existencia o no de

infracción del presente Reglamento, o sobre la conformidad con el presente
Reglamento de acciones previstas en relación con el responsable o el encargado
del tratamiento, que demuestre claramente la importancia de los riesgos que
entraña el proyecto de decisión para los derechos y libertades fundamentales de
los interesados y, en su caso, para la libre circulación de datos personales dentro
de la Unión;

25. "servicio de la sociedad de la información": todo servicio conforme a la

definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535
del Parlamento Europeo y del Consejo2;

26. "organización internacional": una organización internacional y sus entes

subordinados de Derecho internacional público o cualquier otro organismo
creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

Importante

▪ Dato personal es información sobre una persona física identificada o

identificable.

▪ Los datos de ubicación, identificadores digitales u otros factores

relacionados con una persona física son datos personales.

▪ La probabilidad de identificación se mide con factores objetivos

como costes y tiempo necesario para la identificación.

▪ Aquella información que no guarda relación con una persona física

identificada o identificable, se considera información anónima
excluida del ámbito de aplicación del RGPD.

▪ El dato seudónimo está sujeto al RGPD, pero los requisitos aplicables

son menos estrictos.

▪ El RGPD recomienda a las organizaciones aplicar la seudonimización,

ya que facilita el tratamiento de datos personales con fines
científicos, históricos y estadísticos o para otras finalidades distintas
de las originales.

2
Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre 0 de
2015, por la que se establece un procedimiento de información en materia de
reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la
información (DOL 241 de 17.9.2015, p.1)

Página 19/24
 ▪ Los Datos Biométricos y Genéticos se consideran como datos sensibles
si son tratados con medios técnicos específicos que permita la
identificación o la autenticación de forma unívoca del interesado.

6. SUJETOS OBLIGADOS

Conforme el RGPD se consideran Sujetos obligados:

▪ Responsable del Tratamiento: Persona física o jurídica, autoridad pública,

servicio u otro organismo que trata los datos de carácter personal y que
determina los fines y los medios que están relacionados con el tratamiento. Es
muy importante definir las finalidades que llevará a cabo el responsable. Decide
“por qué” y “como” deberán tratarse los datos personales recogidos. En el caso
de que el tratamiento de los datos lo realicen los empleados de la organización,
lo harán dentro de las funciones del responsable. (artículo 4.7 del RGPD)

▪ Corresponsable del tratamiento: La figura del corresponsable del tratamiento

se da cuando, dos o más responsables del tratamiento actúan conjuntamente,
teniendo las mismas finalidades. Por ello, la responsabilidad que suja por el
tratamiento de datos será conjunta y tendrá que estar regulado por contrato,
existiendo una vinculación legal entre los sujetos. (artículo 26 del RPDG)

▪ Encargado del Tratamiento: es la persona física o jurídica, autoridad pública,

servicio u otro organismo que trate datos personales por cuenta del responsable
del tratamiento. Se trata por tanto de aquellos supuestos en los que una tercera
organización o empresa trata los datos personales por cuenta y en nombre del
responsable generalmente para la prestación o externalización de un servicio.
Conforme se establece en el artículo 28 del RGPD el tratamiento de los datos
realizado por el Encargado del Tratamiento se regirá por un contrato, en donde
se establecerá el objeto, la duración, la naturaleza y la finalidad del
tratamiento, el tipo de datos personales y categorías de interesados, y las
obligaciones y derechos del responsable. Los Encargados del Tratamiento no
podrán utilizar los datos del responsable del Tratamiento para otra finalidad que
no sea la prestación del Servicio o el encargo, debiendo suprimir los datos o
devolverlos una vez finalicen los servicios de tratamiento.

▪ Interesado: Son las personas físicas titulares de los datos, que son objeto de
tratamiento por los responsables del Tratamiento y Encargados.

▪ El Delegado de Protección de Datos (DPD): será la persona física o jurídica sobre

la cual recae la responsabilidad de supervisión del cumplimiento de las normas
de la protección de datos dentro de las empresas u organizaciones. Esta figura
puede ser interna o externa a la empresa y no es una figura obligatoria en todos
los supuestos. (La figura del delegado de protección de datos se encuentra
regulada en los artículos 37, 38 y 39 del RGPD)

▪ Representante: Esta figura es utilizada por aquellos responsables del

Tratamiento que no están radicados en el UE. (Artículo 4.17 del RGPD). Se trata

Página 20/24
 por tanto de la persona física o jurídica establecida en un Estado miembro de la
Unión Europea designada por el responsable del Tratamiento o Encargado
extranjero mediante un contrato por escrito. Al Representante se le
encomendarán que atienda, junto al responsable o al encargado, o en su lugar,
a las consultas, en particular, de las autoridades de control y de los interesados,
sobre todos los asuntos relativos al tratamiento, a fin de garantizar el
cumplimiento de lo dispuesto en el RGPD.

▪ Autoridad de control: Son autoridades públicas independientes que se encargan

de supervisar la aplicación del RGPD, con el fin de proteger los derechos y las
libertades fundamentales de las personas físicas en lo que respecta al
tratamiento de datos personales en la Unión. Cada Estado miembro de la Unión
Europea podrá nombrar una o varias Autoridades. En España existen res
Autoridades de Control. La principal es la Agencia Española de Protección de
Datos (AEPD). Por otro lado, están la Autoritat catalana de Protecció de Dades
(Cataluña) y la Datuak Babesteko Euskal Bulegoa (País Vasco).

7. RESUMEN Y ESQUEMA CONCEPTUAL

En el presente capítulo hemos estudiado y aprendido

▪ El RGPD entra en vigor el 24 de mayo de 2016 pero es de aplicación obligatoria

para todos los Estados miembros el 25 de mayo de 2018

▪ El derecho a la protección de datos es un derecho fundamental recogido en la

Constitución Española en el art.18.4 y reconocido por el Tribunal Constitucional.

▪ Se trata de un derecho a la protección de los datos de carácter personal que le

conciernan.

▪ El RGPD es de aplicación directa sin necesidad de que sea transpuesto por las
normas nacionales de los Estados.

▪ Es aplicable a las personas físicas, independientemente de su nacionalidad o de

su lugar de residencia, y en relación con el tratamiento de sus datos personales.

▪ No aplica a las Personas jurídicas, pero sí a las personas físicas que presten
servicios en aquellas.

▪ Tampoco se aplica a las actividades personales o domésticas, ni a las personas

fallecidas.

▪ Las organizaciones no establecidas en la UE que ofrecen bienes o servicios a

ciudadanos EU, o que vigilan su comportamiento se encuentran dentro del ámbito
de aplicación del RGPD.

▪ Dato personal es información sobre una persona física identificada o

identificable.

Página 21/24
 ▪ Los datos de ubicación, identificadores digitales u otros factores relacionados
con una persona física son datos personales.

▪ La probabilidad de identificación se mide con factores objetivos como costes y

tiempo necesario para la identificación.

▪ Aquella información que no guarda relación con una persona física identificada
o identificable, se considera información anónima excluida del ámbito de
aplicación del RGPD.

▪ El dato seudónimo está sujeto al RGPD, pero los requisitos aplicables son menos
estrictos.

▪ El RGPD recomienda a las organizaciones aplicar la seudonimización, ya que

facilita el tratamiento de datos personales con fines científicos, históricos y
estadísticos o para otras finalidades distintas de las originales.

▪ Los Datos Biométricos y Genéticos se consideran como datos sensibles si son

tratados con medios técnicos específicos que permita la identificación o la
autenticación de forma unívoca del interesado.

8. GLOSARIO

Dato personal

Toda información sobre una persona física identificada o identificable ("el

interesado"); se considerará persona física identificable toda persona cuya
identidad pueda determinarse, directa o indirectamente, en particular mediante
un identificador, como por ejemplo un nombre, un número de identificación,
datos de localización, un identificador en línea o uno o varios elementos propios
de la identidad física, fisiológica, genética, psíquica, económica, cultural o social
de dicha persona

Interesado

Persona física identificada o identificable.

Responsable del tratamiento o Responsable

La persona física o jurídica, autoridad pública, servicio u otro organismo que,

solo o junto con otros, determine los fines y medios del tratamiento; si el
Derecho de la Unión o de los Estados miembros determina los fines y medios del
tratamiento, el responsable del tratamiento o los criterios específicos para su
nombramiento podrá establecerlos el Derecho de la Unión o de los Estados
miembros.

Encargado del tratamiento o Encargado

La persona física o jurídica, autoridad pública, servicio u otro organismo que

trate datos personales por cuenta del responsable del tratamiento;
Página 22/24
Anonimización

La finalidad del proceso de anonimización es eliminar o reducir al mínimo los

riesgos de reidentificación de los datos anonimizados manteniendo la veracidad
de los resultados del tratamiento de los mismos, es decir, además de evitar la
identificación de las personas, los datos anonimizados deben garantizar que
cualquier operación o tratamiento que pueda ser realizado con posterioridad a
la anonimización no conlleva una distorsión de los datos reales.

Seudonimización

El tratamiento de datos personales de manera tal que ya no puedan atribuirse a

un interesado sin utilizar información adicional, siempre que dicha información
adicional figure por separado y esté sujeta a medidas técnicas y organizativas
destinadas a garantizar que los datos personales no se atribuyan a una persona
física identificada o identificable

Dato Biométrico

Datos personales obtenidos a partir de un tratamiento técnico específico,

relativos a las características físicas, fisiológicas o conductuales de una persona
física que permitan o confirmen la identificación única de dicha persona, como
imágenes faciales o datos dactiloscópicos.

Datos genéticos

Datos personales relativos a las características genéticas heredadas o adquiridas

de una persona física que proporcionen una información única sobre la fisiología
o la salud de esa persona, obtenidos en particular del análisis de una muestra
biológica de tal persona

Tratamiento

Cualquier operación o conjunto de operaciones realizadas sobre datos personales

o conjuntos de datos personales, ya sea por procedimientos automatizados o no,
como la recogida, registro, organización, estructuración, conservación,
adaptación o modificación, extracción, consulta, utilización, comunicación por
transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o
interconexión, limitación, supresión o destrucción.

Página 23/24
Consentimiento del interesado

Toda manifestación de voluntad libre, específica, informada e inequívoca por la

que el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen.

9. BIBLIOGRAFÍA

López Calvo, José, Adaptación al nuevo marco de protección de datos tras el RGPD y
la LOPDGDD, LA. Bosch Walters Kluwer, Madrid (febrero 2019).

Guía de Protección de Datos y Garantía de Derechos Digitales Sepin, (enero 2019).

10. FOROS DE DEBATE

¿El tratamiento de datos seudonimizado se considera un tratamiento de datos de

carácter personal? ¿se deben de guardar las mismas medidas de seguridad?

Los datos de carácter personal de los contactos profesionales ¿es necesario el

consentimiento para el tratamiento de los mismos o se puede considerar que existe
un interés legítimo para el tratamiento de los mismos? ¿se podría enviar
comunicaciones comerciales electrónicas si entiendo que existe un interés legítimo?

Página 24/24