1

TEMA 18:

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. NORMATIVA DE APLICACIÓN.

RESPONSABLE, ENCARGADO Y DELEGADO DE PROTECCIÓN DE DATOS: DEFINICIÓN,
FUNCIONES Y RELACIONES. PRINCIPIOS GENERALES DE PROTECCIÓN DE DATOS. LICITUD DEL
TRATAMIENTO, ESPECIAL REFERENCIA A LAS CATEGORÍAS ESPECIALES DE DATOS. LOS
DERECHOS DEL CIUDADANO. OBLIGACIONES DE LA ADMINISTRACIÓN Y DEL EMPLEADO
PÚBLICO. REGIMEN SANCIONADOR.

1. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. NORMATIVA DE APLICACIÓN.

A finales de 2018, con objeto de adaptar el ordenamiento jurídico español al

Reglamento (UE) 2016/679, del Parlamento y el Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a
la libre circulación de estos (RGPDUE), se aprueba la Ley Orgánica 3/2018, de 5 de diciembre,
de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (LOPDP-
GDD).

Para su efectividad, la LOPDP-GDD reconoce una serie de derechos a los ciudadanos,

como son, entre otros, el derecho de acceso, rectificación y supresión de sus datos personales.
El ejercicio de los mismos es personalísimo, y debe, por tanto, ser ejercido directamente por
los propios interesados, debidamente acreditados ante cada uno de los
responsables/encargados de los ficheros.

No obstante, señalar que continúa vigente la Ley 15/1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal, en los supuestos referidos en la DA 14ª y DT 4ª de a
LO 3/2018.

2. RESPONSABLE, ENCARGADO Y DELEGADO DE PROTECCIÓN DE DATOS: DEFINICIÓN,

FUNCIONES Y RELACIONES.

La regulación de estas personas con responsabilidad en materia de protección de datos

se encuentra en el Título V de la LOPDP-GDD (artículos 28 a 39).

Se entiende por responsable del tratamiento o responsable la persona física, jurídica

o autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines
y medios del tratamiento. En el ámbito de la Administración Local, el responsable del
tratamiento, considerando la normativa de régimen local aplicable, recaerá en los municipios,
diputaciones provinciales e islas.

No obstante, respecto de las Diputaciones Provinciales, Consejos y Cabidos insulares

cabe hacer dos consideraciones:

 Que serán responsables de sus respectivos tratamientos, es decir, sobre aquellos sobre
los que decidan los fines de los mismos.
 Respecto a aquellos tratamientos de datos derivados de la prestación de asistencia en
favor de los municipios, serán estos los encargados de tratamiento.
 2

También pueden ostentar la condición de responsables, en la medida que traten datos

de carácter personal, las entidades de ámbito territorial inferior al municipal, las comarcas, las
áreas metropolitanas y las mancomunidades. Asimismo, dicha condición recaería también
sobre los entes que formen parte de la Administración Institucional de las Corporaciones
Locales, como son los OOAA y EPE´s.

Respecto del encargado del tratamiento, es la persona física, jurídica, autoridad

pública, servicio u otro organismo que trate datos por cuenta del responsable del tratamiento.

Como ejemplos de esta figura podemos señalar los casos en que la entidad local
encarga a un tercero, por ejemplo, una empresa, la elaboración de las nóminas de su personal,
la destrucción de documentación, el control de sus cámaras de videovigilancia, la gestión del
cobro de sus impuestos o el mantenimiento de sus equipos informáticos.

En todo caso, la relación entre el responsable y el encargado ha de estar regulada en

un contrato o instrumento jurídico.

Igualmente es preciso señalar que los entes de la Administración Local deben elegir un
encargado de tratamiento que ofrezca garantías suficientes respecto a la implantación y
mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo
establecido en el RGPD, y que garantice la protección de los derechos de las personas
afectadas. Existe, por tanto, un deber de diligencia en la elección del responsable. El propio
RGPD prevé en su Considerando 18 que el encargado del tratamiento debe ofrecer suficientes
garantías en lo referente a conocimientos especializados, fiabilidad y recursos, con vistas a la
aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento,
incluida la seguridad del tratamiento, así como el cumplimiento de la normativa de protección
de datos.

Por último, en lo que respecta al delegado de protección de datos se trata de una

figura obligatoria en las AAPP, por lo que los entes de la Administración local deben proceder a
su designación.

La norma europea señala que el delegado de protección de datos será una persona
con conocimiento especializado en Derecho y en la práctica en materia de protección de datos.
Estos conocimientos serán exigibles en relación con los tratamientos que se realicen, así como
las medidas que deban adoptarse para garantizar un tratamiento adecuado de los datos
personales objeto de estos tratamientos.

Las funciones del delegado se encuentran especificadas en el artículo 39 del RGPD,

siendo las siguientes:

1. Informar y asesorar al responsable o al encargado del tratamiento y a los

empleados que se ocupen del tratamiento de las obligaciones del RGPD y
demás normativa aplicable en protección de datos.
2. Supervisar el cumplimiento del RGPD y demás normativa aplicable e
protección de datos, y de políticas del responsable o encargado del
tratamiento en dicha materia, incluida la asignación de responsabilidades, la
concienciación y formación del personal que participa en operaciones de
tratamiento, y las auditorías correspondientes.
 3

3. Ofrecer el asesoramiento que se solicite acerca de la evaluación del impacto

relativa a la protección de datos y supervisar su aplicación conforme al artículo
35 del RGPD.
4. Cooperar con la Autoridad de control.
5. Actuar como punto de contacto de la Autoridad de control para cuestiones
referidas al tratamiento, incluida la consulta previa del artículo 35 del RGPD, y
realizar consultas, en su caso, sobre cualquier otro asunto.

En los Ayuntamientos con población superior a 20.000 habitantes, atendiendo al

volumen de datos tratados, el Delgado de Protección de Datos podría contar con un
departamento de apoyo. En los de menos de 20.000 habitantes, podrían designar a su
Delegado de Protección de Datos o articularlo a través de las Diputaciones Provinciales o
Comunidad Autónoma respectiva. Las Diputaciones Provinciales, Cabildos y Consejos insulares
deberán designar un Delegado. Podría designarse también en las empresas municipales en
función de los tratamientos de datos llevados a cabo.

En caso de que se designe a Secretarios, Interventores y Tesoreros, podrían actuar

como Delegados siempre que no exista conflicto de intereses en relación con el ejercicio de sus
respectivas funciones en la gestión ordinaria del ente local en cuestión, aunque también cabe
la posibilidad de que se pueda prestar por entidades privadas especializadas.

Deberá tenerse en cuenta que en entidades de gran tamaño lo lógico es que el

Delegado lo sea a tiempo completo, mientras que en entidades pequeñas podrá compaginar
sus funciones con otras tareas.

Por último señalar que el Delegado debe desempeñar sus funciones con total
independencia.

3. PRINCIPIOS GENERALES DE PROTECCIÓN DE DATOS

Los principios generales de protección de datos se contienen en los artículos 4 a 10 de

la LOPD-GDG.

1. Exactitud de los datos (art. 4): Conforme al RGD los datos serán exactos y, si fuere
necesario, actualizados. A tal fin, no será imputable al responsable del tratamiento, siempre
que este hubiera adoptado todas las medidas razonables para que se supriman o rectifiquen
sin dilación, la inexactitud de los datos personales, con respecto a los fines para los que se
tratan, cuando los datos inexactos:

 Hubiesen sido obtenidos por el responsable directamente del afectado.

 Hubieses sido obtenidos por el responsable de un mediador o intermediario
cuando las normas permita que el mismo recoja los datos en nombre propio
de los afectados para su transmisión al responsable.
 Fuesen sometidos a tratamiento por el responsable por haberlos recibido de
otro responsable en virtud del ejercicio por el afectado del derecho a la
portabilidad.
 Fuesen obtenidos de un registro público por el responsable.
 4

2. Deber de confidencialidad (art. 5): Los responsables y los encargados del

tratamiento de datos así como todas las personas que intervengan en cualquier fase estarán
sujetas al deber de confidencialidad. Esta obligación será complementaria de los deberes de
secreto profesional y ambas obligaciones se mantendrán aun cuando hubiese finalizado la
relación del obligado con el responsable o encargado del tratamiento.

3. Tratamiento basado en el consentimiento del afectado (art. 6): Se entiende por

consentimiento del afectado toda manifestación de voluntad libre, específica, informada e
inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen.

Cuando el tratamiento para una pluralidad de finalidades se funde en el

consentimiento del afectado será preciso que conste de manera específica e inequívoca que
dicho consentimiento se otorga para todas ellas.

No podrá supeditarse la ejecución del contrato a que el afectado consienta el

tratamiento de los datos personales para finalidades que no guarden relación con el
mantenimiento, desarrollo o control de la relación contractual.

4. Consentimiento de los menores de edad (art. 7): El tratamiento de datos personales

de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de
14 años. Se exceptúan los supuestos en los que la ley exija la asistencia de los titulares de la
patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se
recaba el consentimiento para el tratamiento.

El tratamiento de los datos de los menores de 14 años, fundado en el consentimiento,

solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que
determinen los propis titulares de la patria potestad o tutela.

5. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes

públicos (Art. 8): El tratamiento de datos personales solo podrá considerarse fundado en el
cumplimiento de una obligación legal exigible al responsable cuando así lo prevea una norma
de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las
condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las
cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha
norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la
adopción de medidas adicionales de seguridad u otras establecidas en el RGD.

El tratamiento de datos personales solo podrá considerarse fundado en el

cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos
conferidos al responsable cuando derive de una competencia atribuida por una norma con
rango de ley.

6. Categorías especiales de datos (Art. 9): A fin de evitar situaciones discriminatorias, el

solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de
datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión,
orientación sexual, creencias u origen racial o étnico.
 5

7. Tratamiento de datos de naturaleza penal (Art. 10): El tratamiento de datos

personales relativos a condenas e infracciones penales, así como a procedimientos y medidas
cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación,
detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, solo
podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión,
en esta ley orgánica o en otras normas de rango legal.

Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de

estos datos solo serán posibles cuando sean llevados a cabo por abogados y procuradores y
tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus
funciones.

4. LICITUD DEL TRATAMIENTO. (Art. 6 LOPD)

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno
o varios fines específicos;
2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es
parte o para la aplicación a petición de este de medidas precontractuales;
3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
5. el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
6. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un
niño. No será de aplicación al tratamiento realizado por las autoridades públicas en el
ejercicio de sus funciones.

4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los
datos personales no esté basado en el consentimiento del interesado o en el Derecho de la
Unión o de los Estados miembros el responsable del tratamiento, con objeto de determinar si
el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los
datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y
los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que
respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales
de datos personales, o datos personales relativos a condenas e infracciones penales;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
 6

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

5. ESPECIAL REFERENCIA A CATEGORÍAS ESPECIALES DE DATOS (art. 9 LOPD)

Tratamiento de categorías especiales de datos personales

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico

o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y
el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca
a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las
orientación sexuales de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias

siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos

personales con uno o más de los fines especificados, con excepciones.
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos
específicos del responsable del tratamiento o del interesado.
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física, en el supuesto de que el interesado no esté capacitado, física o
jurídicamente, para dar su consentimiento.
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas
garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de
lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento
se refiera exclusivamente a los miembros actuales o antiguos.
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente
públicos.
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones
o cuando los tribunales actúen en ejercicio de su función judicial.
g) el tratamiento es necesario por razones de un interés público esencial.
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la
capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o
tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia
sanitaria y social. Siempre que el tratamiento se realice por un profesional sujeto a la
obligación de secreto profesional o bajo su responsabilidad
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública,
como la protección frente a amenazas transfronterizas graves para la salud, o para
garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los
medicamentos o productos sanitarios.
j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación
científica o histórica o fines estadísticos.

6. LOS DERECHOS DEL CIUDADANO.

 7

Los artículos 15 a 22 del RGD señalan los siguientes derechos del ciudadano.

1. Derecho de acceso de interesado: Que se concreta en el derecho a obtener del

responsable de datos la confirmación de si se están tratando o no los datos personales que le
conciernen y, en tal caso, derecho de acceso a los datos personales y a la información sobre los
fines del tratamiento, las categorías de datos de que se traten, los destinatarios a que se
comunicaron o serán comunicados, el plazo previsto de la conservación de datos, la existencia
del derecho a solicitar del responsable la rectificación o supresión de los datos, el derecho a
presentar reclamación ante la autoridad de control, información sobre el origen de los datos y
la existencia de decisiones automatizadas.

2. Derecho de rectificación: El interesado  tendrá derecho a obtener sin dilación

indebida del responsable del tratamiento la rectificación de los datos personales inexactos que
le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a
que se completen los datos personales que sean incompletos, inclusive mediante una
declaración adicional.

3. Derecho de supresión (“el derecho al olvido”): El interesado tendrá derecho a

obtener sin dilación indebida del responsable del tratamiento la supresión de los datos
personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos
personales cuando concurra alguna de las circunstancias tasadas, tales como que los datos ya
no sean necesarios, el interesado haya retirado el consentimiento o los datos hayan sido
tratados ilícitamente.

Cuando haya hecho públicos los datos personales y esté obligado a suprimir dichos
datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste
de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a
informar a los responsables que estén tratando los datos personales de la solicitud del
interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o
réplica de los mismos.

Este derecho no se aplicará cuando el tratamiento sea necesario para los fines tasados
tales como el ejercicio de la libertad de expresión, razones de interés público o fines de
archivo.

4. Derecho a la limitación del tratamiento: El interesado tendrá derecho a obtener del

responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla
alguna de las condiciones tasadas tales como que el interesado impugne la exactitud de los
datos personales o alegue que el tratamiento siendo ilícito el interesado se oponga a la
supresión y solicite la limitación de su uso.

5. Derecho a la notificación por parte del responsable de la rectificación o supresión de

datos personales o la limitación del tratamiento.

6. Derecho a la portabilidad de los datos: El interesado tendrá derecho a recibir los

datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un
formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable
del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando el
 8

tratamiento esté basado en el consentimiento o el tratamiento se efectúe por medios

automatizados.

Al ejercer su derecho a la portabilidad de los datos el interesado tendrá derecho a que

los datos personales se transmitan directamente de responsable a responsable cuando sea
técnicamente posible.

7. Derecho de oposición: El interesado tendrá derecho a oponerse en cualquier

momento, por motivos relacionados con su situación particular, a que datos personales que le
conciernan sean objeto de un tratamiento basado en el cumplimiento de una misión realizada
en interés público o ejercicio de poderes públicos, así como para la satisfacción de intereses
legítimos, incluida además la elaboración de perfiles sobre la base de dichas disposiciones. El
responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos
legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y
las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa,

el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos
personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté
relacionada con la citada mercadotecnia. En este caso los datos dejarán de ser tratados para
dichos fines.

8. Derecho relacionadas con las decisiones individuales automatizadas: Todo

interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el
tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos
en él o le afecte significativamente de modo similar. Este derecho no se aplica si la decisión es
necesaria para la celebración o ejecución de un contrato, está autorizada por el Derecho de la
UE o de estados miembros o se basa en el consentimiento explícito del interesado.

7. OBLIGACIONES DE LA ADMINISTRACIÓN Y DEL EMPLEADO PÚBLICO.

Como obligaciones fundamentales de la Administración Pública y del personal a su

servicio, además de cumplir íntegramente con el RGD y la LOPDP-GDD, podemos señalar las
siguientes:

1. Garantizar a los ciudadanos el ejercicio de sus derechos

2. Adecuar los formularios y trámites en la recogida de datos
3. Solicitar el consentimiento expreso
4. Adaptar las relaciones con los encargados del tratamiento
5. Nombrar un Delegado de Protección de datos
6. Realizar un Registro de Actividades de tratamiento
7. Efectuar un Análisis de riesgos y, en su caso, una Evaluación de impacto
8. Aplicar el Esquema Nacional de Seguridad
9. Garantizar los derechos digitales
10. Bloquear los datos
 9

8. REGIMEN SANCIONADOR.

1. Sujetos responsables (art. 70 LOPD)

Están sujetos al régimen sancionador del RGD y de esta LO:

a) Los responsables de los tratamientos.

b) Los encargados de los tratamientos.
c) Los representantes de los responsables o encargados de los tratamientos no
establecidos en el territorio de la Unión Europea.
d) Las entidades de certificación.
e) Las entidades acreditadas de supervisión de los códigos de conducta.

Por tanto, no será aplicable al delegado de protección de datos.

2. Infracciones (art. 71 – 75 LOPD)

Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y
6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica.

Básicamente dichos preceptos se refieren a:

 Incumplimientos de las obligaciones del responsable, del encargado de los organismos de

certificación y de la autoridad de control
 Infracción de los principios básicos del tratamiento, de los derechos de los interesados, de
la transferencia de datos a un destinatario en un tercer país, del derecho de los estados
miembros o el incumplimiento de una resolución o limitación temporal o definitiva del
tratamiento o suspensión de los flujos de datos por parte de la autoridad de control
 El incumplimiento de las resoluciones de la autoridad de control cuando ejerza poderes
correctivos del artículo 58.2.

Los artículos 72 a 74 establecen, por su parte, la clasificación de las infracciones en

muy graves, graves y leves. Estas infracciones prescriben, respectivamente, a los 3 años, 2 años
y al año de su comisión. No obstante, interrumpe el plazo de prescripción de la infracción la
iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el
plazo de prescripción si el expediente sancionador estuviere paralizado durante más de 6
meses por causas no imputables al presunto infractor.

3. Sanciones (art. 76 LOPD)

En cuanto a las sanciones, se establece la imposición de sanciones administrativas de

importe desde 10 a 20 millones de euros como máximo, o del 2% al 4% del volumen de
negocio total anual del ejercicio financiero anterior en caso de que se trate de una empresa.
Estas sanciones se pueden graduar teniendo en cuenta, entre otros, el carácter continuado de
la infracción, los beneficios obtenidos como consecuencia de la comisión de la infracción o la
afectación a los derechos de los menores.