CURSO ONLINE

Privacidad y Gestión de la Información

módulo 1 – introducción al reglamento general de
protección de datos
 ÍNDICE
OBJETIVOS DEL CURSO............................................................................................................................2

1. ANTECEDENTES:....................................................................................................................................3
2. ¿POR QUÉ UN REGLAMENTO EUROPEO?..........................................................................................6
3. ÁMBITO DE APLICACIÓN .......................................................................................................................8
4. DEFINICIONES ......................................................................................................................................10
5. PRINCIPIOS DE LA PROTECCIÓN DE DATOS....................................................................................17
6. RECUERDA............................................................................................................................................23

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Objetivos del curso

Tras la plena aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento General de Protección de Datos), de aplicación directa para
todos los Estados miembros de la Unión Europea (EU), es necesario un conocimiento
exhaustivo de dicha norma para que todas las entidades estén preparadas frente a los nuevos
retos que deberá afrontar en materia de Protección de Datos de Carácter Personal.

Uno de los mayores recursos con los que cuenta una entidad en relación con su actividad
laboral dentro de la sociedad de la información, son los Datos de Carácter Personal. Por
consiguiente, es sumamente importante concienciarse de las medidas necesarias a adoptar
con el fin de dar cumplimiento a la normativa en protección de datos.

El Reglamento General de Protección de Datos (RGPD) no solo establece las directrices para
proteger los datos personales de las personas físicas, sino que refuerza las medidas de
seguridad a establecer dentro de cada tipo de tratamiento y la finalidad del mismo.

El presente curso pretende explicar de forma íntegra los nuevos principios, derechos de los
interesados y obligaciones de los responsables o encargados de los tratamientos de los datos,
a fin de concienciar al personal de la entidad acerca de sus derechos, funciones y obligaciones.

Por otro lado, debemos destacar también la plena aplicación de la Ley Orgánica 3/2018, de 5
de diciembre, de Protección de Datos personales y Garantía de los Derechos Digitales (ahora
en adelante LOPDGDD) y por el que se deroga La Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal.
No cabe duda que, la publicación de la nueva LOPD cierra el primer paso del proceso
legislativo a nivel nacional, asociado al Reglamento General de Protección de Datos, RGPD UE
679/2016.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 1. ANTECEDENTES:

La protección de las personas

físicas en lo que se refiere al
tratamiento de sus datos personales,
es un derecho fundamental. El
artículo 8 de la Carta de los
Derechos Fundamentales de la
Unión Europea y el artículo 16 del
Tratado de Funcionamiento de la
Unión europea establecen que toda
persona tiene derecho a la
protección de los datos de carácter personal que le conciernen.

Ya en 1948, en el artículo 12 de la Declaración Universal de Derechos Humanos se establece

que “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
correspondencia, ni de ataques a su honra o reputación. Toda persona tiene derecho a la
protección de la ley contra tales injerencias o ataques”.

Dos años después, en el Convenio Europeo para la Protección de los Derechos Humanos y
Libertades Fundamentales del Consejo de Europa, queda establecido en su artículo 8 que
“Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su
correspondencia”.

El convenio 108 del consejo de Europa, de 28 de enero de 1981, para la protección de las
personas con respecto al tratamiento automatizado de datos de carácter personal, supuso la
primera legislación europea (Convenio 108), cuya equiparación al ordenamiento jurídico
español de la regulación de los tratamientos automatizados de datos se tradujo en 1992 en la
LORTAD (Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal).

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 La LORTAD desarrollaba lo recogido en el artículo 18 de la Constitución Española de 1978, el
cual establece como derecho fundamental la Protección de los datos de carácter personal. Esta
establecía por primera vez, la limitación del uso de la informática para garantizar la intimidad
personal.

Entrada la década de los noventa, la libre circulación de personas y mercancías en el

establecimiento de un mercado interior formado por los países de la Unión Europea (UE),
conllevaría inevitablemente la libre circulación de datos, por lo que fue necesario una nueva
legislación sobre la materia mediante la publicación de la Directiva 95/46/CE, del parlamento
europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Dicha directiva sería transpuesta en las propias legislaciones de los Estados miembros,
armonizando entre los integrantes del Espacio Económico Europeo una normativa de mínimos
que estableciese un nivel de protección de datos equiparable a toda la UE tanto en los
tratamientos de datos automatizados como en los tratamientos de datos no automatizados.

Transposición

Mecanismo de despliegue y aplicación por las autoridades nacionales competentes (nacional,

regional o local) de una norma comunitaria que requiere de un complemento normativo de los
Estados para su efectiva implementación.

En España, la transposición de la directiva originó la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal (LOPD), que vino a derogar la
mencionada LORTAD, un mes más tarde, en 2000 entró en vigor. Su desarrollo reglamentario
en lo referido a medidas de seguridad para el tratamiento de datos no se produciría hasta 2007,
con la aparición del Real Decreto, 1720/2007, de 21 de diciembre, reglamento de desarrollo de
la LOPD.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 En 2009, el Consejo Europeo invitó a la Comisión europea a evaluar el funcionamiento de los
instrumentos que poseía la UE en materia de protección de datos y a presentar nuevas
iniciativas legislativas. En su resolución sobre el Programa de Estocolmo, el Parlamento
Europeo acogió favorablemente un régimen general de protección de datos en la UE y, entre
otras cosas, abogó por la revisión de la Decisión Marco. En su Plan de acción por el que se
aplica el Programa de Estocolmo la Comisión subrayó la necesidad de garantizar que el
derecho fundamental a la protección de datos de carácter personal se aplicase de forma
coherente en el contexto de todas las políticas de la UE.

En este sentido, en enero de 2012, la Comisión presenta su Propuesta de Reglamento del

Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento
General de Protección de Datos).

Así, el 12 de marzo de 2014 el Parlamento Europeo aprobó el texto propuesto por la Comisión
de Libertades Civiles, Justicia y Asuntos de Interior (Comisión LIBE) dando luz verde al
proyecto de reforma del Reglamento Europeo de Protección de Datos. El cual fue aprobado el
16 de diciembre de 2015 por el Parlamento y el Consejo Europeo; y por el Pleno del
Parlamento el 14 de abril de 2016, propiciando su publicación el 4 de mayo del mismo año.

El Reglamento (UE) 2016/679 de 27 de abril de 2016 (se profundizará más adelante), relativo a
la protección de las personas físicas en lo que representa al tratamiento de datos personales

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 y a la libre circulación de estos datos (Reglamento General de Protección de Datos), entró en
vigor el 25 de mayo de 2016, y fue de plena aplicación directa para todos los Estados
Miembros a partir del 25 de mayo de 2018, fecha en la cual quedó derogada la Directiva
94/46CE, de este modo, toda referencia a la Directiva derogada se entenderá hecha al RGPD.

2009 Inicio Proceso

2012 Presentación
Propuesta de RGPD

2016 RGPD
Aprobación
2014 Aprobación del
proyecto final 2016/679

2015 Aprobación en 1ª
lectura

2. ¿POR QUÉ UN REGLAMENTO EUROPEO?

En la actualidad, y debido en gran medida a la velocidad a la que avanzan las nuevas

tecnologías y el mercado interior, han aumentado sustancialmente los flujos transfronterizos, lo
que ha provocado un incremento en toda la UE de intercambio de datos entre las personas
físicas y jurídicas ya que el Derecho de la Unión exige a los Estados Miembros que cooperen e
intercambien datos personales para poder desempeñar sus funciones o llevar a cabo tareas en
nombre de una autoridad de otro Estado Miembro.

Todos estos avances requieren un marco sólido para la protección de datos dentro de la Unión
Europea, para generar la confianza que permita a la economía digital desarrollarse en todo el
mercado interior. Los individuos deben tener el control de sus propios datos personales y se
debe reforzar la seguridad jurídica y práctica para las personas físicas, los operadores
económicos y las autoridades públicas.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 En consecuencia, el marco legislativo de protección de datos necesitaba una renovación,
puesto que actualmente existen desarrollos tecnológicos que afectan o pueden afectar a la
esfera privada de las personas, y que no existían en el momento en que se legislaron los
tratamientos de datos personales.

A su vez, las diferencias en el nivel de protección de los datos de carácter personal, en lo que
respecta al tratamiento que se da a dichos datos en los diferentes Estados Miembros, han
impedido en algunos casos la libre circulación de los datos de carácter personal dentro de la
UE, obstaculizando en algunos casos el ejercicio de algunas actividades económicas e
impidiendo en otros que las autoridades cumpliesen los cometidos que les incumbe en virtud
del Derecho de la Unión Europea. Esta diferencia en los niveles de protección ha sido
consecuencia de la existencia de divergencias en la ejecución y aplicación de la Directiva
95/46/CE por parte de cada Estado Miembro.

El resultado es que para poder garantizar un nivel uniforme y elevado de protección de datos
personales y eliminar los obstáculos de la circulación de estos dentro de la UE, debe existir un
nivel de protección del tratamiento de dichos datos equivalente para todos los Estados
miembros.

El Reglamento General de Protección de Datos tiene el objeto de armonizar los tratamientos de

datos personales de todos los ciudadanos de los Estados Miembros mediante la aplicación de
una norma única, que garantice un nivel coherente de protección de las personas en toda la
UE, así como evitar divergencias que dificulten la libre circulación de datos dentro del mercado
interior.

El Reglamento General de Protección de Datos proporciona seguridad jurídica y transparencia

a los operadores económicos, incluidas las micro, pequeñas y medianas empresas, y ofrece a
las personas físicas de todos los Estados Miembros el mismo nivel de derechos y obligaciones
protegidos jurídicamente y el mismo nivel de responsabilidades para los responsables y
encargados del tratamiento con el fin de garantizar una supervisión coherente del tratamiento
de datos personales. Asimismo, proporciona sanciones equivalentes para todos los Estados
Miembros, así como también la cooperación efectiva de las Autoridades de Control.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Como se ha comentado anteriormente, durante el periodo de dos años (2016-2018)
coexistieron el RGPD con la Directiva 95/46/CE y por lo tanto, afectando a toda la legislación
de los Estados miembros transpuesta de dicha norma.

En lo referente a las operaciones de tratamiento ya existentes, cuando éstos se hayan iniciado

antes de la fecha de aplicación del Reglamento de Protección de Datos, y el tratamiento se
basaba en el consentimiento de conformidad con la Directiva 95/46/CE, no será necesario que
el interesado dé su consentimiento de nuevo si la forma en que se dio el este se ajusta a las
condiciones del RGPD, a fin de que el responsable pueda continuar dicho tratamiento.

Durante el periodo en que coexistieron ambas normas se previó que el Reglamento se fuera
desarrollando en cuanto a cuestiones específicas, mediante los denominados Actos
Delegados de la Comisión, previstos en la redacción del texto para establecer el marco jurídico
aplicable según cada caso con mayor precisión.

Por lo que hace a los contratos de encargo del tratamiento, suscritos con anterioridad al 25 de
mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, los
mismos mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en
caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

3. ÁMBITO DE APLICACIÓN

1. La protección que otorga el Reglamento

General de Protección de Datos, se aplica
todas las personas físicas,
independientemente de su nacionalidad o de
su lugar de residencia, en relación con el
tratamiento tanto total como parcialmente
automatizado de sus datos personales,
como al tratamiento no automatizado de los
mismos, contenidos o destinados a ser

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 incluidos en un fichero.

2. Asimismo, también es de aplicación a todos los datos de carácter personal de las personas
físicas tratados por las instituciones, órganos y organismos de la Unión Europea; así como por
los tribunales y otras autoridades judiciales. Aunque en este último caso, el Derecho de la
Unión o de los Estados miembros pueden especificar las operaciones de tratamiento y los
procedimientos de tratamiento en relación con el tratamiento de datos personales por los
tribunales y otras autoridades judiciales.

3. El tratamiento de datos personales con fines de archivo en interés público, fines de

investigación científica o histórica o fines estadísticos también está supeditado al cumplimiento
del RGPD, estableciendo unas garantías para asegurar que se aplican medidas técnicas y
organizativas para que se observe, en particular, el principio de minimización de los datos.

4. El Reglamento también es de aplicación al tratamiento de datos personales realizado con

fines de archivo, teniendo presente que no debe aplicarse a personas fallecidas; asimismo los
Estados serán competentes para establecer sus normas. En el territorio español mediante la
LOPDGDD consta que los herederos de las personas fallecidas podrán dirigirse al responsable
o encargado del tratamiento para solicitar al acceso, rectificación o supresión de los datos,
siempre y cuando este heredero no hubiese sido prohibido expresamente por la persona
fallecida para el tratamiento de sus datos. En el caso que el fallecido fuese menor estas
facultades podrán ejercerse mediante su representante legal o en marco de sus competencias
por el Ministerio Fiscal.

Todo tratamiento de datos personales que se realice dentro del contexto de las actividades de
un establecimiento de un responsable o un encargado del tratamiento en la Unión Europea,
debe llevarse a cabo conforme al RGPD, independientemente de que el tratamiento tenga lugar
en la Unión.

Asimismo, se aplica al tratamiento de datos personales de interesados que residan en la Unión

por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de
tratamiento estén relacionadas con:

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 - la oferta de bienes o servicios a dichos interesados en la Unión, independientemente
de si a estos se les requiere su pago,

- el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

4. DEFINICIONES
La entrada en vigor del Reglamento General de Protección de Datos hace necesaria una
revisión de las figuras y terminologías en materia de protección de datos:

Autoridad de control

Autoridad pública independiente establecida por un estado miembro. Cada estado miembro
podrá disponer de una o varias autoridades públicas independientes que se encarguen de
supervisar la aplicación del RGPD dentro de su territorio. En el caso de España la Autoridad de
Control es la Agencia Española de Protección de Datos.

Categorías especiales de datos

Datos especialmente protegidos o “datos sensibles”, dado que, por su naturaleza, tienen una
especial afectación sobre los derechos fundamentales, la intimidad y las libertades públicas de
los individuos.

Código de conducta

Documento redactado voluntariamente por una empresa y/o entidad en el que se exponen una
serie de principios que compromete unilateralmente a seguir. En algunas ocasiones los códigos
de conducta afectan a las empresas proveedoras, subcontratistas y terceristas.

Consentimiento del interesado

Toda manifestación de voluntad, libre, específica, informada e inequívoca, mediante la cual el

interesado acepta, ya sea a través de una declaración o a través de una clara acción afirmativa,
el tratamiento de datos personales que le conciernen.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Corresponsable del tratamiento

Cuando existan varios responsables del tratamiento que determinen conjuntamente la finalidad,
contenido y uso del tratamiento, estos deberán establecer un acuerdo, por escrito, que delimite
sus responsabilidades respectivas en el cumplimiento de las obligaciones de protección de
datos, en particular, en relación con los procedimientos para el ejercicio de derechos de los
interesados.

Dato personal

Toda información sobre una persona física identificada o identificable, se considerará persona
identificable a toda persona cuya identidad pueda determinarse directa o indirectamente.

Datos biométricos

Cualesquiera datos personales para el reconocimiento único de la persona basada en uno y/o
más rasgos obtenidos a partir de un tratamiento técnico específico, relativos a las
características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la
identificación única, como imágenes faciales o datos dactiloscópicos.

Datos genéticos

Datos personales relativos a las características genéticas de una persona que hayan sido
heredadas o adquiridas y que proporcionen una información única sobre la fisiología o la salud
de esa persona, obtenidos en particular del análisis de una muestra biológica de la persona de
la que se trate.

Datos relativos a la salud

Datos personales de una persona relativos a la salud física o mental que revelen información
sobre su estado de salud, incluida la prestación de servicios sanitarios.

DPD (Data Protection Officer) o DPD (Delegado de Protección de Datos)

Persona física o jurídica en la que recaerá la responsabilidad de la protección de datos de la

empresa y/o entidad, en España entendiéndose como Delegado de Protección de Datos.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Derecho a la limitación

Derecho del interesado a la restricción de un tratamiento de sus datos, los cuales solo podrán
ser objeto de tratamiento, con excepción de su conservación, con su consentimiento o para el
reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, para la
protección de los derechos de otra persona física o jurídica o por motivos de interés público
importante.

Derecho a la portabilidad

Derecho del interesado a recibir los datos personales que le incumban, que haya facilitado a un
Responsable del Tratamiento, en un formato estructurado y de uso habitual y de lectura
mecánica y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable
del tratamiento al que se hubieran facilitado los datos.

Derecho a la supresión “al olvido”

Derecho del titular de un dato personal a borrar, bloquear o suprimir información personal que
se considera obsoleta o no relevante por el transcurso del tiempo o que de alguna manera
afecta el libre desarrollo de alguno de sus derechos fundamentales.

Derecho de acceso

Derecho del interesado a obtener información sobre si sus datos personales están siendo
objeto de tratamiento y, la finalidad del mismo, así como la información disponible sobre el
origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

Derecho de oposición

Derecho del interesado a decidir que no se lleve a cabo el tratamiento de sus datos o se cese
en el mismo cuando no sea necesario su consentimiento para el tratamiento, por la
concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo
justifique, y siempre que una Ley no disponga lo contrario.

Derecho de rectificación

Derecho del interesado a que sus datos personales se modifiquen cuando resulten inexactos o
incompletos.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Destinatario

Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba
comunicación de datos personales, se trate o no de un tercero; no obstante, no se considerará
destinatarios a las autoridades que puedan recibir datos en el marco de una investigación
específica.

Elaboración de perfiles

Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos para
evaluar aspectos personales propios de una persona, en particular para analizar y predecir
aspectos relativos a su rendimiento profesional, su situación económica, su salud, sus
preferencias o intereses personales, su fiabilidad o su comportamiento, su ubicación o sus
movimientos.

Empresa

Persona física o jurídica dedicada a una actividad económica independientemente de su forma

jurídica, se entiende también como empresa las asociaciones o sociedades.

Encargado del tratamiento

Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos
de carácter personal por cuenta del responsable del tratamiento.

Establecimiento principal

Si se trata de un responsable del tratamiento con establecimientos en más de un Estado

miembro, este será el lugar de su administración central en la UE. En el caso de un encargado
del tratamiento con establecimientos en más de un Estado miembro, el establecimiento
principal será el lugar de su administración central en la UE.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Evaluación de impacto

La EIPD es una herramienta con carácter preventivo que debe realizar el responsable
del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas
sus actividades de tratamiento, con el objetivo de garantizar los derechos y libertades
de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que
entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas
para reducir el mismo hasta un nivel considerado aceptable.

Fichero

Todo conjunto estructurado de datos personales.

Grupo empresarial

Grupo constituido por una empresa que ejerce el control y controladas sus empresas.

Interesado

Persona física titular de los datos que sean objeto del tratamiento.

Niños

 Menores de 13 a 16 años para el RGPD (los Estados miembros podrán establecer por
Ley una edad inferior, siempre y cuando la misma no sea inferior a 13 años).
 Menores de 14 años para la LOPDGDD.

Normas corporativas vinculantes

Políticas de protección de datos personales asumidas por un responsable o encargado del

tratamiento establecido en el territorio de un Estado miembro de la Unión Europea para las
transferencias o un conjunto de transferencias de datos personales a un responsable o
encargado del tratamiento en uno o más países terceros, dentro de un grupo de empresas o
grupo de sociedades que participen en una actividad económica conjunta.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Objeción pertinente y motivada

Sobre si se ha producido una infracción sobre la normativa de protección de datos o sobre si

las medidas aplicadas por parte del responsable o el Encargado del Tratamiento son conformes
al RGPD. Esta objeción deberá demostrar claramente la importancia de los riesgos que supone
el tratamiento en lo que concierne a los derechos y libertades fundamentales de los interesados
y a la libre circulación de datos personales.

Organización internacional

Cualquier organismo y sus entes subordinados de Derecho internacional, creado mediante un

acuerdo entre dos o más países o en virtud de tal acuerdo.

Representante

Persona física o jurídica establecida dentro de la Unión Europea que, designada por el
responsable del tratamiento mediante un contrato por escrito, represente al responsable del
tratamiento en lo que respecta a las obligaciones de este último con la finalidad de contemplar
la normativa en protección de datos.

Responsable del tratamiento

Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o
conjuntamente con otros determinen los fines y medios sobre el tratamiento de unos datos
personales.

Seguridad del tratamiento

El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas

apropiadas, incluida la seudonimización de datos personales, para garantizar un nivel de
seguridad adecuado al riesgo.

Seudonimización

Tratamiento de datos personales, de tal manera que no puedan atribuirse a un interesado en

particular sin recurrir a información adicional, siempre que dicha información adicional se
mantenga separada y sujeta a medidas técnicas u organizativas y no esté vinculada a
personas identificadas o que puedan identificarse.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Servicio de la sociedad de la información

Todo servicio prestado normalmente a cambio de una remuneración, a distancia (sin que las
partes estén presentes simultáneamente), por vía electrónica y a petición individual de un
destinatario de servicios.

Tercero

Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del
responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para
tratar los datos personales.

Transparencia de la información

El responsable del tratamiento tomará las medidas oportunas al interesado para facilitar toda
información, así como cualquier comunicación relativa al tratamiento de sus datos personales,
de forma inteligible y de fácil acceso, con un lenguaje claro y sencillo. Esta información podrá
ser facilitada por escrito, o por otros medios electrónicos.

Transferencia internacional de datos

Un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del
Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien
tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del
tratamiento establecido en territorio europeo.

Tratamiento

Cualquier operación o conjunto de operaciones sobre datos personales o conjuntos de datos

personales.

Tratamiento transfronterizo

Cualquier tratamiento de datos personales que se produzca en el contexto de las actividades

de establecimientos en más de un Estado miembro de la Unión Europea; o cualquier
tratamiento de datos personales que se produzca en el contexto de las actividades de un único
establecimiento pero que afecte sustancialmente a interesados de más de un Estado miembro
de la Unión Europea.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Violación de la seguridad de los datos o brecha de seguridad

Pérdida intencionada o no intencionada de información recogida, generalmente conteniendo

datos de carácter personal, y su revelación a terceros que no tienen acceso legítimo a dichos
datos. Destrucción accidental o ilícita, perdida, alteración, comunicación no autorizada o acceso
a datos personales transmitidos, conservados o tratados de otra forma.

5. PRINCIPIOS DE LA PROTECCIÓN DE DATOS

El derecho a la protección de los datos personales no es un derecho absoluto sino que debe
considerarse en relación con su función en la sociedad y mantener el equilibrio con otros
derechos fundamentales, con arreglo al principio de proporcionalidad. Esta es la labor del
RGPD, el cual respeta todos los derechos fundamentales y observa las libertades y los
principios reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea, en
particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la
protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de
religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela
judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.

Los principios de la protección de datos deben aplicarse a toda la información relativa a una
persona física identificada o identificable. Los datos personales seudonimizados, que cabría
atribuir a una persona física mediante la utilización de información adicional, deben
considerarse información sobre una persona física identificable. Para determinar si una persona
física es identificable, deben tenerse en cuenta todos los medios que razonablemente pueda
utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o
indirectamente a la persona física.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Principio de Principio de
integridad y licitud,
lealtad y
confidencialidad
transparecia

Principio de Principio de
limitación
exactitud de
de la
finalidad los datos

Principio de Protección
minimización desde el
diseño y por
de datos defecto

Para las personas físicas debe quedar totalmente claro

que se están recogiendo, utilizando, consultando o
Todo
tratando de alguna manera datos personales que les
tratamiento de
conciernen, así como la medida en que dichos datos
datos
personales debe son o serán tratados.

ser lícito, leal y

transparente El principio de transparencia exige que toda
información y comunicación relativa al tratamiento de
datos de carácter personal sea fácilmente accesible y fácil de entender, y que se utilice un
lenguaje sencillo y claro.

En este sentido, el Responsable del Tratamiento deberá facilitar al interesado:

- la identidad y los datos de contacto del Responsable del Tratamiento y, en su caso, el

de su representante.

- los datos de contacto del Delegado de Protección de Datos.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 - los fines del tratamiento a que se destinarán los
Datos recogidos
datos personales, los cuales deben ser
con fines
explícitos y legítimos, y deben determinarse en determinados,
el momento de su recogida. explícitos y
legítimos
- el derecho del interesado a obtener
confirmación y comunicación de los datos personales que les conciernan que sean
objeto de tratamiento.

- los derechos del interesado.

- los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de
datos personales así como del modo de hacer valer sus derechos en relación con el
tratamiento.

- los plazos de conservación de los datos personales así como de sus revisiones
periódicas.

Asimismo, si fuera el caso, también se debe informar al interesado de la existencia de la

elaboración de perfiles y de las consecuencias de dicha elaboración. Así como de las
consecuencias en caso de que no facilitaran sus datos personales.

Dicha información puede transmitirse en combinación con unos iconos normalizados que
ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de
conjunto del tratamiento previsto. Además, si los iconos se presentan en formato electrónicos
deben ser legibles mecánicamente.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Los tratamientos de datos solo serán lícitos cuando el interesado haya dado su consentimiento
libre, específico, informado e inequívoco para dicho tratamiento. El Responsable de dicho
tratamiento deberá poder demostrar el consentimiento del interesado. Asimismo, el interesado
tendrá derecho a retirar el consentimiento en cualquier momento.

El tratamiento de datos personales que revelen el origen étnico racial, las opiniones políticas,
las convicciones religiosas o filosóficas, la afiliación sindical, el tratamiento de datos genéticos o
relativos a la salud o a la vida sexual, solo serán lícitos con el consentimiento explícito del
interesado.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Asimismo, el tratamiento de los datos personales del interesado también será lícito cuando:

- sea necesario para la ejecución de un contrato en el que el interesado es parte,

- sea necesario para el cumplimiento de una obligación legal aplicable al responsable del
tratamiento,

- sea necesario para proteger un interés

Ciertos tipos de tratamiento pueden responder
esencial para la vida del interesado o la de tanto a motivos importantes de interés público
como a los intereses vitales del interesado, como
otra persona física,
por ejemplo cuando el tratamiento es necesario
para fines humanitarios, incluido el control de
epidemias y su propagación, o en situaciones de
- sea necesario para el cumplimiento de una
emergencia humanitaria, sobre todo en caso de
misión realizada en interés público catástrofes naturales o de origen humano

- sea necesario para la satisfacción de intereses legítimos del responsable del

tratamiento, siempre y cuando no afecten a los derechos y libertades fundamentales
del interesado

La protección de los derechos y libertades de las

Protección de personas físicas con respecto al tratamiento de datos

datos desde el personales exige la adopción de medidas técnicas y

diseño y por organizativas apropiadas con el fin de garantizar el
defecto cumplimiento de los requisitos del RGPD. En
consecuencia, el responsable del tratamiento debe
adoptar políticas internas y aplicar medidas que cumplan los principios de protección de datos
desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al
máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos
personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo
a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y
mejorar elementos de seguridad.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Asimismo, al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que
estén basados en el tratamiento de datos personales o que traten datos personales para
cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones
a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos
productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la
técnica, de que los responsables y los encargados del tratamiento están en condiciones de
cumplir sus obligaciones en materia de protección de datos.

El responsable de tratamiento deberá aplicar las

medidas apropiadas para garantizar que, por defecto Minimización de
solo sean objeto de tratamiento los datos personales los datos
necesarios para cada uno de los fines específicos de
este. A su vez, también deberá asegurar que estos mecanismos garanticen que, por defecto,
los datos personales no sean accesibles a un número indeterminado de personas siempre que
el fin del tratamiento no tenga dicho objetivo.

Por consiguiente, el Responsable del Tratamiento solo recabará los datos personales
necesarios, adecuados, pertinentes y limitados al mínimo para el cumplimiento de la finalidad
contratada.

Los datos recabados por el Responsable de

Exactitud de los Tratamiento deberán ser exactos, y cuando sea

datos necesario, deberán ser actualizados. Por tanto, el

responsable de tratamiento deberá adoptar las
medidas razonables para que se supriman o rectifiquen sin dilación, los datos personales que
sean inexactos con respecto a los fines para los que se recogieron.

El Responsable del Tratamiento no conservará los datos durante un período superior al

necesario, excepto para fines de archivo siempre y cuando se realicen revisiones para evaluar
la necesidad de conservación y se adopten medidas para limitar el acceso solo para los fines
previstos, o para fines de investigación histórica, estadística o científica en el caso que sean de
titularidad o interés público.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 Según lo establecido en la LOPDGDD, todo responsable
y encargado del tratamiento de datos así como Integridad y
todas las personas que intervengan en cualquier
confidencialidad
fase de tratamiento de dichos datos personales, estarán sujetas al deber de confidencialidad.

6. recuerda

- Uno de los mayores recursos con los que cuenta una entidad en relación con su
actividad laboral, dentro de la sociedad de la información, son los Datos de Carácter
Personal.

- La protección de las personas físicas, en lo que se refiere al tratamiento de sus datos

personales, es un derecho fundamental.

- Para poder garantizar un nivel uniforme y elevado de protección de datos personales y

eliminar los obstáculos de la circulación de éstos dentro de la UE, debe existir un nivel
de protección del tratamiento de dichos datos, equivalente para todos los Estados
Miembros.

- El Reglamento General de Protección de Datos proporciona seguridad jurídica y

transparencia a los operadores económicos, incluidas las obligaciones y el mismo nivel
de responsabilidades para los responsables y encargados del tratamiento, con el fin de
garantizar una supervisión coherente del tratamiento de datos personales.

- Existió un período de dos años en el que coexistieron el RGPD con la directiva

65/46/CE.

- Todo tratamiento de datos personales que se realice dentro del contexto de las
actividades de un establecimiento, de un responsable o un encargado del tratamiento
en la Unión Europea, debe llevarse a cabo conforme al RGPD, independientemente de
que el tratamiento tenga lugar en la Unión.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
 - Los principios que rigen el RGPD son: el principio de licitud, lealtad y transparencia; el
principio de limitación de la finalidad; el principio de exactitud de los datos; el principio
de integridad y confidencialidad; el principio de minimización de los datos; y el principio
de protección desde el diseño y por defecto.

- La Ley Nacional que se aplica en España, como Estado Miembro de la UE, es la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales.

CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos