Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. ANTECEDENTES:....................................................................................................................................3
2. ¿POR QUÉ UN REGLAMENTO EUROPEO?..........................................................................................6
3. ÁMBITO DE APLICACIÓN .......................................................................................................................8
4. DEFINICIONES ......................................................................................................................................10
5. PRINCIPIOS DE LA PROTECCIÓN DE DATOS....................................................................................17
6. RECUERDA............................................................................................................................................23
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Objetivos del curso
Tras la plena aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento General de Protección de Datos), de aplicación directa para
todos los Estados miembros de la Unión Europea (EU), es necesario un conocimiento
exhaustivo de dicha norma para que todas las entidades estén preparadas frente a los nuevos
retos que deberá afrontar en materia de Protección de Datos de Carácter Personal.
Uno de los mayores recursos con los que cuenta una entidad en relación con su actividad
laboral dentro de la sociedad de la información, son los Datos de Carácter Personal. Por
consiguiente, es sumamente importante concienciarse de las medidas necesarias a adoptar
con el fin de dar cumplimiento a la normativa en protección de datos.
El Reglamento General de Protección de Datos (RGPD) no solo establece las directrices para
proteger los datos personales de las personas físicas, sino que refuerza las medidas de
seguridad a establecer dentro de cada tipo de tratamiento y la finalidad del mismo.
El presente curso pretende explicar de forma íntegra los nuevos principios, derechos de los
interesados y obligaciones de los responsables o encargados de los tratamientos de los datos,
a fin de concienciar al personal de la entidad acerca de sus derechos, funciones y obligaciones.
Por otro lado, debemos destacar también la plena aplicación de la Ley Orgánica 3/2018, de 5
de diciembre, de Protección de Datos personales y Garantía de los Derechos Digitales (ahora
en adelante LOPDGDD) y por el que se deroga La Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal.
No cabe duda que, la publicación de la nueva LOPD cierra el primer paso del proceso
legislativo a nivel nacional, asociado al Reglamento General de Protección de Datos, RGPD UE
679/2016.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
1. ANTECEDENTES:
Dos años después, en el Convenio Europeo para la Protección de los Derechos Humanos y
Libertades Fundamentales del Consejo de Europa, queda establecido en su artículo 8 que
“Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su
correspondencia”.
El convenio 108 del consejo de Europa, de 28 de enero de 1981, para la protección de las
personas con respecto al tratamiento automatizado de datos de carácter personal, supuso la
primera legislación europea (Convenio 108), cuya equiparación al ordenamiento jurídico
español de la regulación de los tratamientos automatizados de datos se tradujo en 1992 en la
LORTAD (Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal).
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
La LORTAD desarrollaba lo recogido en el artículo 18 de la Constitución Española de 1978, el
cual establece como derecho fundamental la Protección de los datos de carácter personal. Esta
establecía por primera vez, la limitación del uso de la informática para garantizar la intimidad
personal.
Dicha directiva sería transpuesta en las propias legislaciones de los Estados miembros,
armonizando entre los integrantes del Espacio Económico Europeo una normativa de mínimos
que estableciese un nivel de protección de datos equiparable a toda la UE tanto en los
tratamientos de datos automatizados como en los tratamientos de datos no automatizados.
Transposición
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
En 2009, el Consejo Europeo invitó a la Comisión europea a evaluar el funcionamiento de los
instrumentos que poseía la UE en materia de protección de datos y a presentar nuevas
iniciativas legislativas. En su resolución sobre el Programa de Estocolmo, el Parlamento
Europeo acogió favorablemente un régimen general de protección de datos en la UE y, entre
otras cosas, abogó por la revisión de la Decisión Marco. En su Plan de acción por el que se
aplica el Programa de Estocolmo la Comisión subrayó la necesidad de garantizar que el
derecho fundamental a la protección de datos de carácter personal se aplicase de forma
coherente en el contexto de todas las políticas de la UE.
Así, el 12 de marzo de 2014 el Parlamento Europeo aprobó el texto propuesto por la Comisión
de Libertades Civiles, Justicia y Asuntos de Interior (Comisión LIBE) dando luz verde al
proyecto de reforma del Reglamento Europeo de Protección de Datos. El cual fue aprobado el
16 de diciembre de 2015 por el Parlamento y el Consejo Europeo; y por el Pleno del
Parlamento el 14 de abril de 2016, propiciando su publicación el 4 de mayo del mismo año.
El Reglamento (UE) 2016/679 de 27 de abril de 2016 (se profundizará más adelante), relativo a
la protección de las personas físicas en lo que representa al tratamiento de datos personales
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
y a la libre circulación de estos datos (Reglamento General de Protección de Datos), entró en
vigor el 25 de mayo de 2016, y fue de plena aplicación directa para todos los Estados
Miembros a partir del 25 de mayo de 2018, fecha en la cual quedó derogada la Directiva
94/46CE, de este modo, toda referencia a la Directiva derogada se entenderá hecha al RGPD.
2012 Presentación
Propuesta de RGPD
2016 RGPD
Aprobación
2014 Aprobación del
proyecto final 2016/679
2015 Aprobación en 1ª
lectura
Todos estos avances requieren un marco sólido para la protección de datos dentro de la Unión
Europea, para generar la confianza que permita a la economía digital desarrollarse en todo el
mercado interior. Los individuos deben tener el control de sus propios datos personales y se
debe reforzar la seguridad jurídica y práctica para las personas físicas, los operadores
económicos y las autoridades públicas.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
En consecuencia, el marco legislativo de protección de datos necesitaba una renovación,
puesto que actualmente existen desarrollos tecnológicos que afectan o pueden afectar a la
esfera privada de las personas, y que no existían en el momento en que se legislaron los
tratamientos de datos personales.
A su vez, las diferencias en el nivel de protección de los datos de carácter personal, en lo que
respecta al tratamiento que se da a dichos datos en los diferentes Estados Miembros, han
impedido en algunos casos la libre circulación de los datos de carácter personal dentro de la
UE, obstaculizando en algunos casos el ejercicio de algunas actividades económicas e
impidiendo en otros que las autoridades cumpliesen los cometidos que les incumbe en virtud
del Derecho de la Unión Europea. Esta diferencia en los niveles de protección ha sido
consecuencia de la existencia de divergencias en la ejecución y aplicación de la Directiva
95/46/CE por parte de cada Estado Miembro.
El resultado es que para poder garantizar un nivel uniforme y elevado de protección de datos
personales y eliminar los obstáculos de la circulación de estos dentro de la UE, debe existir un
nivel de protección del tratamiento de dichos datos equivalente para todos los Estados
miembros.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Como se ha comentado anteriormente, durante el periodo de dos años (2016-2018)
coexistieron el RGPD con la Directiva 95/46/CE y por lo tanto, afectando a toda la legislación
de los Estados miembros transpuesta de dicha norma.
Durante el periodo en que coexistieron ambas normas se previó que el Reglamento se fuera
desarrollando en cuanto a cuestiones específicas, mediante los denominados Actos
Delegados de la Comisión, previstos en la redacción del texto para establecer el marco jurídico
aplicable según cada caso con mayor precisión.
Por lo que hace a los contratos de encargo del tratamiento, suscritos con anterioridad al 25 de
mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, los
mismos mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en
caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
3. ÁMBITO DE APLICACIÓN
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
incluidos en un fichero.
2. Asimismo, también es de aplicación a todos los datos de carácter personal de las personas
físicas tratados por las instituciones, órganos y organismos de la Unión Europea; así como por
los tribunales y otras autoridades judiciales. Aunque en este último caso, el Derecho de la
Unión o de los Estados miembros pueden especificar las operaciones de tratamiento y los
procedimientos de tratamiento en relación con el tratamiento de datos personales por los
tribunales y otras autoridades judiciales.
Todo tratamiento de datos personales que se realice dentro del contexto de las actividades de
un establecimiento de un responsable o un encargado del tratamiento en la Unión Europea,
debe llevarse a cabo conforme al RGPD, independientemente de que el tratamiento tenga lugar
en la Unión.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
- la oferta de bienes o servicios a dichos interesados en la Unión, independientemente
de si a estos se les requiere su pago,
4. DEFINICIONES
La entrada en vigor del Reglamento General de Protección de Datos hace necesaria una
revisión de las figuras y terminologías en materia de protección de datos:
Autoridad de control
Autoridad pública independiente establecida por un estado miembro. Cada estado miembro
podrá disponer de una o varias autoridades públicas independientes que se encarguen de
supervisar la aplicación del RGPD dentro de su territorio. En el caso de España la Autoridad de
Control es la Agencia Española de Protección de Datos.
Datos especialmente protegidos o “datos sensibles”, dado que, por su naturaleza, tienen una
especial afectación sobre los derechos fundamentales, la intimidad y las libertades públicas de
los individuos.
Código de conducta
Documento redactado voluntariamente por una empresa y/o entidad en el que se exponen una
serie de principios que compromete unilateralmente a seguir. En algunas ocasiones los códigos
de conducta afectan a las empresas proveedoras, subcontratistas y terceristas.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Corresponsable del tratamiento
Cuando existan varios responsables del tratamiento que determinen conjuntamente la finalidad,
contenido y uso del tratamiento, estos deberán establecer un acuerdo, por escrito, que delimite
sus responsabilidades respectivas en el cumplimiento de las obligaciones de protección de
datos, en particular, en relación con los procedimientos para el ejercicio de derechos de los
interesados.
Dato personal
Toda información sobre una persona física identificada o identificable, se considerará persona
identificable a toda persona cuya identidad pueda determinarse directa o indirectamente.
Datos biométricos
Cualesquiera datos personales para el reconocimiento único de la persona basada en uno y/o
más rasgos obtenidos a partir de un tratamiento técnico específico, relativos a las
características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la
identificación única, como imágenes faciales o datos dactiloscópicos.
Datos genéticos
Datos personales relativos a las características genéticas de una persona que hayan sido
heredadas o adquiridas y que proporcionen una información única sobre la fisiología o la salud
de esa persona, obtenidos en particular del análisis de una muestra biológica de la persona de
la que se trate.
Datos personales de una persona relativos a la salud física o mental que revelen información
sobre su estado de salud, incluida la prestación de servicios sanitarios.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Derecho a la limitación
Derecho del interesado a la restricción de un tratamiento de sus datos, los cuales solo podrán
ser objeto de tratamiento, con excepción de su conservación, con su consentimiento o para el
reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, para la
protección de los derechos de otra persona física o jurídica o por motivos de interés público
importante.
Derecho a la portabilidad
Derecho del interesado a recibir los datos personales que le incumban, que haya facilitado a un
Responsable del Tratamiento, en un formato estructurado y de uso habitual y de lectura
mecánica y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable
del tratamiento al que se hubieran facilitado los datos.
Derecho del titular de un dato personal a borrar, bloquear o suprimir información personal que
se considera obsoleta o no relevante por el transcurso del tiempo o que de alguna manera
afecta el libre desarrollo de alguno de sus derechos fundamentales.
Derecho de acceso
Derecho del interesado a obtener información sobre si sus datos personales están siendo
objeto de tratamiento y, la finalidad del mismo, así como la información disponible sobre el
origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
Derecho de oposición
Derecho del interesado a decidir que no se lleve a cabo el tratamiento de sus datos o se cese
en el mismo cuando no sea necesario su consentimiento para el tratamiento, por la
concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo
justifique, y siempre que una Ley no disponga lo contrario.
Derecho de rectificación
Derecho del interesado a que sus datos personales se modifiquen cuando resulten inexactos o
incompletos.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Destinatario
Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba
comunicación de datos personales, se trate o no de un tercero; no obstante, no se considerará
destinatarios a las autoridades que puedan recibir datos en el marco de una investigación
específica.
Elaboración de perfiles
Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos para
evaluar aspectos personales propios de una persona, en particular para analizar y predecir
aspectos relativos a su rendimiento profesional, su situación económica, su salud, sus
preferencias o intereses personales, su fiabilidad o su comportamiento, su ubicación o sus
movimientos.
Empresa
Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos
de carácter personal por cuenta del responsable del tratamiento.
Establecimiento principal
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Evaluación de impacto
La EIPD es una herramienta con carácter preventivo que debe realizar el responsable
del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas
sus actividades de tratamiento, con el objetivo de garantizar los derechos y libertades
de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que
entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas
para reducir el mismo hasta un nivel considerado aceptable.
Fichero
Grupo empresarial
Grupo constituido por una empresa que ejerce el control y controladas sus empresas.
Interesado
Persona física titular de los datos que sean objeto del tratamiento.
Niños
Menores de 13 a 16 años para el RGPD (los Estados miembros podrán establecer por
Ley una edad inferior, siempre y cuando la misma no sea inferior a 13 años).
Menores de 14 años para la LOPDGDD.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Objeción pertinente y motivada
Organización internacional
Representante
Persona física o jurídica establecida dentro de la Unión Europea que, designada por el
responsable del tratamiento mediante un contrato por escrito, represente al responsable del
tratamiento en lo que respecta a las obligaciones de este último con la finalidad de contemplar
la normativa en protección de datos.
Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o
conjuntamente con otros determinen los fines y medios sobre el tratamiento de unos datos
personales.
Seudonimización
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Servicio de la sociedad de la información
Todo servicio prestado normalmente a cambio de una remuneración, a distancia (sin que las
partes estén presentes simultáneamente), por vía electrónica y a petición individual de un
destinatario de servicios.
Tercero
Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del
responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para
tratar los datos personales.
Transparencia de la información
El responsable del tratamiento tomará las medidas oportunas al interesado para facilitar toda
información, así como cualquier comunicación relativa al tratamiento de sus datos personales,
de forma inteligible y de fácil acceso, con un lenguaje claro y sencillo. Esta información podrá
ser facilitada por escrito, o por otros medios electrónicos.
Un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del
Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien
tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del
tratamiento establecido en territorio europeo.
Tratamiento
Tratamiento transfronterizo
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Violación de la seguridad de los datos o brecha de seguridad
Los principios de la protección de datos deben aplicarse a toda la información relativa a una
persona física identificada o identificable. Los datos personales seudonimizados, que cabría
atribuir a una persona física mediante la utilización de información adicional, deben
considerarse información sobre una persona física identificable. Para determinar si una persona
física es identificable, deben tenerse en cuenta todos los medios que razonablemente pueda
utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o
indirectamente a la persona física.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Principio de Principio de
integridad y licitud,
lealtad y
confidencialidad
transparecia
Principio de Principio de
limitación
exactitud de
de la
finalidad los datos
Principio de Protección
minimización desde el
diseño y por
de datos defecto
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
- los fines del tratamiento a que se destinarán los
Datos recogidos
datos personales, los cuales deben ser
con fines
explícitos y legítimos, y deben determinarse en determinados,
el momento de su recogida. explícitos y
legítimos
- el derecho del interesado a obtener
confirmación y comunicación de los datos personales que les conciernan que sean
objeto de tratamiento.
- los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de
datos personales así como del modo de hacer valer sus derechos en relación con el
tratamiento.
- los plazos de conservación de los datos personales así como de sus revisiones
periódicas.
Dicha información puede transmitirse en combinación con unos iconos normalizados que
ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de
conjunto del tratamiento previsto. Además, si los iconos se presentan en formato electrónicos
deben ser legibles mecánicamente.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Los tratamientos de datos solo serán lícitos cuando el interesado haya dado su consentimiento
libre, específico, informado e inequívoco para dicho tratamiento. El Responsable de dicho
tratamiento deberá poder demostrar el consentimiento del interesado. Asimismo, el interesado
tendrá derecho a retirar el consentimiento en cualquier momento.
El tratamiento de datos personales que revelen el origen étnico racial, las opiniones políticas,
las convicciones religiosas o filosóficas, la afiliación sindical, el tratamiento de datos genéticos o
relativos a la salud o a la vida sexual, solo serán lícitos con el consentimiento explícito del
interesado.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Asimismo, el tratamiento de los datos personales del interesado también será lícito cuando:
- sea necesario para el cumplimiento de una obligación legal aplicable al responsable del
tratamiento,
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Asimismo, al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que
estén basados en el tratamiento de datos personales o que traten datos personales para
cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones
a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos
productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la
técnica, de que los responsables y los encargados del tratamiento están en condiciones de
cumplir sus obligaciones en materia de protección de datos.
Por consiguiente, el Responsable del Tratamiento solo recabará los datos personales
necesarios, adecuados, pertinentes y limitados al mínimo para el cumplimiento de la finalidad
contratada.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
Según lo establecido en la LOPDGDD, todo responsable
y encargado del tratamiento de datos así como Integridad y
todas las personas que intervengan en cualquier
confidencialidad
fase de tratamiento de dichos datos personales, estarán sujetas al deber de confidencialidad.
6. recuerda
- Uno de los mayores recursos con los que cuenta una entidad en relación con su
actividad laboral, dentro de la sociedad de la información, son los Datos de Carácter
Personal.
- Todo tratamiento de datos personales que se realice dentro del contexto de las
actividades de un establecimiento, de un responsable o un encargado del tratamiento
en la Unión Europea, debe llevarse a cabo conforme al RGPD, independientemente de
que el tratamiento tenga lugar en la Unión.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
- Los principios que rigen el RGPD son: el principio de licitud, lealtad y transparencia; el
principio de limitación de la finalidad; el principio de exactitud de los datos; el principio
de integridad y confidencialidad; el principio de minimización de los datos; y el principio
de protección desde el diseño y por defecto.
- La Ley Nacional que se aplica en España, como Estado Miembro de la UE, es la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales.
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos
CURSO ONLINE · Privacidad y Gestión de la Información · módulo 1 – introducción al reglamento general de protección de datos