Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Datos (DPD)
Dominio 1. Normativa General de Protección de Datos
2019/2020
Índice
1. INTRODUCCIÓN 3
4.1 Objeto 7
5. DATOS PERSONALES 11
6. SUJETOS OBLIGADOS 20
8. GLOSARIO 22
9. BIBLIOGRAFÍA 24
Página 2/24
1. INTRODUCCIÓN
El derecho a la protección de datos por tanto según nuestro más alto Tribunal atribuye
al titular del mismo un poder de disposición y control sobre los datos, configurándose
estos como cualquier tipo de dato personal sea o no íntimo, porque su objeto no es
sólo la intimidad individual, sino los datos de carácter personal.
Los ciudadanos por tanto tienen el derecho a controlar sus datos y a saber quién los
está tratando, porque motivo, y si recabaron el consentimiento oportuno o por el
contrario se justificó el tratamiento en un contrato, una ley, un servicio público o un
interés legítimo.
Página 3/24
Conforme al mencionado artículo los Estados Miembros y sus respectivas Autoridades
de Control dispusieron de un periodo de 2 años para su maduración, preparación,
aplicación e interpretación de los distintos derechos y obligaciones que establece. Esto
supone, que las leyes nacionales de protección han dejado de ser aplicables en la
medida en que se opongan al contenido del Reglamento.
Por otro lado, en la medida en que el RGPD establezca que sus normas deben ser
especificadas o restringidas por el Derecho de los Estados miembros, será necesario la
incorporación al Derecho nacional de diversos elementos del RGPD para que las
disposiciones nacionales sean comprensibles para todos los ciudadanos de la Unión.
Importante
Página 4/24
derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta
función, lo que apareja, por consiguiente, que también su objeto y contenido
difieran”.
“Cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por
terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no
es sólo la intimidad individual, que para ello está la Protección que el art. 18.1 CE
otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a
aquellos datos personales públicos, que, por el hecho de serlo, de ser accesibles al
conocimiento de cualquiera, no escapan al poder de disposición del afectado porque
así́ lo garantiza su derecho a la Protección de datos. También por ello, el que los datos
sean de carácter personal no significa que sólo tengan Protección los relativos a la
vida privada o íntima de la persona, sino que los datos amparados son todos aquellos
que identifiquen o permitan la identificación de la persona, pudiendo servir para
la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra
índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias
constituya una amenaza para el individuo”.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base
del consentimiento de la persona afectada o en virtud de otro fundamento
legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos
recogidos que la conciernan y a su rectificación.
Por otro lado, el artículo 16 del Tratado de Funcionamiento de la Unión Europea en sus
apartados 1 y 2 establece:
Se trata por tanto de un derecho que tiene toda persona, sin importar la nacionalidad
o residencia, a la protección de los datos de carácter personal que la conciernan.
Página 5/24
Por su parte la Unión Europea ha desarrollado este derecho a la protección de datos a
través de diversas directivas1 como la Directiva 95/46/CE del Parlamento Europeo y
del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación de estos
datos. A través de la misma, se pretendió armonizar la protección de los derechos y
las libertades fundamentales de las personas físicas en relación con las actividades de
tratamiento de datos de carácter personal, y garantizar la libre circulación de estos
datos entre los Estados miembros. Sin embargo, la transposición por los Estados
miembros de la Directiva 95/46/CE en el territorio de la Unión se hizo de manera
fragmentada, con diferencias en el nivel de protección de los derechos y libertades de
las personas físicas, y en particular del derecho a la protección de los datos de carácter
personal, impidiendo la libre circulación de los datos de carácter personal en la Unión.
Estas diferencias, han constituido un obstáculo al ejercicio de las actividades
económicas dentro de la Unión, pudiendo falsear la competencia e impedir que las
Autoridades competentes cumplan las funciones que les incumben en virtud del
Derecho de la Unión.
1
Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa
al tratamiento de los datos personales y a la protección de la intimidad en el sector de las
telecomunicaciones, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de
julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad
en el sector de las comunicaciones electrónicas o directiva sobre la privacidad y las
comunicaciones electrónicas y la Directiva 2006/ 24/CE sobre conservación de datos generados
o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso
público o de redes públicas de comunicaciones.
Página 6/24
UE sin necesidad de que sea transpuesto por las normas nacionales de los Estados. Por
tanto, el RGPD deroga y sustituye a la Directiva 95/46/CE reforzando el derecho de la
protección de datos de la Unión Europea, que se constituye como un pilar básico de
las garantías y libertades en Europa.
Importante
4.1 Objeto
Este considerando 14 del RGPD ha traído una gran polémica en España ya que en
nuestra antigua normativa se establecía una excepción establecida a través del RLOPD
que en su artículo 2.2 para los ficheros de contactos profesionales establecía lo
siguiente:
2.2. (RLOPD)
Página 7/24
que presten sus servicios en aquéllas, consistentes únicamente en su nombre y
apellidos, las funciones o puestos desempeñados, así como la dirección postal o
electrónica, teléfono y número de fax profesionales.
Por otro lado, también se mantienen las mismas actividades de exclusión que en la
normativa española como las actividades domésticas o las destinadas a la seguridad
nacional. A este respecto merece especial atención el considerando 18 del RGPD que
Página 8/24
establece como actividades personales o domésticas la correspondencia y la llevanza
de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en
línea realizada en el contexto de las citadas actividades domésticas.
Con el fin de garantizar que las organizaciones no europeas puedan evitar la aplicación
de la normativa de protección de datos simplemente por encontrarse fuera de la UE,
el RGPD introduce una nueva disposición para considerar aplicable el mismo a las
organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos
europeos. De esta manera se reemplaza el criterio de medios por el de servicios.
Analizando los elementos de aplicación del Derecho de la Unión, nos encontramos que
el considerando 23 del RGPD relativo a las ofertas de productos y servicios establece
lo siguiente:
“Sí dicho responsable o encargado ofrece bienes o servicios a interesados que residan
en la Unión, debe determinarse si es evidente que el responsable o el encargado
proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros
de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado
o de un intermediario en la Unión, de una dirección de correo electrónico u otros
datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país
donde resida el responsable del tratamiento, no basta para determinar dicha
intención, hay factores, como el uso de una lengua o una moneda utilizada
generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes
y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la
Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer
bienes o servicios a interesados en la Unión”.
Página 10/24
Será por tanto aplicable el RGPD a toda empresa extranjera que, aunque no tenga
“equipos informáticos o medios” situados en la UE (como se requiere en virtud de la
Directiva de protección de datos), realiza una actividad real orientada de forma
deliberada a personas o ciudadanos ubicados en la UE.
Finalmente, como veremos más adelante, para estos casos será necesario designar un
representante en la Unión Europea que atienda las cuestiones relacionadas con la
Protección de Datos de los titulares de los datos o interesados europeos, así como
cualquier requerimiento de las Autoridades de Control.
Importante
5. DATOS PERSONALES
Página 11/24
▪ por identificadores como por ejemplo el nombre, un número de identificación,
datos de localización o un identificador en línea.
Se aclara por tanto en nuestra normativa que un dato personal puede ser un
identificador, un dato de localización o un nombre, siempre y cuando sean capaces de
identificar a la persona (como por ejemplo una dirección MAC).
Para determinar si una persona física es identificable, deben tenerse en cuenta todos
los medios, como la singularización, que razonablemente pueda utilizar el responsable
del tratamiento o cualquier otra persona para identificar directa o indirectamente a
la persona física. Para determinar si existe una probabilidad razonable de que se
utilicen medios para identificar a una persona física, deben tenerse en cuenta todos
los factores objetivos, como los costes y el tiempo necesarios para la
identificación, teniendo en cuenta tanto la tecnología disponible en el momento del
tratamiento como los avances tecnológicos.
Página 12/24
Sin embargo, la seudonimización no implica, una completa anonimización de los datos
o disociación completa sin retorno o posibilidad de reversión de los mismos, ya que
existe siempre la posibilidad de identificar al interesado a través de información
adicional. Esta información adicional, se encontrará separada por tanto de los datos
seudonimizados, y almacenada y custodiada con las debidas medidas de seguridad para
garantizar que los datos personales no se atribuyan a una determinada persona. De
esta manera se consigue un tratamiento más seguro por parte del responsable que sólo
autorizará a aquellas personas (trabajadores o terceros) el acceso a la identificación
del interesado cuando sea necesario para el ejercicio de las funciones u obligaciones
encomendadas (considerando 29).
Los datos personales seudonimizados, que cabría atribuir a una persona física
mediante la utilización de información adicional, deben considerarse información
sobre una persona física identificable.
https://www.aepd.es/media/guias/guia-orientaciones-procedimientos-
anonimizacion.pdf
Desde el momento en que se anonimiza el dato, el mismo deja estar dentro del ámbito
de aplicación de la normativa de protección de datos, ya que es materialmente
imposible identificar a la persona física, por tanto, el responsable o un tercero podrá
tratar, ceder o comunicar sin necesidad de consentimiento alguno, obligación de
información o cumplimiento de obligaciones en materia de protección de datos. Desde
Página 13/24
el momento en que se anonimiza el dato el mismo no incide sobre la privacidad del
individuo.
¿La información seudonimizada puede utilizarse con finalidades distintas a las que
se establecieron en su recogida sin necesidad de solicitar consentimiento alguno?
¿Existen más facilidades en su tratamiento?
Por otro lado, el RGPD establece que se puedan tratar los datos personales con otras
finalidades a las utilizadas en la recogida, si se dan los requisitos que el apartado 4 del
art. 6. En concreto de entre dichos requisitos destaca la letra e) que establece la
seudonimización como una garantía de seguridad que posibilitaría el uso del dato con
finalidad distinta a la recogida.
Página 14/24
“Datos personales obtenidos a partir de un tratamiento técnico específico,
relativos a las características físicas, fisiológicas o conductuales de una persona
física que permitan o confirmen la identificación única de dicha persona, como
imágenes faciales o datos dactiloscópicos”.
Estas nuevas categorías de datos se incluyen entre las categorías especiales de datos
(lo que en nuestra normativa denominamos datos especialmente protegidos), pero sólo
en aquellos supuestos en los que están siendo tratados con el fin de identificar de
forma única a una persona. En este sentido conviene hacer mención al considerando
51, que establece que las fotografías no deben de considerarse como un dato sensible
pese a tratarse de imágenes faciales,
Adicionalmente el RGPD también realiza una definición de Dato de Salud como aquellos
“datos personales relativos a la salud física o mental de una persona física, incluida
la prestación de servicios de atención sanitaria, que revelen información sobre su
estado de salud”. Además de esta definición el considerando 35 viene a aclarar y a
incluir dentro de la categoría de datos de salud a aquellos referidos a una asistencia
sanitaria.
¿Qué tratamiento recibe con el RGPD la huella dactilar para el control de acceso a
los edificios o el control de presencia laboral? ¿es un dato de especialmente
sensible?
El RGPD cataloga estos datos como especialmente sensibles cuando son tratados para
identificar a una persona de forma única. En estos supuestos el responsable o en su
caso encargado deberá proteger dicho dato de forma especial para evitar que terceros
puedan utilizar el dato y suplantar la personalidad del interesado. Básicamente podría
asimilarse la contraseña de acceso a los sistemas de información que debe de
permanecer encriptada para dar fiabilidad al sistema y garantizar que sólo el usuario
puede conocer la misma, de esta manera garantizamos que sólo el usuario es el que
pudo acceder ya que nadie podía acceder a la contraseña. Por tanto, si la huella
dactilar digitalizada puede identificar a una persona de manera unívoca deberá ser
conservada y administrada con las debidas garantías de seguridad, integridad y
confidencialidad, ya no sólo para garantizar la privacidad del interesado sino por la
propia fiabilidad del sistema que lo utilice para la identificación y autenticación de las
partes o interesados.
Página 15/24
5.3 Definiciones del RGPD
Página 16/24
No obstante, no se considerarán destinatarios las autoridades públicas que
puedan recibir datos personales en el marco de una investigación concreta de
conformidad con el Derecho de la Unión o de los Estados miembros; el
tratamiento de tales datos por dichas autoridades públicas será conforme con
las normas en materia de protección de datos aplicables a los fines del
tratamiento;
15. "datos relativos a la salud": datos personales relativos a la salud física o mental
de una persona física, incluida la prestación de servicios de atención sanitaria,
que revelen información sobre su estado de salud;
Página 17/24
actividades de un establecimiento del encargado en la medida en que el
encargado esté sujeto a obligaciones específicas con arreglo al presente
Reglamento;
19. "grupo empresarial": grupo constituido por una empresa que ejerce el control
y sus empresas controladas;
Importante
2
Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre 0 de
2015, por la que se establece un procedimiento de información en materia de
reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la
información (DOL 241 de 17.9.2015, p.1)
Página 19/24
▪ Los Datos Biométricos y Genéticos se consideran como datos sensibles
si son tratados con medios técnicos específicos que permita la
identificación o la autenticación de forma unívoca del interesado.
6. SUJETOS OBLIGADOS
▪ Interesado: Son las personas físicas titulares de los datos, que son objeto de
tratamiento por los responsables del Tratamiento y Encargados.
Página 20/24
por tanto de la persona física o jurídica establecida en un Estado miembro de la
Unión Europea designada por el responsable del Tratamiento o Encargado
extranjero mediante un contrato por escrito. Al Representante se le
encomendarán que atienda, junto al responsable o al encargado, o en su lugar,
a las consultas, en particular, de las autoridades de control y de los interesados,
sobre todos los asuntos relativos al tratamiento, a fin de garantizar el
cumplimiento de lo dispuesto en el RGPD.
▪ El RGPD es de aplicación directa sin necesidad de que sea transpuesto por las
normas nacionales de los Estados.
▪ No aplica a las Personas jurídicas, pero sí a las personas físicas que presten
servicios en aquellas.
Página 21/24
▪ Los datos de ubicación, identificadores digitales u otros factores relacionados
con una persona física son datos personales.
▪ Aquella información que no guarda relación con una persona física identificada
o identificable, se considera información anónima excluida del ámbito de
aplicación del RGPD.
▪ El dato seudónimo está sujeto al RGPD, pero los requisitos aplicables son menos
estrictos.
8. GLOSARIO
Dato personal
Interesado
Seudonimización
Dato Biométrico
Datos genéticos
Tratamiento
Página 23/24
Consentimiento del interesado
9. BIBLIOGRAFÍA
López Calvo, José, Adaptación al nuevo marco de protección de datos tras el RGPD y
la LOPDGDD, LA. Bosch Walters Kluwer, Madrid (febrero 2019).
Página 24/24