Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El derecho fundamental a
la protección de datos
personales I
Índice
Esquema 3
Ideas clave 4
2.1. Introducción y objetivos 4
2.2. Principios reguladores del tratamiento 8
© Universidad Internacional de La Rioja (UNIR)
A fondo 43
Test 46
Esquema
© Universidad Internacional de La Rioja (UNIR)
Sin excepciones, puede certificarse que el nuevo reglamento en el asunto que nos
ocupa, es decir, la protección de datos personales reivindica un cambio absoluto si lo
comparamos con las normas precedentes que ahora quedan sin efecto.
Así ocurre que, una notable cantidad de elementos y normas de la norma ya abrogada
(artículo 94 RGPD) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24
de octubre de 1995, referida a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos (en adelante,
DPDP) y de la LOPD, se encuentran todavía en la naturaleza de la ley de protección
de datos, el RGPD y la nueva LOPDGDD, incrustando indirectamente un innovador
prototipo en el ámbito de la protección de datos personales, tanto y respectivamente
para la Unión Europea, a modo global, como para España, a nivel particular.
Vistos estos conceptos, en un entorno más íntimo surge la novedosa LOPDGDD, que
© Universidad Internacional de La Rioja (UNIR)
Así las cosas, los objetivos de aprendizaje de la presente lección son los siguientes:
Una parte del argumentario, con influencia relevante sobre el resto, reivindica que el
legislador se ha esforzado en buscar un texto regulatorio de las normas que informan de
la nueva normativa, procurando una postura conservadora y similar a la que ya se
Llegados a este punto se hace, más que necesario, imprescindible, que la persona titular
de los datos sea consecuente y conozca en profundidad todos los pormenores que se
pueden originar por el uso y tratamiento de sus datos, de tal manera que, consciente de
todas esas circunstancias, valore y consienta dicha utilización, con conocimiento expreso
y amplio de los hechos. A tal fin, este extremo queda expresamente reflejado en el
artículo 5 RGPD a través del principio de limitación de la finalidad [letra b) del artículo 5
RGPD], que se solapa con la expresión limitación de propósito y que alude,
principalmente, a la obligatoriedad de que la utilización de los datos personales no cubra
función diferente que la que puntualmente le ha sido asignada por el dueño y titular de
los mismos, concediéndole el cumplimiento de este precepto su tratamiento legal.
No requiere más aclaración este punto que la matización de que, al recabar los datos del
titular, no pueden solicitarse más que los estrictamente necesarios, estando, por pura
lógica y como continuación de lo expuesto en párrafos anteriores, totalmente justificada
su solicitud y siempre enfocada a la naturaleza y finalidad que se persigue con dicha
utilización.
Si queremos dotarlo de un matiz más coloquial, este precepto solo permite recabar los
© Universidad Internacional de La Rioja (UNIR)
datos personales que vayamos a tratar, destinándolos a la finalidad para la cual los
pedimos y serán requeridos cuando vayamos a hacer uso de ellos. Es importante partir
del principio de que el conocimiento y la tenencia de datos personales de los ciudadanos
constituyen un valor en sí mismo, por lo cual hay que limitar su captura necesaria y
exclusivamente a aquellos que, por la finalidad pretendida, sean imprescindibles, sin
«1. Conforme al artículo 5.1.d) del Reglamento (UE) 2016/679 los datos
serán exactos y, si fuere necesario, actualizados.
Este punto siempre ha generado abundantes controversias entre los que argumentan la
ambigüedad de los plazos que cubren las responsabilidades del propio tratamiento, y
aquellos otros que defienden que su duración esté determinada por la prescripción de
las acciones procedentes del negocio jurídico latente, por cuya actuación han sido
recabados los datos personales.
Al finalizar esta actuación concreta, los datos se mantendrán, si acaso fuera necesario,
previa constatación de la aquiescencia de las partes y en archivos de interés público
general, para su uso en investigaciones científicas, históricas y de carácter estadístico, y
siempre contando con correctas normas técnicas y organizativas que de manera segura
garanticen la ejecución de este precepto.
pueda resultar reiterativo, que el uso de los datos personales estará siempre dentro de
una corrección, tanto en su tratamiento como en el fin para el cual fueron pedidos, lo
que redundará en mayor seguridad ante la posibilidad de que puedan ser utilizados sin
autorización o ilegalmente, ante una hipotética pérdida o destrucción e incluso, por daño
A la sazón, conviene indicar cuando nos referimos, tanto al principio de limitación del
plazo en el mantenimiento de los datos personales, como en lo referente al fundamento
de integridad y confidencialidad de los mismos, que la puesta en valor de las medidas
antes referidas, organizativas y técnicas y, en general, todas las que se adoptaran
buscando la seguridad de los mencionados datos aplicando la nueva normativa, será de
obligación en su correcta puesta en marcha y de todo cuanto las rodea, del responsable
del tratamiento en su totalidad, que haciendo valer dicha normativa y por su cuenta y
riesgo, tiene que adoptar cuantas medidas considere necesarias y adecuadas
dependiendo de los tipos de datos que se estén tratando, las finalidades pretendidas y ,
en general, aquellas circunstancias que acompañen al desarrollo y uso de ellos.
Por tal motivo, desde el 25 de mayo de 2018, fecha de entrada en vigor del RGPD,
cualquier empresa, al margen de su tamaño, que maneje datos personales, se verá
obligada al cumplimiento de la normativa relativa a la protección de datos personales, y
al mismo tiempo, tendrá que acreditar que está facultada para cumplir con dicha
© Universidad Internacional de La Rioja (UNIR)
Una de las conclusiones más relevantes que se obtienen, tras la lectura de lo expuesto
hasta el momento, es aquella que determina que el interesado es dueño absoluto de
sus propios datos personales, y decide en cada momento sobre su uso y destino. Así
lo confirma la Sentencia del Tribunal Constitucional número 292/2000, de 30 de
noviembre (STC 292/2000 ECLI: [ES:TC:2000:292]), cuyo fundamento jurídico sexto
señala la finalidad que persigue el derecho inalienable a la protección de datos, y que
no es otro que dotar al interesado y propietario de los mismos del control en la
utilización de dichos datos personales, como cortapisa para un uso y destino indebido
© Universidad Internacional de La Rioja (UNIR)
En esta situación, conviene dejar constancia de que ese poder que el titular posee
sobre sus datos no tendrá valor alguno si este no cuenta con la adecuada y necesaria
Para poder cumplir adecuadamente con este último punto, se hace necesario que el
interesado obtenga la información necesaria que le dote de capacidad para asentir o
no ante un concreto tratamiento llevado a cabo con sus datos personales, y será, por
este motivo, imprescindible, que se le facilite toda la información preventiva de
cuantas circunstancias puedan rodear el tratamiento en cuestión.
Los referidos preceptos a los que hacemos mención, difieren sobre el momento
adecuado en que se debe cumplir con esta obligación; así, en el artículo 13 RGPD (que
determina la información a facilitar al titular cuando los datos son directamente
© Universidad Internacional de La Rioja (UNIR)
En cualquier caso, todos los puntos que debe conocer el interesado se contemplan
en una lista cerrada númerus clausus, expresados en ambos supuestos, a diferencia
del reglamento derogado, que utilizaba la expresión al menos para minimizar dicha
información y, por ello, hacer factible su ampliación en cualquier momento.
Finalmente, si los datos personales del interesado eran facilitados directamente por
él, tendrían que hacer mención expresa, además de lo anterior, a la conveniencia o
no de las respuestas y a los efectos que podían derivarse de su concesión; por el
contrario, si los datos no se obtenían directamente de su persona, además de la
información antes indicada, se haría obligatorio mencionar el contenido del
tratamiento, así como el origen y procedencia de tales datos personales.
seguidamente:
Como paso primero, le será notificada la identidad y los datos de contacto del
responsable del tratamiento y, en su caso, de su representante, esto último solo
En tercer lugar, las finalidades del tratamiento a que se destinan los datos
personales y la base jurídica o de licitud del tratamiento, conforme al artículo 6
RGPD.
El artículo 12.1 DPDP ya asumía que el interesado tenía pleno derecho de acceso
a sus datos personales y que estos fueran tratados por el responsable del
tratamiento dándole cuenta al titular de la lógica utilizada en su uso automatizado,
o cuando menos, si tomaba una decisión particular para la utilización de dichos
datos de manera automatizada.
En tal situación, aparece una diferencia entre la DPDP y el RGPD, la cual es que,
con el nuevo Reglamento, el responsable del tratamiento siempre ha de informar
al interesado de la lógica utilizada en decisiones íntegramente automatizadas, y
no solamente cuando el titular de los datos ejercite su derecho de acceso a dichos
datos personales en uso por el responsable. De esta manera, la información será
entregada siempre por el responsable del tratamiento, y además, verá la luz al
iniciarse el tratamiento, pues todo parece indicar que el derecho de acceso del
titular siempre cobra protagonismo con posterioridad a la necesidad de cubrir el
derecho a ser informado.
De cualquier modo, el aspecto legal del tratamiento determina una protección para
el titular de los datos en aquellos casos en que la legitimación para obtener dichos
datos fuera exclusivamente el consentimiento dado, y esa seguiría siendo la
prevalencia jurídica de ese tratamiento posterior, lo cual otorgaría el poder suficiente
al propietario de los datos para, en cualquier momento, impedir el tratamiento,
mediante la simple y mera suspensión de la autorización inicialmente prestada.
«1. Cuando los datos personales sean obtenidos del afectado, el responsable
del tratamiento podrá dar cumplimiento al deber de información
establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al
afectado la información básica a la que se refiere el apartado siguiente e
indicándole una dirección electrónica u otro medio que permita acceder de
forma sencilla e inmediata a la restante información.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de
perfiles, la información básica comprenderá asimismo esta circunstancia. En este
caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de
decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le
afecten significativamente de modo similar, cuando concurra este derecho de
acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.
Aunque parece lógico, conviene señalar que la obligación del cumplimiento de este
principio no está vinculada al consentimiento del interesado, puesto que la
información deberá confluir aun en el supuesto de que la norma legal del tratamiento
no resida en la autorización del titular. Esta obligación de informar establece un
destacado aval para el interesado, ya que le proporciona una importante herramienta
© Universidad Internacional de La Rioja (UNIR)
para poder plantear, ante las instituciones de tipo administrativo o jurisdiccional, que
el uso posterior de sus datos no es armonizable o concomitante con las finalidades
inicialmente mencionadas y para las cuales fueron entregados estos datos
personales.
Sobre este aspecto, se observa una gran diferencia entre los propósitos concretos,
explícitos y legítimos que concurrieron en el momento de solicitar los datos
personales al titular y aquellos otros cuyo destino es incompatible con ellos o, dicho
de otra forma, cuando la aplicación dada a dichos datos es diferente a aquella para
la cual fueron solicitados y gestionados (apartado cuarto del artículo 6 RGPD y
apartados tercero del artículo 13 y cuarto del artículo 14, también del RGPD).
Esto, por sí mismo, puede llevarse a la práctica, es decir, que los datos en cuestión
sean objeto de otra finalidad distinta, pero siempre que este uso no sea incompatible
con el dado en la primera utilización; este importante matiz proporciona una mayor
flexibilidad al conjunto del sistema de protección de datos personales, y ello hace
improbable que el fundamento referido a las restricciones de los fines del
tratamiento de datos personales, derive en aplicaciones restringidas o excesivamente
estrictas.
Interesa hacer observar que la obligación que el responsable del tratamiento tiene
de informar no es categórico, ya que presenta algunas excepciones. De esa manera,
si concurren determinados casos, esa obligación de información puede que no llegue
ni a nacer, y si lo hace, que deba permitir, en el hecho concreto que se produzca, dar
prioridad a otros bienes jurídicos que, en ese supuesto, tienen mayor relevancia
(artículo 23 RGPD, que hace referencia a las limitaciones).
De igual modo, todos los testimonios previstos en este apartado quedarán sin
© Universidad Internacional de La Rioja (UNIR)
Por otro lado, cuando los datos en cuestión no vengan dados o no los haya
proporcionado directamente el titular, el artículo 14 RGPD, partiendo de la previsión
del artículo 12 del mismo Reglamento, determina que el responsable del
tratamiento suministre la información que se detalla a continuación:
En primer lugar, como paso previo, deberá facilitarse la identidad y los datos de
contacto del responsable del tratamiento y, en su caso, de su representante, en
el caso de que el responsable del tratamiento tenga su establecimiento fuera del
territorio comunitario (artículo 27 RGPD).
En tercer lugar, las finalidades del tratamiento a que se destinan los datos
personales y la base jurídica o de licitud del tratamiento, conforme al artículo 6
RGPD.
En cuarto lugar, y aquí aparece una de las disparidades más importantes respecto
del espacio informativo que encierra el artículo precedente (artículo 13 RGPD), las
categorías de datos personales (datos personales básicos, categorías especiales
de datos personales o datos personales relativos a condenas e infracciones
© Universidad Internacional de La Rioja (UNIR)
Vista la información referida en los puntos anteriores, también debe ser suministrada
al titular por parte del responsable de la información que se indica a continuación,
muy importante de cara a proteger un tratamiento basándose en las normas de
lealtad y transparencia:
En cuarto lugar, si el tratamiento cuenta con la autorización del titular de los datos
como regla legal [artículos 6.1.a) y 9.2.a) RGPD], la posibilidad con que cuenta el
En tanto que el artículo 13 RGPD obligaba a dar esa información con anterioridad al
momento de obtener los datos personales, situación por otro lado dudosa, por
cuanto no parece posible esta actuación si dichos datos no se obtienen directamente
del titular, el apartado tercero del artículo 14 RGPD determina que el responsable del
Dentro de un plazo razonable, una vez se hayan recabado los datos personales
del interesado y, en cualquier caso, no más tarde del plazo de un mes, habida
cuenta del cúmulo de circunstancias concretas en la que estos datos personales
puedan ser tratados.
Por lo demás, si el responsable del tratamiento tiene previsto el uso de los datos
personales, él u otro organismo, para un fin diferente al que originó su solicitud
inicial, proporcionará al interesado con anterioridad a esta siguiente utilización,
información precisa sobre esa otra finalidad y cualquier otra adicional que resulte
adecuada de acuerdo con todo lo anterior.
personales.
Para estos casos, el responsable deberá poner en marcha cuantas medidas sean
necesarias con la finalidad de salvaguardar los derechos, libertades e intereses
legítimos que corresponden al titular, haciendo incluso pública la información, si
ello fuera necesario.
En cuarto y último lugar, en aquellos casos en que los datos personales objeto de
tratamiento hayan de continuar manteniendo su confidencialidad, protegidos
por la existencia de un deber de secreto profesional recogido en la normativa
comunitaria o nacional de los distintos Estados de la Unión, incluyendo un deber
de secreto de naturaleza estatutaria.
Se concretan a continuación las condiciones que deben advertirse para que dicha
condición de legalidad se cumpla correctamente y de forma práctica.
Primera condición
Fuera de esto, dicho consentimiento aparece definido por el apartado 11) del
artículo 4 RGPD como «toda manifestación de voluntad libre, específica, informada
Si bien tiene que ser incuestionable siempre, no tiene por qué ser categórico en todos
los casos. Para ilustrar esta afirmación, vamos a mencionar tres supuestos en los
cuales la autorización no es adecuada; es importante destacar que cuando resulta
complejo cumplir todos los requisitos específicos para obtener el consentimiento
© Universidad Internacional de La Rioja (UNIR)
para su posterior tratamiento, lo lógico es que existan otras normas jurídicas más
adecuadas:
Cuando quien los requiere está en posición preeminente sobre los propios
titulares de los datos. Es el caso de las Administraciones públicas con respecto a
los administrados y los empleadores respecto de sus empleados.
puntos:
Qué información recibió el particular: duplicado del documento a través del cual
fueron los datos recabados, firmado, ligado a la política de privacidad, así como de
los avisos o normas legales en aquel momento. Grabación del asentimiento dado
verbalmente, así como de la información proporcionada al propietario y titular de
los datos.
Segunda condición
En segundo lugar, y en relación con este último apartado del artículo 6 LOPDGDD,
que la autorización sea indispensable para proceder a la ejecución de un contrato en
el cual, el titular sea parte implicada o, en su caso, para la puesta en marcha, a
indicación de este, de normas y medidas de tipo precontractual [artículo 6.1.b)
RGPD]. El hecho de que exista un vínculo de tipo contractual o iniciación de él ya
acredita la legalidad del tratamiento.
© Universidad Internacional de La Rioja (UNIR)
Tercera condición
Cuarta condición
En cuarto lugar, también está justificada dicha legalidad cuando se trata de proteger
intereses trascendentales de la persona interesada o de cualquier otra persona física
[artículo 6.1.d) RGPD].
Quinta condición
Por último, cuando el tratamiento sea necesario para cubrir intereses lícitos
acometidos por el responsable o un tercer interviniente, teniendo en cuenta que
siempre prevalecerán los derechos y libertades primordiales del titular de los datos
personales, y de manera muy relevante, cuando el interesado sea un menor, sobre
dichos interese lícitos [artículo 6.1.f) RGPD].
Abundando en este último apartado y referido a él, se refleja una indicación concreta
en el Reglamento, que elimina de su hipotética aplicación el tratamiento llevado a
cabo por las autoridades públicas en el uso de las responsabilidades y actos que,
legalmente, les hayan sido conferidas.
© Universidad Internacional de La Rioja (UNIR)
Ante esta nueva normativa, surgen discrepancias en las empresas; por un lado,
acogerse a otra base legitimadora dentro de las estimadas, y por otro, repetir
nuevamente todo el proceso que siguieron en su momento para obtener los
consentimientos, es decir, volver a empezar. Esta segunda opción presenta
determinados problemas, como consecuencia principalmente de que el titular, que
poco a poco se encuentra más informado, se haya vuelto más selectivo a la hora de
ceder sus datos e incluso, que se niegue a prestarlos. Por otro lado, y para abundar
en las dificultades, el sistema de captación de información también debe adaptarse
a la nueva normativa.
© Universidad Internacional de La Rioja (UNIR)
En todo caso, cabe incidir en que el interés legítimo, como principio de tratamiento,
no es nuevo ni excepcional, ya que aparece regulado en el nuevo reglamento sobre
protección de datos personales, es decir, que ya tenía su espacio en la normativa
anterior. A priori, la posibilidad de que una persona pueda manejar unos datos
personales sin consentimiento previo y legal para llevarlo a cabo, sin más
Constitución española. Boletín Oficial del Estado, 29 de diciembre de 1978, núm. 311,
art. 18. Disponible en https://www.boe.es/buscar/act.php?id=BOE-A-1978-31229
Deber de información
El objeto de esta guía, de forma específica, es orientar acerca de las mejores prácticas
para dar cumplimiento a la obligación de informar a los interesados, en virtud del
principio de transparencia, acerca de las circunstancias y condiciones del tratamiento
de datos a efectuar, así como de los derechos que les asisten. Esta guía cubre
© Universidad Internacional de La Rioja (UNIR)
únicamente este objetivo específico, y debe ser complementada con otras guías que
las autoridades de protección de datos puedan emitir, en relación con la aplicación
del RGPD.
D. Obligación moral.
10. ¿Es la fuente de la que proceden los datos personales uno de los aspectos que se
ha de proporcionar al interesado cuando los datos personales no se obtienen
directamente de él?
A. Sí.
B. No.
C. Poco probable.
D. Nunca.
© Universidad Internacional de La Rioja (UNIR)