Curso sobre protección de datos

en el ámbito policial
por David Galapero Picón

TEMA 2: CONCEPTOS L.O 7/2021

FINALIDAD DE LA LEY: Esta L.O tiene por objeto establecer unas normas para
otorgar protección a las personas físicas en lo que respecta a su tratamiento
de datos cuando son recopilados para fines de prevención, detección,
investigación y enjuiciamiento de infracciones penales o de ejecución de
sanciones penales, incluidas la protección y prevención frente a las amenazas
contra la seguridad pública.

Cuando los datos de las personas físicas son recopilados para otros fines, la
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

norma que regula dicho tratamiento es la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos
digitales.

Con palabras más sencillas, vamos a estudiar una Ley especial.

A QUÉ SE APLICA EL CONTENIDO DE ESTA LEY: Se aplica al tratamiento de todos

los datos que estén o vayan a incluirse en algún fichero destinado a prevenir,
detectar, investigar y enjuiciar infracciones penales, también la ejecución de las
sanciones penales, y ficheros relacionados con la prevención de amenazas
contra la seguridad pública.

También se aplica al tratamiento de los datos personales llevado a cabo con

ocasión de la tramitación por los órganos judiciales y fiscalías de las
actuaciones o procesos de los que sean competentes, así como el realizado
dentro de la gestión de la Oficina judicial y fiscal.

A QUÉ NO SE APLICA EL CONTENIDO DE ESTA LEY:

A los siguientes tratamientos de datos personales:

a) Los realizados por las autoridades competentes para fines distintos de los
anteriormente expuestos.

b) Los llevados a cabo por los órganos de la Administración General del

Estado en el marco de las actividades comprendidas en el ámbito de
aplicación del capítulo II del título V del Tratado de la Unión Europea.

ISFES | Página 1 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

c) Los tratamientos que afecten a actividades no comprendidas en el

ámbito de aplicación del Derecho de la Unión Europea.

d) Los sometidos a la normativa sobre materias clasificadas, entre los que

se encuentran los tratamientos relativos a la Defensa Nacional.

e) Los tratamientos realizados en las acciones civiles y procedimientos

administrativos o de cualquier índole vinculados con los procesos
penales que no tengan como objetivo prevenir, detectar, investigar y
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

enjuiciar infracciones penales, también la ejecución de las sanciones

penales, y ficheros relacionados con la prevención de amenazas contra
la seguridad pública.

f) No se aplicará a los tratamientos de datos de personas fallecidas.

ÁMBITO SUBJETIVO: En esta L.O se habla de autoridades competentes, y la

define como “toda autoridad pública que tenga competencias encomendadas
legalmente para el tratamiento de datos personales”, y en particular quedan
sujetos a esta L.O, los siguientes:

a) Las Fuerzas y Cuerpos de Seguridad.

b) Las Administraciones Penitenciarias.
c) La Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de
Administración Tributaria.
d) El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de
Capitales e Infracciones Monetarias.
e) La Comisión de Vigilancia de Actividades de Financiación del Terrorismo.

f) Las Autoridades judiciales del orden jurisdiccional penal y el Ministerio

Fiscal.

DEFINICIONES: Al igual que hace el Reglamento y la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos

ISFES | Página 2 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

digitales, se realiza una definición de diversos conceptos al objeto de aplicar

esta L.O, así nos encontramos con:

a) «datos personales»: toda información sobre una persona física

identificada o identificable («el interesado»); se considerará persona
física identificable a toda persona cuya identidad pueda determinarse,
directa o indirectamente, en particular mediante un identificador, como
por ejemplo un nombre, un número de identificación, unos datos de
localización, un identificador en línea o uno o varios elementos propios de
la identidad física, fisiológica, genética, psíquica, económica, cultural o
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

social de dicha persona.

b) «tratamiento»: cualquier operación o conjunto de operaciones

realizadas sobre datos personales o conjuntos de datos personales, ya
sea por procedimientos automatizados o no, como la recogida, registro,
organización, estructuración, conservación, adaptación o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión,
limitación, supresión o destrucción;

c) «limitación del tratamiento»: el marcado de los datos personales

conservados con el fin de limitar su tratamiento en el futuro.

d) «elaboración de perfiles»: toda forma de tratamiento automatizado de

datos personales consistente en utilizar datos personales para evaluar
determinados aspectos personales de una persona física, en particular
para analizar o predecir aspectos relativos al rendimiento profesional,
situación económica, salud, preferencias personales. intereses, fiabilidad,
comportamiento, ubicación o movimientos de dicha persona física.

e) «seudonimización»: el tratamiento de datos personales de manera tal

que ya no puedan atribuirse a un interesado sin utilizar información
adicional, siempre que dicha información adicional se mantenga por
separado y esté sujeta a medidas técnicas y organizativas destinadas a
garantizar que los datos personales no se atribuyan a una persona física
identificada o identificable.

ISFES | Página 3 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

f) «fichero»: todo conjunto estructurado de datos personales, accesibles

con arreglo a criterios determinados, ya sea centralizado, descentralizado
o dispersado de forma funcional o geográfica.

g) «responsable del tratamiento» o «responsable»: la autoridad

competente que sola o conjuntamente con otras, determine los fines y
medios del tratamiento de datos personales; en caso de que los fines y
medios del tratamiento estén determinados por el Derecho de la Unión
Europea o por la legislación española, dichas normas podrán designar al
responsable del tratamiento, o bien los criterios para su nombramiento.
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

h) «encargado del tratamiento» o «encargado»: la persona física o jurídica,

autoridad pública, servicio u otro organismo que trate datos personales
por cuenta del responsable del tratamiento.

i) «destinatario»: la persona física o jurídica, autoridad pública, servicio o

cualquier otro organismo al que se comuniquen datos personales, se
trate o no de un tercero. No obstante, no se considerará destinatarios las
autoridades públicas que puedan recibir datos personales en el marco
de una investigación concreta de conformidad con la legislación
española o de la Unión Europea; el tratamiento de tales datos por las
citadas autoridades públicas será conforme con las normas en materia
de protección de datos aplicables a los fines del tratamiento.

j) «violación de la seguridad de los datos personales»: toda violación de la

seguridad que ocasione la destrucción, pérdida o alteración accidental o
ilícita, o la comunicación o acceso no autorizados a datos personales
transmitidos, conservados o tratados de otra forma.

k) «datos genéticos»: datos personales relativos a las características

genéticas heredadas o adquiridas de una persona física que
proporcionen una información única sobre la fisiología o la salud de esa
persona, obtenidos en particular del análisis de una muestra biológica de
la persona física de que se trate.

l) «datos biométricos»: datos personales obtenidos a partir de un

tratamiento técnico específico, relativos a las características físicas,

ISFES | Página 4 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

fisiológicas o de conducta de una persona física que permitan o

confirmen la identificación única de dicha persona, como imágenes
faciales o datos dactiloscópicas.

m) «datos relativos a la salud»: datos personales relativos a

la salud física o mental de una persona física, incluida la prestación de
servicios de atención sanitaria, que revelen información sobre su estado
de salud.

n) «organización internacional»: una organización internacional y sus

ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

entes subordinados de Derecho internacional público o cualquier otro

organismo creado mediante un acuerdo entre dos o más países o en
virtud de tal acuerdo.

ISFES | Página 5 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

TEMA 2.1: EVOLUCIÓN HISTÓRICA DEL CONCEPTO DE DATOS

El RGPD en su artículo 4 define el concepto “datos personales” como toda

información sobre una persona física identificada o identificable, sin embargo,
la LOPDGDD carece de definición de conceptos pero por su contenido se puede
considerar que “datos personales” son los datos de las personas físicas que
van a ser tratados de forma total o parcial a través de ficheros automatizados
o no automatizados.
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

La protección de esos datos definidos, es una rama que está tomando cada
vez más importancia en el Derecho, la finalidad es conseguir una más y
eficiente protección de los diferentes derechos que pretende proteger el campo
de la protección de datos.

A lo largo de la historia reciente, pues este campo jurídico tienes sus inicios
modernos a finales del siglo XIX, la protección ha ido evolucionando para dar a
luz a las cuatro principales actuales teorías de protección de datos en el
ámbito europeo y de estados unidos que son reconocidas mundialmente. La
realidad nos muestra que a pesar de la existencia de un total de 4 teorías sobre
la protección de datos, la confusión de conceptos y la falta de definición previa
de los mismos para poder entender cuál es el ámbito de actuación donde
pretende incidir una teoría de protección de datos, ha generado lagunas
legales.

Toda laguna genera imprecisiones o teorizaciones poco fundamentadas

debido a una carencia de perspectiva de base que conlleva a la carencia de
construcción de unos pilares identificados con claridad que ayuden a
implementar un sistema teórico que permita evolucionar y adaptarse a las
circunstancias de tan peculiar y cambiante campo jurídico como es la
protección de datos.

El mundo necesita de una regulación en torno a la protección de datos mucho

más innovadora, realista y con capacidad de adaptación lo suficientemente
eficiente como para no quedarse retrasada en su función tuitiva, porque si
todos los campos del derecho son cuestionados y siguen siéndolo de forma
constante en lo que a sus orígenes conceptuales se refieren, para poder

ISFES | Página 6 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

adaptarse a las necesidades sociales del Derecho, la protección de datos no

puede ser menos, aunque sea un campo relativamente nuevo, más cuando es
uno de los que más rápido evoluciona del derecho.

Centrándonos en el origen de la protección de datos, sus primeras huellas la

encontramos en Estados Unidos en el ensayo publicado como artículo en la
Harvad Law Review como "The Right to Privacy" por Warren y Brandeis en 1890
donde se establece lo que ahora se considera la definición más aceptada
sobre la privacy, entendida como aquel derecho a ser dejado solo o a no ser
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

molestado. Por ello, se puede observar que la privacidad se fundamenta en el

anonimato, el secreto, teniendo como pilares la autonomía, individualidad el
desarrollo de la personalidad, y la inviolabilidad de la dignidad personal
(González Porras, 2015).

Con anterioridad, en 1763, nos encontramos con el autor de la cita del clásico
aforismo inglés “a man’s house as his castle” (la casa de cada uno es su
castillo) de William Pitten. Un principio básico del Derecho inglés el cual otorga
a cada ciudadano como individuo la protección de su hogar como aquel lugar
donde se da la máxima protección personal. La pretensión de William Pitten fue
la reivindicación de la protección personal del individuo frente al poder del
Monarca en cualquier lugar, incluido en la más humilde morada (Jones, 2011).

Por todo lo anterior desde un punto de vista legal, fue el juez Thomas M. Cooley
quien afirmó en la primera edición de su Tratado de Derecho Constitucional, “A
Treatise on the Constitutional Limitations which Rest upon the Legislative Power
of the States of the American Union” de 1868, estableció la primera referencia
legal del Data Privacy al indicar que las garantías de la Tercera, Cuarta y Quinta
Enmiendas de la constitución de los Estados Unidos constituyen vehículos de
protección de la privacidad individual(Cooley, 1868).

El juez Thomas M. Cooley indicó que la máxima del common law de “a man’s
house as his castle” citado en 1763 por William Pitten es la expresión jurídica
garantista de la inmunidad del ciudadano en su domicilio frente a la acción del
gobierno y por extensión de la protección en su persona, propiedad y
documentación personal incluso frente a un proceso judicial.

ISFES | Página 7 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

Por todo ello, el Tribunal Supremo de los Estados Unidos, ha venido

consideradon la existencia del Derecho a la privacidad o Data Privacy implícito
en la libertad de asociación que ampara la Primera Enmienda, se salvaguarda
a cualquier ciudadano frente a cualquier obligación legal de revelar la
pertenencia a un grupo u organización. Asimismo también en la Cuarta
Enmienda en lo que a registros y requisas arbitrarias se refiere mediante la cual
se limita la intrusión del gobierno en las personas, domicilios, documentos y
efectos personales. También en la Quinta Enmienda en lo que se refiere a la
incriminación contra uno mismo o revelación de datos personales (Nieves
Saldaña, 2012).
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

Por el año 1905 la Corte Suprema de Georgia aplicó claramente, desde un

punto de vista jurídico, por primera vez el concepto de protección de datos y
privacidad. El caso Pavesick & New England Life Insurance Company (Kent Jr,
2009). Aquí se reconoce la existencia del derecho a la propia imagen y el
derecho a la intimidad de la vida privada; todo ello bajo el fundamentado
jurídico de que ese derecho es un derecho innato que surge a la luz de las leyes
naturales. La sentencia indica que la libertad personal abarca tanto el derecho
a la vida pública como un derecho correlativo a la intimidad al mismo nivel de
protección que el primero y de carácter inviolable. A partir de aquí todo fue un
incremento de derechos en la esfera de la privacidad y protección de datos en
los años posteriores en los Estados Unidos.

Europa y hasta mitad del siglo XX las únicas referencias fueron de carácter
filosófico, donde podemos encontrar a de Benjamín Constant De Rebecque,
Jeremy Bentham, Thomas Hobbes, John Looke o Robert Price (Parejo Alfonso,
1993). Los países europeos que fueron precursores de la protección de datos en
europa fueron Reino Unido y Alemania, debido a su fecha y contenido regulado.
La primera de todas fue el Reino Unido la cual comenzó su debate en 1961
cuando Lord Mancroft presentó un proyecto de ley cuyo objetivo era la
regulación y protección de la privacidad. El proyecto Lord Mancroft entendía
que se debía de proteger el derecho a la no invasión de la privacidad y el
mantenimiento de la dignidad humana. Posteriormente hubo otro intento en
1967 con el proyecto “Lyon” presentado por Alexander Lyon, aunque este
también fracaso. No fue hasta 1972 con la publicación del trabajo del Younger
Committee Report donde se estableció el pistoletazo de salida a las
legislaciones europeas sobre protección de datos. Los resultados de este

ISFES | Página 8 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

comité dieron lugar al “white paper” donde se introdujo en 1979 el concepto de

protección de datos personales derivados del tratamiento informatizado de
datos y el “lindop report”. Tras este bagaje en 1984 se aprobó la “Data
Protection Act”. (Clímaco Valiente, 2012).

Alemania inició su andadura legal en la protección de datos personales con la

Ley de Hesse una ley promulgada por el Land de Hesse en 1970 donde regulaba
ciertos aspectos sobre el secreto de las comunicaciones o el derecho sobre el
control de datos. Posteriormente en 1977 se aprobó a nivel federal en Alemania
una ley contra el uso ilícito de los datos personales y la protección de datos.
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

Adelantándose en fecha de entrada en vigor a Reino Unido, aunque este último

llevara más años debatiendo legalmente sobre dicha temática.

La confrontación de datos nos muestra que llevó casi un siglo desde que en
Estados Unidos se comenzó a legislar hasta que Europa comenzó a realizar la
misma tarea.

Sobre la terminología, se utiliza como sinónimos Data Privacy y Data Protection,

pero en realidad no es lo mismo, el Data Privacy pretende proteger los datos
privados de la utilización indebida, regulando su correcto uso, recolección,
borrado total o parcial, así como almacenaje y tratamiento de los mismos,
mientras que Data Protection se refiere a los métodos o políticas de
seguridad todo ello a nivel técnico y regulado legalmente; establecidas para
asegurar la correcta protección del Data Privacy (Gellert & Gutwirth, 2013), o en
otros términos, Data Privacy es el derecho a proteger y Data Protection la
herramienta que se usa para proteger, objeto a proteger vs herramienta a usar.

Sobre la traducción, el concepto Data Privacy que es el término legal correcto;

no ha sido el de “Privacidad de Datos” sino “Protección de Datos”. El uso del
concepto Data Protection análogo a Data Privacy es un error puesto que la
naturaleza jurídica a este campo del derecho la otorga la Data Privacy, no la
Data Protection. La realidad de traducir atribuyendo como objetivo principal
ulterior a una legislación el concepto “protección de datos” en lugar de
“privacidad de datos” es un error básico. Si construimos toda la legislación
entorno a la herramienta usada que debe ser regulada posteriormente, y no el
objeto a proteger, estamos partiendo de una premisa errónea.

ISFES | Página 9 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

TEMA 2.2: DATO BIOMÉTRICO COMO DATO SENSIBLE

Dentro de los datos de carácter personal existen una serie de datos que
atendiendo a su importancia los ubicamos jerárquicamente como superiores.
Debemos por ello darles una denominación diferente, en nuestra sociedad se
ha optado por llamarles “datos especialmente protegidos”, y como
jerárquicamente son superiores el legislador debe darles una protección
diferente.
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

Materialmente este tipo de datos ponen de manifiesto cualidades de las

personas que se encuentran relacionadas con su dignidad, su personalidad, su
forma de ser o comportarse, y formalmente, necesitan de reforzarse todas las
labores relacionadas con ellos, recogida, tratamiento, etc, materialmente no es
lo mismo recoger un nombre (ej. David), que recoger una cualidad personal (ej.
Ideología), por ello, formalmente, no pueden revestir las mismas garantías unos
que los otros.

Los datos sensibles son aquellos que nos identifican al posicionarnos con
alguna ideología, origen racial o étnico, afiliación sindical, religión, vida sexual,
es decir, son datos intrínsecos del individuo, por lo que podemos afirmar que un
dato sensible será aquél que de divulgarse expondría parte de nuestra esfera
íntima.

En la derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de

Datos de Carácter Personal, se regulaban en sus artículos 7 y 8.

Artículo 7. Datos especialmente protegidos. 1. De acuerdo con lo establecido en

el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a
declarar sobre su ideología, religión o creencias. Cuando en relación con estos
datos se proceda a recabar el consentimiento a que se refiere el apartado
siguiente, se advertirá al interesado acerca de su derecho a no prestarlo. 2.
Sólo con el consentimiento expreso y por escrito del afectado podrán ser
objeto de tratamiento los datos de carácter personal que revelen la ideología,
afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos
por los partidos políticos, sindicatos, iglesias, confesiones o comunidades
religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro,

ISFES | Página 10 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos
relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos
datos precisará siempre el previo consentimiento del afectado. 3. Los datos de
carácter personal que hagan referencia al origen racial, a la salud y a la vida
sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de
interés general, así lo disponga una ley o el afectado consienta expresamente.
4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de
almacenar datos de carácter personal que revelen la ideología, afiliación
sindical, religión, creencias, origen racial o étnico, o vida sexual. 5. Los datos de
carácter personal relativos a la comisión de infracciones penales o
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

administrativas sólo podrán ser incluidos en ficheros de las Administraciones

públicas competentes en los supuestos previstos en las respectivas normas
reguladoras. 6. No obstante lo dispuesto en los apartados anteriores, podrán
ser objeto de tratamiento los datos de carácter personal a que se refieren los
apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario
para la prevención o para el diagnóstico médicos, la prestación de asistencia
sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre
que dicho tratamiento de datos se realice por un profesional sanitario sujeto al
secreto profesional o por otra persona sujeta asimismo a una obligación
equivalente de secreto. También podrán ser objeto de tratamiento los datos a
que se refiere el párrafo anterior cuando el tratamiento sea necesario para
salvaguardar el interés vital del afectado o de otra persona, en el supuesto de
que el afectado esté física o jurídicamente incapacitado para dar su
consentimiento.

Artículo 8. Datos relativos a la salud. Sin perjuicio de lo que se dispone en el

artículo 11 respecto de la cesión, las instituciones y los centros sanitarios
públicos y privados y los profesionales correspondientes podrán proceder al
tratamiento de los datos de carácter personal relativos a la salud de las
personas que a ellos acudan o hayan de ser tratados en los mismos, de
acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

En estos dos artículos, además de enunciarlos, se establecen las condiciones

que deben darse para su tratamiento (consentimiento expreso y por escrito del
afectado), de otra parte, se recogían las excepciones a la regla anterior
(ficheros mantenidos por partidos políticos, iglesia, etc), pero en el supuesto de
cesión se exigía el consentimiento expreso. Otros relacionados como la salud,

ISFES | Página 11 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

origen racial y vida sexual, se podrían tratar interés general, como la salud
pública pero para ello se tienen que cumplir ciertas condiciones (normativa
legal y consentimiento expreso).

En la actual normativa de protección de datos (RGPD), esta categoría especial

de datos quedan recogidas en el art.9, y en los considerandos 51 a 56. La gran
diferencia con la normativa derogada es que en la actual se incluyen TRES
nuevos tipos:

LOPD 1999 RGPD

ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

Ideología Opiniones políticas

Afiliación sindical Afiliación sindical
Religión Convicciones religiosas
Creencias Convicciones filosóficas
Origen racial o étnico Origen racial o étnico
Salud Datos relativos a la salud
Vida sexual Vida sexual
Dato genético
Dato biométrico
Orientación sexual

En nuestro Derecho nacional, la LOPDGDD, haciendo uso de la facultad

otorgada por el RGP a los Estados partes la opción de poner mayores
limitaciones a dicho tratamiento de datos, nuestro país, ha incluido en su
artículo 9 de la mencionada Ley.

Artículo 9. Categorías especiales de datos. 1. A los efectos del artículo 9.2.a) del
Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo
consentimiento del afectado no bastará para levantar la prohibición del
tratamiento de datos cuya finalidad principal sea identificar su ideología,
afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos
al amparo de los restantes supuestos contemplados en el artículo 9.2 del
Reglamento (UE) 2016/679, cuando así proceda. 2. Los tratamientos de datos
contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE)
2016/679 fundados en el Derecho español deberán estar amparados en una
norma con rango de ley, que podrá establecer requisitos adicionales relativos

ISFES | Página 12 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |
 Curso sobre protección de datos
en el ámbito policial
por David Galapero Picón

a su seguridad y confidencialidad. En particular, dicha norma podrá amparar

el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión
de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o
la ejecución de un contrato de seguro del que el afectado sea parte.

En que se traduce todo esto, en que pareciendo situaciones similares no lo son,

porque en virtud de esa cláusula europea, en España, además del
consentimiento explícito se tienen que dar las circunstancias que menciona el
artículo 9.
ISFES | Instituto Social y Formativo de las Emergencias y la Seguridad | CIF G22414460

Estamos ante datos sensibles, y el RGPD entiende que deben cumplirse unos
requisitos para tratar dichos datos:

1-recabar el consentimiento explícito de los trabajadores en un documento

donde se especifique claramente con qué finalidad se van a obtener esos
datos biométricos

2-realizar una evaluación de impacto sobre estos datos y

3-llevar a cabo el registro de actividades de tratamiento.

Esto no pasaba con la antigua LOPD, en la que los datos biométricos eran
considerados un dato de carácter personal simple o básico, equiparados a los
datos como números de teléfonos o direcciones de correos.

Pero volviendo al hilo de la pregunta, DEBEMOS AFIRMAR que un dato

biométrico es un dato sensible, o de especial protección.

ISFES | Página 13 de 13 v. 10/21 ©

| isfes.es | aula.isfes.es |