El Derecho Fundamental A La Protección de Datos Personales I

Tema 2
Derecho Humanos, Nuevas Tecnologías y Bioderechos
El derecho fundamental a
la protección de datos
personales I
Índice
Esquema 3
Ideas clave 4
2.1. Introducción y objetivos 4
2.2. Principios reguladores del tratamiento 8
© Universidad Internacional de La Rioja (UNIR)
2.3. Información al interesado como manifestación

por excelencia del principio de transparencia 14
2.4. Bases jurídicas de los tratamientos 31
2.5. Referencias bibliográficas 41
A fondo 43
Test 46
Esquema

3
Tema 2. Esquema
Ideas clave
2.1. Introducción y objetivos
Sobre la base del artículo 18 de la Constitución Española, se erige la importancia del

derecho fundamental a la privacidad y de la protección de datos. De acuerdo con este
precepto:
«1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la

propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él
sin consentimiento del titular o resolución judicial, salvo en caso de flagrante
delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las
postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus
derechos».
En la actualidad, tras un notable y amplio período de gestión y diligencias que tomó

carta de naturaleza el 25 de enero del año 2012, el Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, referido a la protección
de las personas físicas en lo que afecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que queda sin efecto la Directiva 95/46/CE
(en adelante, Reglamento general de protección de datos o RGPD) fue publicado en
el Diario Oficial de la Unión Europea el día 4 de mayo del año 2016, aplicando su
vigencia a los 20 días de su publicación y su aplicación estricta a todos los efectos
desde el pasado 25 de mayo de 2018.
En unos meses posteriores fue presentada para su gestión parlamentaria, no exenta

de complicados trámites, no obstante lo cual, derivó en la nueva Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los
Derechos Digitales (en adelante, LOPDGDD), que, tal y como especifica su

4
Tema 2. Ideas clave
Disposición final decimosexta, ve la luz el día posterior al de su publicación en el
Boletín Oficial del Estado (de fecha 6 de diciembre de 2018) y que no tiene más
función que ajustar la legislación española al Reglamento general de protección de
datos y perfeccionar su articulado.
Esta norma, en base a su Disposición derogatoria única, suprime la Ley Orgánica

15/1999, de 13 de diciembre, de protección de datos personales (en adelante, LOPD)
y el Real Decreto Ley 5/2018, de 27 de julio, que contemplaba normas y reglas
apremiantes para que el derecho español se acomodase a la legislación Unión
Europea en el ámbito de la protección de datos, sumando a ello todos aquellos
preceptos y normas de nivel similar o inferior que contravengan o confronten con las
disposiciones que determina el RGPD y la presente LOPDGDD.
Sin excepciones, puede certificarse que el nuevo reglamento en el asunto que nos
ocupa, es decir, la protección de datos personales reivindica un cambio absoluto si lo
comparamos con las normas precedentes que ahora quedan sin efecto.
Así ocurre que, una notable cantidad de elementos y normas de la norma ya abrogada
(artículo 94 RGPD) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24
de octubre de 1995, referida a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos (en adelante,
DPDP) y de la LOPD, se encuentran todavía en la naturaleza de la ley de protección
de datos, el RGPD y la nueva LOPDGDD, incrustando indirectamente un innovador
prototipo en el ámbito de la protección de datos personales, tanto y respectivamente
para la Unión Europea, a modo global, como para España, a nivel particular.
Acotando las especificaciones concretas, puede afirmarse que la nueva normativa

prioriza el uso responsable de la información por encima de una determinada gestión

de los datos y ello viene a suponer la mayor aportación que la nueva legislación
conlleva.

5
Tema 2. Ideas clave
Este extremo se percibe en fundamentos tales como el de la privacidad desde el
diseño y por defecto, el principio de responsabilidad proactiva (en anglosajón,
accountability), el tratamiento centrado en el análisis de riesgos y las medidas de
seguridad dimanantes, el distinguido como delegado de protección de datos (o, como
acrónimo, DPO/DPD), el innovador tipo ampliado de los códigos de conducta y, muy
determinantemente, al producirse la supresión de llevar registros de las acciones de
tratamiento, siendo sustituida esta labor por la obligación de declarar unos ficheros
que, por otro lado, potencia la figura de las autoridades encargadas de su control
como pilar básico, necesario e indispensable y, además, aparece como personalidad
clave e ineludible dentro del derecho primordial a la protección de datos.
Con el objetivo de ejecutar todas estas innovaciones se le da forma, en el ámbito

europeo, a la figura del reglamento, adaptada y preparada para afrontar el fin más
importante, el de potenciar un cambio notable tal cual dotando de mayor
congruencia a la reglamentación aplicable, así como un carácter más uniforme a la
normativa que regula la privacidad de la protección de datos dentro del amplio
espectro territorial comunitario.
Conviene poner de manifiesto que el reglamento, en contraste con la directiva, tiene

una cobertura genérica, es de obligatorio cumplimiento en todos sus apartados y su
implantación y aplicación directa afecta a cada uno de los Estados miembros que
integran la Unión Europea (artículo 288 del Tratado de Funcionamiento de la Unión
Europea). Constatar en este sentido que, si bien no necesita más aclaración,
ocasionalmente hay que ampliar sus conceptos en aspectos concretos a los que
afecta y que pueden suscitar dudas o controversias.
Vistos estos conceptos, en un entorno más íntimo surge la novedosa LOPDGDD, que
se convertirá en ley orgánica, habida cuenta de que pondrá en marcha un derecho

preferencial, el que hace referencia a la protección de las personas físicas en todo lo
que afecta a sus datos personales.

6
Tema 2. Ideas clave
No obstante, como bien pone de relieve su disposición final primera, tendrá carácter
de ley ordinaria el título IV; el título VII, salvo los artículos 52 y 53 que tienen carácter
orgánico; el título VIII; el título IX; los artículos 79 a 82, 88 y 95 a 97 del título X; las
disposiciones adicionales, salvo la disposición adicional segunda y la disposición
adicional decimoséptima, que tienen carácter orgánico; las disposiciones transitorias,
y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera,
cuarta, octava, décima y decimosexta, que tienen carácter orgánico.
En su esencia y que además es lo prioritario, según determina el artículo 1 LOPDGDD,

esta ley busca la adaptación y el encaje de la normativa jurídica española al RGPD, al
mismo tiempo que complementa y perfecciona su articulado.
Así las cosas, los objetivos de aprendizaje de la presente lección son los siguientes:
 Identificar cuáles son los principios que regulan el tratamiento de datos de

carácter personal.
 Evidenciar la relevancia de informar debidamente al interesado a fin de cumplir

con el principio de transparencia, con especial énfasis en los supuestos en los que
pueda peligrar la integridad de los derechos humanos.
 Resaltar la base jurídica que fundamenta el tratamiento de datos de carácter

personal en cuanto al marco legal recogido en el RGPD.

7
Tema 2. Ideas clave
2.2. Principios reguladores del tratamiento
Vídeo. Principios relativos al tratamiento.
Accede al vídeo a través del aula virtual
El artículo 5 RGPD, cuya nomenclatura es Principios relativos al tratamiento, determina

en su contenido las circunstancias regulatorias concretas referidas al tratamiento de
datos personales y las particularidades que deben rodear al mismo. Al resguardo de esta
predicción y más exactamente, al amparo de la letra d) del apartado primero del artículo
5 RGPD, aparece el artículo 4 LOPDGDD, precepto concreto cuyo objetivo primordial, al
margen de otros sustantivos, es acomodar la legislación española sobre el particular al
Reglamento general de protección de datos, al mismo tiempo que complementa sus
variadas disposiciones (artículo 1 LOPDGDD).
Una parte del argumentario, con influencia relevante sobre el resto, reivindica que el
legislador se ha esforzado en buscar un texto regulatorio de las normas que informan de
la nueva normativa, procurando una postura conservadora y similar a la que ya se

8
Tema 2. Ideas clave
observaba en la DPDP y más explícitamente, con la contenida en la LOPD, que traspasaba
dicha Directiva.
Punto demostrativo de este hecho es que, en la declaración de razones del mismo

Reglamento, el legislador comunitario toma como base la aseveración de que «los
principios de la protección de datos deben aplicarse a toda la información relativa a una
persona física identificada o identificable», para, a continuación, poner en
funcionamiento los valores que componían el concepto de calidad que mencionaba el
artículo 4 de la precitada LOPD.
Si en un momento inicial, se estipulaba que la demanda y uso de datos personales solo

era permitida ante la congruencia y necesidad de estos, dentro de un marco natural y
lógico y en un volumen no exagerado, siempre adaptados a unas necesidades
determinadas, legítimas y concretas para las que eran recabados, en este momento
dichos adjetivos son puntualizados, de tal manera que los datos personales serán
utilizados exclusivamente con fines lícitos, leales y trasparentes [letra a) del artículo 5
RGPD].
Cuando se abordó la tramitación parlamentaria de esta regla comunitaria, cuya vigencia

continua, se insistió vehementemente en que uno de los fines más importantes que se
perseguía dentro del nuevo Reglamento general de protección de datos era dotar del
poder prioritario al ciudadano, habida cuenta de que eran sus datos personales los que
estaban sobre la palestra, y ello le concedía el protagonismo suficiente como para tener
preeminencia a la hora de verificar las circunstancias concretas que determinan el uso y
tratamiento de dichos datos, de tal manera que en la pirámide de utilización y
manipulación de los datos sustanciales a una persona, esta aparece en la parte más
elevada en calidad de protagonista indiscutible.
La confirmación de que la persona concreta es dotada de este poder lo refleja el número

de instituciones que dejan constancia de ello, siempre anteponiendo la necesaria
claridad y transparencia que debe constatarse en el momento de recabar y hacer uso de
los datos del individuo en cuestión. Como podemos observar, este poder de disposición

9
Tema 2. Ideas clave
guarda estrecha relación con el derecho humano de toda persona a la privacidad, la
honra y la reputación.
Llegados a este punto se hace, más que necesario, imprescindible, que la persona titular
de los datos sea consecuente y conozca en profundidad todos los pormenores que se
pueden originar por el uso y tratamiento de sus datos, de tal manera que, consciente de
todas esas circunstancias, valore y consienta dicha utilización, con conocimiento expreso
y amplio de los hechos. A tal fin, este extremo queda expresamente reflejado en el
artículo 5 RGPD a través del principio de limitación de la finalidad [letra b) del artículo 5
RGPD], que se solapa con la expresión limitación de propósito y que alude,
principalmente, a la obligatoriedad de que la utilización de los datos personales no cubra
función diferente que la que puntualmente le ha sido asignada por el dueño y titular de
los mismos, concediéndole el cumplimiento de este precepto su tratamiento legal.
Asociado a los atributos de licitud, lealtad y transparencia en el uso de los datos y

asumido el respeto estricto a la finalidad para la cual han sido recabados, nos surge de
nuevo el compromiso de conveniencia de los datos, que el Reglamento general de
protección de datos denomina, utilizando uno de sus matices, como minimización de
datos [letra c) del artículo 5 RGPD].
No requiere más aclaración este punto que la matización de que, al recabar los datos del
titular, no pueden solicitarse más que los estrictamente necesarios, estando, por pura
lógica y como continuación de lo expuesto en párrafos anteriores, totalmente justificada
su solicitud y siempre enfocada a la naturaleza y finalidad que se persigue con dicha
utilización.
Si queremos dotarlo de un matiz más coloquial, este precepto solo permite recabar los
datos personales que vayamos a tratar, destinándolos a la finalidad para la cual los
pedimos y serán requeridos cuando vayamos a hacer uso de ellos. Es importante partir
del principio de que el conocimiento y la tenencia de datos personales de los ciudadanos
constituyen un valor en sí mismo, por lo cual hay que limitar su captura necesaria y
exclusivamente a aquellos que, por la finalidad pretendida, sean imprescindibles, sin

10
Tema 2. Ideas clave
ninguna otra pretensión posterior que alteraría sensiblemente el espíritu de toda la
legislación existente al respecto.
Todo lo anteriormente expresado no tendría valor real si prescindiéramos de una

premisa tan fundamental como la exigencia de que los datos sean exactos y correctos,
se actualicen periódicamente y se exija al responsable de su tratamiento la adopción de
cuantas medidas sean necesarias y razonables para la supresión, rectificación y, en
definitiva, armonización de los datos personales inexactos en relación a la finalidad para
la cual han sido recabados y posteriormente tratados; desde un punto de vista técnico,
se le puede dar a este precepto la denominación de principio de exactitud de los datos
[letra d) del artículo 5 RGPD].
El artículo cuarto de la nueva LOPDGDD únicamente lo menciona afirmando que:
«1. Conforme al artículo 5.1.d) del Reglamento (UE) 2016/679 los datos
serán exactos y, si fuere necesario, actualizados.
2. A los efectos previstos en el artículo 5.1 d) del Reglamento (UE) 2016/679,

no será imputable al responsable del tratamiento, siempre que este haya
adoptado todas las medidas razonables para que se supriman o rectifiquen
sin dilación, la inexactitud de los datos personales, con respecto a los fines
para los que se tratan, cuando los datos inexactos:
a) Hubiesen sido obtenidos por el responsable directamente del afectado.
b) Hubiesen sido obtenidos por el responsable de un mediador o

intermediario en caso de que las normas aplicables al sector de actividad al
que pertenezca el responsable del tratamiento establecieran la posibilidad
de intervención de un intermediario o mediador que recoja en nombre
propio los datos de los afectados para su transmisión al responsable. El
mediador o intermediario asumirá las responsabilidades que pudieran
derivarse en el supuesto de comunicación al responsable de datos que no se
correspondan con los facilitados por el afectado.
c) Fuesen sometidos a tratamiento por el responsable por haberlos recibido

de otro responsable en virtud del ejercicio por el afectado del derecho a la
portabilidad conforme al artículo 20 del Reglamento (UE) 2016/679 y lo
previsto en esta Ley Orgánica.
d) Fuesen obtenidos de un registro público por el responsable».

11
Tema 2. Ideas clave
En el artículo 5 RGPD se anota una observación muy importante, que hace referencia a
la duración en que los datos personales deben mantenerse en disposición de ser usados,
indicándose específicamente que no debe ser por período mayor al estrictamente
necesario para la identificación de las personas interesadas, en relación a la finalidad para
la cual fueron solicitados y tratamiento de los repetidos datos, conocido esto como
principio de limitación del plazo de conservación [letra e) del artículo 5 RGPD].
Este punto siempre ha generado abundantes controversias entre los que argumentan la
ambigüedad de los plazos que cubren las responsabilidades del propio tratamiento, y
aquellos otros que defienden que su duración esté determinada por la prescripción de
las acciones procedentes del negocio jurídico latente, por cuya actuación han sido
recabados los datos personales.
A este respecto, la normativa desarrollada y aplicada en esta materia de la protección de

datos puntualiza que, como norma general, el vínculo entre el interesado y los datos
previamente obtenidos y almacenados por él no superará los plazos rigurosamente
imprescindibles y estipulados, una vez se haya cubierto la función concreta para la cual
se demandaron y para lo que se contó con el consentimiento del protagonista de estos.
Al finalizar esta actuación concreta, los datos se mantendrán, si acaso fuera necesario,
previa constatación de la aquiescencia de las partes y en archivos de interés público
general, para su uso en investigaciones científicas, históricas y de carácter estadístico, y
siempre contando con correctas normas técnicas y organizativas que de manera segura
garanticen la ejecución de este precepto.
Otro punto del que se deja constancia, es el denominado principio de integridad y

confidencialidad de los datos [letra f) del artículo 5 RGPD], que determina, aunque
pueda resultar reiterativo, que el uso de los datos personales estará siempre dentro de
una corrección, tanto en su tratamiento como en el fin para el cual fueron pedidos, lo
que redundará en mayor seguridad ante la posibilidad de que puedan ser utilizados sin
autorización o ilegalmente, ante una hipotética pérdida o destrucción e incluso, por daño

12
Tema 2. Ideas clave
accidental, por todo lo cual se exigirá, en previsión de todos estos supuestos y otros aquí
omitidos, la aplicación de medidas preventivas apropiadas.
A la sazón, conviene indicar cuando nos referimos, tanto al principio de limitación del
plazo en el mantenimiento de los datos personales, como en lo referente al fundamento
de integridad y confidencialidad de los mismos, que la puesta en valor de las medidas
antes referidas, organizativas y técnicas y, en general, todas las que se adoptaran
buscando la seguridad de los mencionados datos aplicando la nueva normativa, será de
obligación en su correcta puesta en marcha y de todo cuanto las rodea, del responsable
del tratamiento en su totalidad, que haciendo valer dicha normativa y por su cuenta y
riesgo, tiene que adoptar cuantas medidas considere necesarias y adecuadas
dependiendo de los tipos de datos que se estén tratando, las finalidades pretendidas y ,
en general, aquellas circunstancias que acompañen al desarrollo y uso de ellos.
Para cerrar esta disposición, en ella también se menciona el llamado principio de

responsabilidad proactiva (artículo 5.2 RGPD). El nuevo Reglamento general de
protección de datos aporta una modificación muy importante cuando se refiere a la
responsabilidad, no solo por la cuantía de las sanciones, cuya relevancia no cuestiona,
sino al incorporar la denominación de accountability o responsabilidad activa.
La responsabilidad activa se resume en la expresión popularizada por la AEPD de que no

incumplir ya no será suficiente.
Por tal motivo, desde el 25 de mayo de 2018, fecha de entrada en vigor del RGPD,
cualquier empresa, al margen de su tamaño, que maneje datos personales, se verá
obligada al cumplimiento de la normativa relativa a la protección de datos personales, y
al mismo tiempo, tendrá que acreditar que está facultada para cumplir con dicha
normativa en base a una seria de preceptos, a saber:
 Que ha sopesado y, si fuera necesario, replanteado correctamente los tratamientos

de datos personales que está manejando.

13
Tema 2. Ideas clave
 Que son correctas, adecuadas y eficaces las medidas de seguridad puestas en marcha.
 Que se pone en marcha una política interna correcta, implantando en materia de

privacidad unas obligaciones claras, acciones concretas sustantivas a cada una de ellas
y han sido nombrados los responsables que se encargarán de su cumplimiento.
 La exigencia de que ese mismo sentido de la responsabilidad a los encargados de los

tratamientos y a la cadena de subcontratación.
Tras el estudio de este reglamento, puede observarse que el legislador no se desvincula

en absoluto de los principios de adecuación, pertinencia y proporcionalidad, contenidos
en el antiguo artículo 4 LOPD, por lo que, en la práctica real, puede decirse que no se
aportan relevantes novedades en la materia analizada.
2.3. Información al interesado como manifestación

por excelencia del principio de transparencia
Una de las conclusiones más relevantes que se obtienen, tras la lectura de lo expuesto
hasta el momento, es aquella que determina que el interesado es dueño absoluto de
sus propios datos personales, y decide en cada momento sobre su uso y destino. Así
lo confirma la Sentencia del Tribunal Constitucional número 292/2000, de 30 de
noviembre (STC 292/2000 ECLI: [ES:TC:2000:292]), cuyo fundamento jurídico sexto
señala la finalidad que persigue el derecho inalienable a la protección de datos, y que
no es otro que dotar al interesado y propietario de los mismos del control en la
utilización de dichos datos personales, como cortapisa para un uso y destino indebido
de ellos que repercuta ilícitamente en lesionar la dignidad del propietario y titular.
En esta situación, conviene dejar constancia de que ese poder que el titular posee
sobre sus datos no tendrá valor alguno si este no cuenta con la adecuada y necesaria

14
Tema 2. Ideas clave
información acerca de qué y cuantos de sus datos personales han sido facilitados a
terceras personas, quienes son estas personas y cuál es la finalidad a que se destina
esta información.
Para poder cumplir adecuadamente con este último punto, se hace necesario que el
interesado obtenga la información necesaria que le dote de capacidad para asentir o
no ante un concreto tratamiento llevado a cabo con sus datos personales, y será, por
este motivo, imprescindible, que se le facilite toda la información preventiva de
cuantas circunstancias puedan rodear el tratamiento en cuestión.
De esta manera, la obligación de informar, prevista en los artículos 13 y 14 del

Reglamento general de protección de datos, así como en el artículo 11 de la nueva
Ley Orgánica de protección de datos, se localiza en el espíritu mismo del derecho a
la protección de los datos personales y, dentro de este, en el precepto de licitud,
lealtad y transparencia promulgado por el artículo 5 RGPD, al margen de que, en
atención a otros puntos, probablemente más relevantes, estas obligación de
informar al titular pueda sufrir excepciones o limitaciones (Sentencia del Tribunal
Constitucional número 29/2013, de 11 de febrero (STC 29/2013 [ECLI: TC:2013:29]),
fundamentos jurídicos 7 y 8).
Según se indicaba con anterioridad, el RGPD refleja la obligación de informar en los

artículos 13 y 14, ambos procedentes del mandato previo previsto en el artículo 12,
en tanto que la LOPDGDD complementa estos preceptos en su artículo 11.
Los referidos preceptos a los que hacemos mención, difieren sobre el momento
adecuado en que se debe cumplir con esta obligación; así, en el artículo 13 RGPD (que
determina la información a facilitar al titular cuando los datos son directamente
obtenidos de él), es justamente el momento previo a la obtención de los datos

personales, en tanto que en otra segunda opción, la opuesta (aquella que concreta
la información a facilitar al propietario de los datos, cuando estos no son obtenidos
directamente de su persona), el momento idóneo para notificar qué hechos

15
Tema 2. Ideas clave
conciernen al tratamiento de los datos personales, será posterior (estipulando el
plazo máximo en un mes) y estará sujeto al caso específico al que afecte.
Estas diferencias continuarán también al abordar la información que se ha de facilitar
en cuanto a su volumen, de tal manera que, apelando a la lógica, será más cuantiosa
en la segunda hipótesis, habida cuenta de que, en dicho caso, la persona que titula
esta información lo hace sin un conocimiento previo.
Finalmente, el artículo 11 LOPDGDD hace mención al primero de estos casos (el

previsto por el artículo 13 RGPD) en sus dos primeros apartados, mientras que dedica
el tercero y último al segundo (es decir, al previsto por el artículo 14 RGPD).
Por su parte, el artículo 22.4 LOPDGDD reglamenta el tratamiento a los efectos de

videovigilancia, determinando, en la parte aquí afectada, que:
«El deber de información previsto en el artículo 12 del Reglamento (UE)

2016/679 se entenderá cumplido mediante la colocación de un dispositivo
informativo en lugar suficientemente visible identificando, al menos, la
existencia del tratamiento, la identidad del responsable y la posibilidad de
ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE)
2016/679. También podrá incluirse en el dispositivo informativo un código
de conexión o dirección de Internet a esta información.
En todo caso, el responsable del tratamiento deberá mantener a disposición
de los afectados la información a la que se refiere el citado reglamento».
En la misma línea de actuación, el artículo 89 LOPDGDD, que regula el derecho a la

intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos
en el lugar de trabajo, dota de una significación notable a la información que el
responsable del tratamiento ha de facilitar al ente o persona interesada al expresarse
en los siguientes términos:
«1. Los empleadores podrán tratar las imágenes obtenidas a través de

sistemas de cámaras o videocámaras para el ejercicio de las funciones de
control de los trabajadores o los empleados públicos previstas,
respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la
legislación de función pública, siempre que estas funciones se ejerzan
dentro de su marco legal y con los límites inherentes al mismo. Los
empleadores habrán de informar con carácter previo, y de forma expresa,

16
Tema 2. Ideas clave
clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a
sus representantes, acerca de esta medida.
En el supuesto de que se haya captado la comisión flagrante de un acto ilícito

por los trabajadores o los empleados públicos se entenderá cumplido el
deber de informar cuando existiese al menos el dispositivo al que se refiere
el artículo 22.4 de esta ley orgánica.
2. En ningún caso se admitirá la instalación de sistemas de grabación de

sonidos ni de videovigilancia en lugares destinados al descanso o
esparcimiento de los trabajadores o los empleados públicos, tales como
vestuarios, aseos, comedores y análogos.
3. La utilización de sistemas similares a los referidos en los apartados

anteriores para la grabación de sonidos en el lugar de trabajo se admitirá
únicamente cuando resulten relevantes los riesgos para la seguridad de las
instalaciones, bienes y personas derivados de la actividad que se desarrolle
en el centro de trabajo y siempre respetando el principio de
proporcionalidad, el de intervención mínima y las garantías previstas en los
apartados anteriores. La supresión de los sonidos conservados por estos
sistemas de grabación se realizará atendiendo a lo dispuesto en el apartado
3 del artículo 22 de esta ley».
En cualquier caso, todos los puntos que debe conocer el interesado se contemplan
en una lista cerrada númerus clausus, expresados en ambos supuestos, a diferencia
del reglamento derogado, que utilizaba la expresión al menos para minimizar dicha
información y, por ello, hacer factible su ampliación en cualquier momento.
Pese a lo expresado anteriormente, con la nueva normativa en la materia de

protección de datos se parte de unas normas básicas y obligatorias a la hora de
proporcionar la información, pero simultáneamente se abre la puerta a una posible
ampliación de dicha información, atendiendo al caso concreto que se esté tratando,
y siempre en virtud de las decisiones que al respecto pueda adoptar libremente el
responsable del tratamiento, de acuerdo con la responsabilidad intrínseca a su cargo.
Toda la argumentación y casuística empleada se direcciona a un concepto claro, cual

es que la nueva normativa amplia la información que ha de facilitarse a la persona
propietaria de los datos. Si nos referimos, por ejemplo, al artículo 5 LOPD, ya
encerraba en su contenido una ampliación de la información relativa a la Directiva

17
Tema 2. Ideas clave
que franqueaba, que no pasaba de comunicar al donante los datos del responsable
del tratamiento, de los fines perseguidos con el tratamiento, de los destinatarios
últimos o posibles receptores de sus datos personales y de los derechos que le
amparaban en toda esta operación.
Finalmente, si los datos personales del interesado eran facilitados directamente por
él, tendrían que hacer mención expresa, además de lo anterior, a la conveniencia o
no de las respuestas y a los efectos que podían derivarse de su concesión; por el
contrario, si los datos no se obtenían directamente de su persona, además de la
información antes indicada, se haría obligatorio mencionar el contenido del
tratamiento, así como el origen y procedencia de tales datos personales.
Información que deberá facilitarse al interesado cuando los datos

personales se obtengan directamente de él
Lo primero que debe contemplarse a la hora de proporcionar al interesado toda la

información necesaria sobre el uso que se dará de sus datos personales, cuando estos
datos han sido obtenidos directamente de su persona, es el cumplimiento de unos
principios básicos éticos, cuales son los fundamentos de licitud, lealtad y
transparencia, limitación y concreción de la finalidad, obtener el número meramente
necesario de ellos y su exactitud y limitación en el plazo que deben conservarse.
A ello se refieren los artículos 12 y 13 del Reglamento general de protección de

datos, cuando expresan que, en la obtención directa y personal de datos de un
individuo, el responsable del tratamiento deberá proporcionarle a esta persona,
justamente en ese momento, toda la información relativa al caso particular para el
cual han sido solicitados sus datos y al que serán aplicados, que mencionamos
seguidamente:
 Como paso primero, le será notificada la identidad y los datos de contacto del
responsable del tratamiento y, en su caso, de su representante, esto último solo

18
Tema 2. Ideas clave
en el caso de que el responsable del tratamiento tuviera su radicación en territorio
extracomunitario (artículo 27 RGPD).
 En segundo lugar, los datos de contacto del delegado de protección de datos, en
el supuesto de que, conforme al artículo 37 RGPD, esté obligado a nombrar uno o
desee hacerlo en beneficio del fundamento de responsabilidad proactiva,
posibilidad que, de producirse, deberá cumplir lo establecido en los artículos 37 a
39 RGPD y 34 a 37 LOPDGDD.
 En tercer lugar, las finalidades del tratamiento a que se destinan los datos
personales y la base jurídica o de licitud del tratamiento, conforme al artículo 6
RGPD.
 En cuarto lugar, cuando el tratamiento sea necesario para satisfacer intereses

legítimos perseguidos por el responsable del tratamiento o por un tercero, cuáles
son esos intereses legítimos.
 En quinto lugar, los destinatarios o, en su caso, las categorías de destinatarios de

los datos personales.
 Finalmente, en sexto lugar, la intención del responsable del tratamiento de

realizar una o varias transferencias de datos personales a terceros países u
organizaciones internacionales, de producirse la existencia o inexistencia de una
normativa adecuada por parte de la Comisión, o, en el supuesto de transferencias
internacionales de datos personales con garantías convenientes (artículo 46
RGPD), implícitas, a través de reglas colectivas conexionadas o vinculantes o
Binding Corporate Rules (artículo 47 RGPD) o para situaciones concretas (artículo
49.1, párrafo segundo, RGPD), en relación con las garantías oportunas o
apropiadas y a los medios para conseguir una copia de ellas o, simplemente, al

hecho de que hayan sido prestadas».
Abundando con toda la información dispuesta en los enunciados anteriores, el

responsable del tratamiento también deberá proporcionar al titular de los datos, en

19
Tema 2. Ideas clave
el momento de conseguirlos de él, otra información adicional también importante y
con el objetivo último de proteger un tratamiento respetando las normas de
transparencia y lealtad, cual es en diferentes rúbricas:
 En primer lugar, el plazo de tiempo durante el cual se habrán de conservar los

datos personales del interesado o, cuando sea imposible determinar a priori ese
plazo, los criterios empleados para poder concretarlo.
 En segundo lugar, ampliando el elenco de derechos reconocidos al interesado, se

encuentra la posibilidad que este tiene de ejercitar el derecho de acceso a los
datos personales frente al responsable del tratamiento, el derecho de
rectificación, el derecho de supresión o derecho al olvido, el derecho a la
limitación de su tratamiento, el derecho de oposición y el derecho a la portabilidad
de los datos personales.
 En tercer lugar, en el supuesto de que el tratamiento se apoye en la aceptación

del titular de los datos como fundamento legal [artículos 6.1.a) y 9.2.a) RGPD], la
posibilidad con que cuenta el interesado de poder retirar dicho consentimiento
en cualquier momento, lo cual no influirá en la legalidad del tratamiento ejercida
con anterioridad con los datos personales de interesado, que ha permanecido
perfectamente en regla durante el período previo a ser revocado.
 En cuarto lugar, para la hipótesis de que el responsable del tratamiento no dé

viabilidad a la petición de titular de los datos, deberá comunicarle la posibilidad
de presentar una reclamación ante la autoridad de control.
 En quinto lugar, si la comunicación de datos personales es un requisito impuesto

legal o contractualmente, o un requisito preceptivo en orden a celebrar un

contrato, así como la necesidad de comunicar al interesado si tiene la obligación
de proporcionar los datos personales al responsable del tratamiento y si es
conocedor de las consecuencias que se pueden derivar de no proporcionar
dichos datos personales.

20
Tema 2. Ideas clave
 En último lugar, el responsable del tratamiento deberá comunicar al interesado
si emplea sistemas de decisiones automatizados, dentro de los cuales se puede
incluir la elaboración de perfiles, a que aluden los puntos primero y cuarto del
artículo 22 RGPD, dejando constancia, al menos en dichos puntos, de todos
aquellos datos que sean relevantes y necesarios en base a la lógica aplicada o que
se esté aplicando, aparte de que puede tener relevancia y consecuencias directas
para el interesado el uso de estos sistemas.
El artículo 12.1 DPDP ya asumía que el interesado tenía pleno derecho de acceso
a sus datos personales y que estos fueran tratados por el responsable del
tratamiento dándole cuenta al titular de la lógica utilizada en su uso automatizado,
o cuando menos, si tomaba una decisión particular para la utilización de dichos
datos de manera automatizada.
En tal situación, aparece una diferencia entre la DPDP y el RGPD, la cual es que,
con el nuevo Reglamento, el responsable del tratamiento siempre ha de informar
al interesado de la lógica utilizada en decisiones íntegramente automatizadas, y
no solamente cuando el titular de los datos ejercite su derecho de acceso a dichos
datos personales en uso por el responsable. De esta manera, la información será
entregada siempre por el responsable del tratamiento, y además, verá la luz al
iniciarse el tratamiento, pues todo parece indicar que el derecho de acceso del
titular siempre cobra protagonismo con posterioridad a la necesidad de cubrir el
derecho a ser informado.
Si por cualquier circunstancia, el responsable del tratamiento observara que los

datos personales son utilizados para un fin distinto de aquel para el que fueron
solicitados, deberá proporcionar al titular propietario de ellos, con carácter previo

a dicho tratamiento posterior, información concreta sobre esa distinta finalidad
que ha surgido, además de cualquier otro dato de interés y siempre referido o
relacionado con lo anterior.

21
Tema 2. Ideas clave
En todo caso, esta puntualización hace referencia exclusivamente a la información
que comprenden las letras a) a f) anteriores (las del artículo 13.2 RGPD), y no a las
letras a) a f) iniciales (las del artículo 13.1 RGPD), a pesar de lo cual, entre estos
apartados se incluyen notas que bien podrían ser diferentes con el nuevo
tratamiento previsto, una de las cuales afectaría a la base jurídica en que se
ampara el tratamiento (aunque esto resulta acorde con lo que dispone el
considerando 50 RGPD según el cual: «El tratamiento de datos personales con
fines distintos de aquellos para los que hayan sido recogidos inicialmente solo
debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal
caso, no se requiere una base jurídica aparte, distinta de la que permitió la
obtención de los datos personales», y puede derivar en notables inconvenientes
procedentes de que el planteamiento legal sea distinto de aquel que justificó el
original), el interés legítimo expresamente pretendido por el responsable del
tratamiento o, en su caso, por un tercero legitimado para dicho tratamiento, los
hipotéticos destinatarios finales de los datos personales en cuestión o los posibles
traspasos de datos personales a terceros países u organizaciones internacionales.
De cualquier modo, el aspecto legal del tratamiento determina una protección para
el titular de los datos en aquellos casos en que la legitimación para obtener dichos
datos fuera exclusivamente el consentimiento dado, y esa seguiría siendo la
prevalencia jurídica de ese tratamiento posterior, lo cual otorgaría el poder suficiente
al propietario de los datos para, en cualquier momento, impedir el tratamiento,
mediante la simple y mera suspensión de la autorización inicialmente prestada.
Entendido de esta manera, aun protegiendo al titular, podría contrariar el concepto

del nuevo proyecto, sobre todo en los supuestos en que la finalidad del tratamiento,
incluso diferente pero no discrepante, obedezca a un interés general o a intereses
legítimos de terceras personas o entidades que, de ocurrir, pueden resultar

determinantes.

22
Tema 2. Ideas clave
Por otra parte, los apartados primero y segundo del artículo 11 de la nueva
LOPDGDD incorporan estos otros puntos:
«1. Cuando los datos personales sean obtenidos del afectado, el responsable
del tratamiento podrá dar cumplimiento al deber de información
establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al
afectado la información básica a la que se refiere el apartado siguiente e
indicándole una dirección electrónica u otro medio que permita acceder de
forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá

contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su

caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22

del Reglamento (UE) 2016/679».
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de
perfiles, la información básica comprenderá asimismo esta circunstancia. En este
caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de
decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le
afecten significativamente de modo similar, cuando concurra este derecho de
acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.
Aunque parece lógico, conviene señalar que la obligación del cumplimiento de este
principio no está vinculada al consentimiento del interesado, puesto que la
información deberá confluir aun en el supuesto de que la norma legal del tratamiento
no resida en la autorización del titular. Esta obligación de informar establece un
destacado aval para el interesado, ya que le proporciona una importante herramienta
para poder plantear, ante las instituciones de tipo administrativo o jurisdiccional, que
el uso posterior de sus datos no es armonizable o concomitante con las finalidades
inicialmente mencionadas y para las cuales fueron entregados estos datos
personales.

23
Tema 2. Ideas clave
Conocido es que la letra b) del artículo 5 RGPD prevé, literalmente, que los datos
personales deberán ser «recogidos con fines determinados, explícitos y legítimos, y
no serán tratados ulteriormente de manera incompatible con dichos fines».
Sobre este aspecto, se observa una gran diferencia entre los propósitos concretos,
explícitos y legítimos que concurrieron en el momento de solicitar los datos
personales al titular y aquellos otros cuyo destino es incompatible con ellos o, dicho
de otra forma, cuando la aplicación dada a dichos datos es diferente a aquella para
la cual fueron solicitados y gestionados (apartado cuarto del artículo 6 RGPD y
apartados tercero del artículo 13 y cuarto del artículo 14, también del RGPD).
Esto, por sí mismo, puede llevarse a la práctica, es decir, que los datos en cuestión
sean objeto de otra finalidad distinta, pero siempre que este uso no sea incompatible
con el dado en la primera utilización; este importante matiz proporciona una mayor
flexibilidad al conjunto del sistema de protección de datos personales, y ello hace
improbable que el fundamento referido a las restricciones de los fines del
tratamiento de datos personales, derive en aplicaciones restringidas o excesivamente
estrictas.
Interesa hacer observar que la obligación que el responsable del tratamiento tiene
de informar no es categórico, ya que presenta algunas excepciones. De esa manera,
si concurren determinados casos, esa obligación de información puede que no llegue
ni a nacer, y si lo hace, que deba permitir, en el hecho concreto que se produzca, dar
prioridad a otros bienes jurídicos que, en ese supuesto, tienen mayor relevancia
(artículo 23 RGPD, que hace referencia a las limitaciones).
De igual modo, todos los testimonios previstos en este apartado quedarán sin
vigencia en los casos en que el propietario de los datos personales disponga, en el

momento de concederlos para su utilización, de la información en que consiste el
deber del responsable del tratamiento (artículo 13.4 RGPD).

24
Tema 2. Ideas clave
Información que deberá facilitarse al interesado cuando los datos
personales no se obtengan directamente de él
Por otro lado, cuando los datos en cuestión no vengan dados o no los haya
proporcionado directamente el titular, el artículo 14 RGPD, partiendo de la previsión
del artículo 12 del mismo Reglamento, determina que el responsable del
tratamiento suministre la información que se detalla a continuación:
 En primer lugar, como paso previo, deberá facilitarse la identidad y los datos de
contacto del responsable del tratamiento y, en su caso, de su representante, en
el caso de que el responsable del tratamiento tenga su establecimiento fuera del
territorio comunitario (artículo 27 RGPD).
 En segundo lugar, los datos de contacto del delegado de protección de datos, en

el supuesto de que, conforme indica el artículo 37 RGPD, deba nombrar uno o
desee hacerlo en pro del principio de responsabilidad proactiva, en cuyo caso
deberá cumplir igualmente con cuanto establecen los artículos 37 a 39 RGPD y 34
a 37 de la nueva LOPDGDD.
 En tercer lugar, las finalidades del tratamiento a que se destinan los datos
personales y la base jurídica o de licitud del tratamiento, conforme al artículo 6
RGPD.
 En cuarto lugar, y aquí aparece una de las disparidades más importantes respecto
del espacio informativo que encierra el artículo precedente (artículo 13 RGPD), las
categorías de datos personales (datos personales básicos, categorías especiales
de datos personales o datos personales relativos a condenas e infracciones
penales) objeto de tratamiento.
 En quinto lugar, los destinatarios o, en su caso, las categorías de destinatarios de

los datos personales.

25
Tema 2. Ideas clave
 En sexto y último lugar, la intención por parte del responsable del tratamiento
de realizar una o varias transferencias de datos personales a terceros países u
organizaciones internacionales, así como la existencia o, por el contrario,
ausencia de una decisión de adecuación por parte de la Comisión, o, en el caso de
las transferencias internacionales de datos personales mediante garantías
oportunas (artículo 46 RGPD), implícitas en ellas, a través de reglas corporativas
vinculantes o Binding Corporate Rules (artículo 47 RGPD) o para situaciones
concretas (artículo 49.1, párrafo segundo, RGPD), en relación a las garantías
adecuadas o apropiadas y a los medios utilizados para obtener una copia de estas
o al hecho de que se hayan prestado.
Vista la información referida en los puntos anteriores, también debe ser suministrada
al titular por parte del responsable de la información que se indica a continuación,
muy importante de cara a proteger un tratamiento basándose en las normas de
lealtad y transparencia:
 En primer lugar, el plazo de tiempo durante el cual se habrán de conservar los

datos personales del interesado o, cuando sea imposible determinar a priori ese
plazo, los criterios empleados para poder concretarlo.
 En segundo lugar, cuando el tratamiento sea necesario para satisfacer intereses

legítimos perseguidos por el responsable del tratamiento o por un tercero,
cuáles son esos intereses legítimos.
 En tercer lugar, se encuentra la posibilidad que el interesado tiene de ejercitar el

derecho de acceso a los datos personales frente al responsable del tratamiento,
el derecho de rectificación, el derecho de supresión o derecho al olvido, el derecho
a la limitación de su tratamiento, el derecho de oposición y el derecho a la

portabilidad de los datos personales.
 En cuarto lugar, si el tratamiento cuenta con la autorización del titular de los datos
como regla legal [artículos 6.1.a) y 9.2.a) RGPD], la posibilidad con que cuenta el

26
Tema 2. Ideas clave
interesado de poder retirar dicho consentimiento en cualquier momento, lo cual
no repercutirá en la legalidad del tratamiento llevado a cabo sobre los datos
personales, que han contado desde su inicio con el consentimiento del titular
hasta el momento en que fuera derogado por esa orden posterior.
 En quinto lugar, si el responsable del tratamiento no cursara la solicitud del titular,

deberá notificarle que tiene la posibilidad de presentar una reclamación ante la
autoridad de control.
 En sexto lugar, concordante con la segunda de las diferencias adicionales que el

artículo 14 RGPD comporta en relación con el artículo anterior, la fuente de la que
proceden los datos personales objeto de tratamiento, así como, en su caso, si
tales datos personales proceden de fuentes de acceso público.
 Finalmente y con las diferencias ya expresadas en relación al DPDP, el responsable

del tratamiento deberá comunicar al interesado si emplea sistemas de
decisiones automatizas, dentro de los cuales se puede incluir la elaboración de
perfiles, a que aluden las notas primera y cuarta del artículo 22 RGPD, confirmando
en dichos apartados, toda la información relevante que sea precisa sobre la lógica
aplicada o a aplicar, cuando menos, aparte de la relevancia y las hipotéticas
consecuencias que puedan derivarse para el interesado por este tratamiento.
Según hemos constatado en epígrafes precedentes, una de las divergencias

principales que concita el artículo 14 RGPD en relación con el artículo 13 RGPD, aparte
de un mayor contenido informativo, aparece al concretar el momento en que la
información debe ser suministrada.
En tanto que el artículo 13 RGPD obligaba a dar esa información con anterioridad al
momento de obtener los datos personales, situación por otro lado dudosa, por
cuanto no parece posible esta actuación si dichos datos no se obtienen directamente
del titular, el apartado tercero del artículo 14 RGPD determina que el responsable del

27
Tema 2. Ideas clave
tratamiento habrá de dar la información al titular en cualquiera de los siguientes
momentos y nunca, después del más tardío de los mismos:
 Dentro de un plazo razonable, una vez se hayan recabado los datos personales
del interesado y, en cualquier caso, no más tarde del plazo de un mes, habida
cuenta del cúmulo de circunstancias concretas en la que estos datos personales
puedan ser tratados.
 Si los datos personales hubieran de emplearse para entablar una comunicación

con el interesado, no más tarde del momento en que tenga lugar la primera
comunicación a dicho interesado.
 Si se prevé comunicar los datos personales a cualquier otro destinatario, no más

tarde del momento en que tales datos personales sean comunicados por primera
vez al destinatario.
Por lo demás, si el responsable del tratamiento tiene previsto el uso de los datos
personales, él u otro organismo, para un fin diferente al que originó su solicitud
inicial, proporcionará al interesado con anterioridad a esta siguiente utilización,
información precisa sobre esa otra finalidad y cualquier otra adicional que resulte
adecuada de acuerdo con todo lo anterior.
No obstante, la obligación de informar, observada en este artículo 14 RGPD, no será

imprescindible cuando se dé alguno de los siguientes supuestos:
 En primer lugar y por su propia naturaleza, cuando el interesado ya disponga de la

información relativa a las circunstancias que rodean el tratamiento de sus datos
personales.
 En segundo lugar, cuando el cumplimiento del deber de información, bien resulte

imposible, bien comporte un esfuerzo desproporcionado, en concreto, cuando
afecta al tratamiento con diversas finalidades de archivo en busca del interés

28
Tema 2. Ideas clave
público, a saber, motivos de investigación científica o histórica o estadísticos, salvo
aquellas condiciones y garantías contenidas en el apartado primero del artículo 89
RGPD (garantías y excepciones aplicables al tratamiento con fines de archivo en
interés público, fines de investigación científica o histórica o fines estadísticos) o
en la medida en que el deber de información establecido en las letras a) a f)
iniciales del presente precepto pueda imposibilitar u obstaculizar de manera
importante el logro de los fines previstos con el tratamiento de los datos
personales del interesado.
Para estos casos, el responsable deberá poner en marcha cuantas medidas sean
necesarias con la finalidad de salvaguardar los derechos, libertades e intereses
legítimos que corresponden al titular, haciendo incluso pública la información, si
ello fuera necesario.
La propuesta elaborada en principio por la Comisión desplazaba la aclaración de

estos conceptos a actos delegados que serían adoptados por parte de la Comisión
a través de la técnica contemplada en el artículo 92 RGPD, si bien dicha
autorización quedó sin efecto al intervenir en el asunto el Parlamento Europeo.
En cualquier caso, es necesario recordar que el apartado quinto del artículo 5 de

la antigua LOPD, incluyendo un supuesto similar introducido en el artículo 11 DPDP
ya derogado, determinaba, como puntos a considerar para concretar la
desproporción o no de su efecto, el número total de interesados, el tiempo de
conservación de los datos personales y las medidas compensatorias, los cuales aún
siguen incluidos en el considerando 62 RGPD.
 En tercer lugar, cuando la obtención o la comunicación se encuentren establecidas

de un modo expreso por el derecho comunitario o por el derecho interno de los

Estados miembros que resulte de aplicación al responsable del tratamiento y que
contemple medidas apropiadas, con el fin de preservar los intereses legítimos del
interesado.

29
Tema 2. Ideas clave
De esta forma o muy parecida se constataba en el artículo 11.2 DPDP derogado,
cambiado por el artículo 5.5 LOPD, al ratificar que su aplicación no se llevará a
cabo en lo referido a esta salvedad cuando expresamente esté previsto por una
ley.
Opiniones de diversos autores determinan que esta excepción en la obligación de

informar, funciona en los supuestos en que las leyes comunitarias o internas
determinen, de forma concluyente, que el responsable del tratamiento recoja los
datos personales o estos le sean comunicados, y no cuando una norma considere
expresamente que esta obligación no es realmente aplicable; concretando,
cuando la legitimidad del tratamiento provenga de una autorización legal que
posibilite el registro o captación de determinados datos provenientes de
diferentes fuentes del titular, por parte del responsable o que estos le sean
comunicados, este gestor no tendrá el deber de informar al interesado, según las
normas que se establecen en el artículo 14 RGPD.
 En cuarto y último lugar, en aquellos casos en que los datos personales objeto de
tratamiento hayan de continuar manteniendo su confidencialidad, protegidos
por la existencia de un deber de secreto profesional recogido en la normativa
comunitaria o nacional de los distintos Estados de la Unión, incluyendo un deber
de secreto de naturaleza estatutaria.
Por su parte, el artículo 11.3 de la nueva LOPDGDD completa el artículo 14 RGPD

estableciendo que:
«Cuando los datos personales no hubieran sido obtenidos del afectado, el

responsable podrá dar cumplimiento al deber de información establecido en
el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la
información básica señalada en el apartado anterior (artículo 11.2

LOPDGDD), indicándole una dirección electrónica u otro medio que permita
acceder de forma sencilla e inmediata a la restante información.
En estos supuestos, la información básica incluirá también:
a) Las categorías de datos objeto de tratamiento.

30
Tema 2. Ideas clave
b) Las fuentes de las que procedieran los datos».
2.4. Bases jurídicas de los tratamientos
El artículo 6 RGPD aborda un punto tan importante como el de la legalidad del

tratamiento. Para que dicho tratamiento sea lícito, los datos personales deben ser
manejados con el consentimiento del interesado o amparados en una determinada
legitimación establecida conforme a derecho, bien a través del presente Reglamento
o en virtud del derecho de la Unión de los Estados miembros a que se refiere dicho
Reglamento, introduciendo naturalmente la obligatoriedad de cumplir con los
preceptos legales que tiene el responsable o la exigencia de cumplir un contrato
donde intervenga el titular o, al menos, para adoptar medidas a requerimiento del
interesado con antelación a la finalización de un contrato (vid. considerando 40
RGPD).
Se concretan a continuación las condiciones que deben advertirse para que dicha
condición de legalidad se cumpla correctamente y de forma práctica.
Primera condición
En primer término, obviamente si el interesado ha prestado su consentimiento para

el uso o aplicación de sus datos personales para uno o varios fines específicos
[artículo 6.1.a) RGPD]. A través de esa autorización, se deducirá el carácter legal del
tratamiento. No obstante, de acuerdo con lo que establece la Agencia Española de
Protección de Datos, solo será posible acudir al consentimiento como base jurídica
del tratamiento cuando, con carácter previo, se constate que ninguna de las normas
jurídicas precedentes es de aplicación.
Fuera de esto, dicho consentimiento aparece definido por el apartado 11) del
artículo 4 RGPD como «toda manifestación de voluntad libre, específica, informada

31
Tema 2. Ideas clave
e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una
clara acción afirmativa, el tratamiento de datos personales que le conciernen».
Bajo la protección de este enunciado, el artículo 7 RGPD establece las condiciones
que deben concurrir para recabar el consentimiento de manera correcta, las cuales
determinan, en formato breve, que el consentimiento se debe obtener:
 Por separado. La autorización del titular debe alcanzarse de manera autónoma, es

decir, sin vinculación con el resto de términos y condiciones.
 De manera inequívoca y afirmativa. Exigirá una conducta activa, lo que no

admitirá las casillas de «no acepto» sin marcar y las casillas premarcadas
autorizando el tratamiento.
 Granular, es decir, vertebrado, en su caso, entre los distintos tratamientos.
 Nominativo. Es necesario identificar a la organización responsable, así como a los

terceros cesionarios de los datos. No obstante, la Agencia Española de Protección
de Datos, en su propia Guía sobre el deber de información, continúa admitiendo
la referencia genérica a cesionarios por categorías.
 Demostrable, documentado. Se hace obligatorio poder certificar a posteriori la

persona que autorizó, en qué momento, de qué manera y que información le fue
proporcionada.
 Revocable. No se observarán diferencias en la facilidad de prestar el

consentimiento y de revocarlo, o lo que es igual, será tan fácil prestarlo como
revocarlo.

32
Tema 2. Ideas clave
La autorización del titular no es exclusivamente el principio legal que puede
autentificar el tratamiento de datos personales, sino que también tiene que ser
concluyente para legitimar:
 El tratamiento de ciertos tipos singulares de datos (los más sensibles, como

ideología, orientación sexual, pertenencia a una etnia, datos de salud, datos
biométricos, etc.).
 La toma de decisiones automatizadas, profiling (o elaboración de perfiles).
 Transferencias de datos personales a terceros países u organizaciones

internacionales.
 El tratamiento de datos personales cuya utilización hubiera sido previamente

limitada,
 Usos relacionados con el marketing directo por medios electrónicos.
De todas formas, si el principio jurídico del tratamiento es la autorización de los

titulares de los datos personales, estos contarán con derechos complementarios,
tales como el derecho al olvido (artículos 17 RGPD y 15 LOPDGDD) y el derecho a la
portabilidad de datos (artículos 20 RGPD y 17 LOPDGDD).
Si bien tiene que ser incuestionable siempre, no tiene por qué ser categórico en todos
los casos. Para ilustrar esta afirmación, vamos a mencionar tres supuestos en los
cuales la autorización no es adecuada; es importante destacar que cuando resulta
complejo cumplir todos los requisitos específicos para obtener el consentimiento
para su posterior tratamiento, lo lógico es que existan otras normas jurídicas más
adecuadas:
 Cuando el tratamiento de los datos se va a efectuar en cualquier caso, aun no

contando con la autorización del titular. Confluyen otras circunstancias que

33
Tema 2. Ideas clave
proporcionan carácter legal y, por ello, la solicitud de consentimiento podría
resultar engañosa para el interesado, a quien se le ofrece una ilusión de control.
 Cuando se pide la autorización como condición previa al (y no relacionada con)

servicio que se presta. En este supuesto se indica que, si el tratamiento no puede
apoyarse en un principio legítimo, aun contando con la autorización necesaria,
seguramente será nulo al no haberse prestado con total libertad.
 Cuando quien los requiere está en posición preeminente sobre los propios
titulares de los datos. Es el caso de las Administraciones públicas con respecto a
los administrados y los empleadores respecto de sus empleados.
El consentimiento aporta al propietario de los datos libertad y control, es decir, si no

tiene libertad para elegir o, en su caso, si la concesión exige –sin más opciones–la
autorización para un tratamiento sin relación con ese servicio, este no tiene validez
ni se ejecuta libremente.
La nueva normativa en materia de protección de datos personales ha implantado el

concepto de accountability o responsabilidad proactiva. Por tal motivo, ya no es
suficiente con incumplir las normas, sino que también se hace necesario demostrar
que hemos analizado nuestra problemática, riesgos, las medidas correctoras para
reducir dichos riesgos y que hemos seleccionado y puesto en marcha las que se han
considerado más adecuadas y razonamiento de estas decisiones.
Dentro de esta misma línea de actuación, además de conseguir la autorización

incuestionable (y, cuando sea necesario, expresa), se hace necesario documentarla
para poder certificarla ante el usuario y la Administración, al menos, en los siguientes
puntos:
 Quién consintió: procede reconocer al titular de los datos nominativamente o

mediante otro sistema de identificación, según las circunstancias.

34
Tema 2. Ideas clave
 Cuando consintió: en la autorización offline, es obligatorio entregar una copia del
documento, firmada y con fecha, así como un archivo con sello del tiempo que
lleva en tal situación.
 Qué información recibió el particular: duplicado del documento a través del cual
fueron los datos recabados, firmado, ligado a la política de privacidad, así como de
los avisos o normas legales en aquel momento. Grabación del asentimiento dado
verbalmente, así como de la información proporcionada al propietario y titular de
los datos.
 Cómo se consintió: mediante documento escrito, anexión de copia de los

documentos referidos con anterioridad; si es online, copia de los datos entregados
y del formato de captura con su sello registro de la fecha; si fuera de palabra, copia
de la grabación.
 Si se ha revocado o no el consentimiento y, si así fuere, cuándo.
A modo de resumen, indicar que la autorización dada es una herramienta manifiesta

o una demostración del control que el interesado ejerce sobre sus datos. No
obstante, aquello que se ha otorgado para siempre, ha escapado a un registro, lo que
nos plantea la siguiente duda: ¿cuál es la duración de la vigencia de la autorización?
Ciertamente, la vigencia del consentimiento va en relación con el objeto con que ha

sido prestado (del tratamiento autorizado), del entorno y también, de las
particularidades que lo han rodeado para ser entregado (el quién, cómo, cuándo y
ante qué información).
A modo de ejemplo y para su mejor comprensión, podemos aludir a la

prestación de consentimiento de los padres o tutores, en representación
de un menor de edad (por ejemplo, para el uso de sus datos, en redes
sociales para menores). Por pura lógica, esa autorización dejará de estar
vigente en el momento mismo en que el menor de edad alcance la
mayoría de edad y, por tanto, se le suponga la capacidad necesaria para

35
Tema 2. Ideas clave
adoptar cualquier tipo de decisión por sí mismo. Será en ese mismo
momento cuando proceda la renovación de aquella autorización, o mejor
entendido, recabarlo directamente de la persona cuya situación ha
cambiado.
A tenor de este asunto del consentimiento, el artículo 6 de la nueva LOPDGDD

determina que:
«1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE)

2016/679, se entiende por consentimiento del afectado toda manifestación
de voluntad libre, específica, informada e inequívoca por la que este acepta,
ya sea mediante una declaración o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el

consentimiento del afectado para una pluralidad de finalidades será preciso
que conste de manera específica e inequívoca que dicho consentimiento se
otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado

consienta el tratamiento de los datos personales para finalidades que no
guarden relación con el mantenimiento, desarrollo o control de la relación
contractual».
Segunda condición
En segundo lugar, y en relación con este último apartado del artículo 6 LOPDGDD,
que la autorización sea indispensable para proceder a la ejecución de un contrato en
el cual, el titular sea parte implicada o, en su caso, para la puesta en marcha, a
indicación de este, de normas y medidas de tipo precontractual [artículo 6.1.b)
RGPD]. El hecho de que exista un vínculo de tipo contractual o iniciación de él ya
acredita la legalidad del tratamiento.
Tercera condición
En tercer lugar, en el supuesto en que el tratamiento venga acreditado en base a lo

determinado en una norma con rango de ley [artículo 6.1.c) RGPD]. En este sentido,
el artículo 8.1 LOPDGDD añade que el tratamiento de datos personales podrá

36
Tema 2. Ideas clave
considerarse argumentado exclusivamente cuando se base en el cumplimiento de
una obligación legal reivindicada al responsable, de conformidad con los puntos
previstos en el artículo 6.1.c) RGPD, y también cuando lo determine una norma del
derecho comunitario u otra con rango de ley, que podrá fijar las condiciones
generales del tratamiento así como las clases de datos objeto del mismo, al igual que
las cesiones que correspondan en atención al cumplimiento de la legalidad; citada
norma, continua, tendrá en sus atributos la imposición de condiciones concretas al
tratamiento, como podrían ser la toma de medidas concretas y complementarias en
seguridad o cualesquiera otras indicadas en el capítulo IV del Reglamento general de
protección de datos.
Cuarta condición
En cuarto lugar, también está justificada dicha legalidad cuando se trata de proteger
intereses trascendentales de la persona interesada o de cualquier otra persona física
[artículo 6.1.d) RGPD].
Quinta condición
En quinto lugar, cuando el tratamiento sea necesario para el cumplimiento de una

labor ejecutada en interés público o por las atribuciones conferidas por estamentos
públicos al responsable del tratamiento [artículo 6.1.e) RGPD], si bien, en estos casos,
se hace preciso contar con una norma existente y que dote de tales atributos al poder
público y, además, que sea necesario para el interés público.
El apartado segundo del artículo 8 LOPDGDD determina, en relación con lo anterior,

que el tratamiento de datos personales solo se verá argumentado ante el
cumplimiento de una labor llevada a cabo en interés público o bien, en el ejercicio de

atribuciones públicas concedidas al responsable, respetando las condiciones
previstas en el artículo 6.1 e) RGPD, cuando provenga de una atribución derivada de
una norma con rango de ley.

37
Tema 2. Ideas clave
Por su parte, la Disposición adicional duodécima LOPDGDD regula las disposiciones
específicas aplicables a los tratamientos de los registros de personal del sector
público, estableciendo que los tratamientos de los registros de personal del sector
público se considerarán realizados en el ejercicio de poderes públicos conferidos a
sus responsables, de acuerdo con lo previsto en el artículo 6.1.e) RGPD. A ello, une la
posibilidad de que estos registro puedan usar datos personales referidos a
infracciones y condenas penales e infracciones y sanciones administrativas,
limitándose este uso exclusivamente a aquellos datos que resulten imprescindibles
para la finalidad concreta.
Por último, cuando el tratamiento sea necesario para cubrir intereses lícitos
acometidos por el responsable o un tercer interviniente, teniendo en cuenta que
siempre prevalecerán los derechos y libertades primordiales del titular de los datos
personales, y de manera muy relevante, cuando el interesado sea un menor, sobre
dichos interese lícitos [artículo 6.1.f) RGPD].
Al analizar este extremo, se hace necesario determinar la denominación de interés

legítimo, ya que se trata de un concepto jurídicamente impreciso que debe ser
ajustado a cada situación y en base a las circunstancias convergentes, tanto del
responsable del tratamiento como de los propietarios de los datos, y destaca de
forma muy relevante la trascendencia que otorga el apartado a la defensa de los
derechos que protegen los datos del menor de edad.
Abundando en este último apartado y referido a él, se refleja una indicación concreta
en el Reglamento, que elimina de su hipotética aplicación el tratamiento llevado a
cabo por las autoridades públicas en el uso de las responsabilidades y actos que,
legalmente, les hayan sido conferidas.
El interés legítimo se presenta de forma especialmente relevante para las empresas,

al comprobar que las bases de datos que manejan presentan fecha de caducidad en
múltiples ocasiones (mayo de 2018).

38
Tema 2. Ideas clave
Ocurre que el tratamiento de esas bases de datos se amparaba en las autorizaciones
que prestaron los titulares en un momento concreto, que eran correctos en ese
momento, pero que actualmente tienen que acogerse a las nuevas normas impuestas
por el reglamento en materia de protección de datos personales para continuar
siendo legales.
Como ya se ha comentado, el nuevo RGPD y la nueva LOPDGDD obligan a que la

autorización sea incontestable, concreta o separada, y explícita en los supuestos más
importantes. Coloquialmente, los consentimientos prestados ayer que no cumplan
los requisitos de hoy no valdrán mañana.
Lo antedicho provoca una circunstancia delicada y compleja, especialmente en

empresas con pocos recursos. El período provisional anterior a la puesta en marcha
del RGPD, cifrado en dos años, se estimó suficiente por Bruselas para que los
organismos y empresas renovasen y actualizasen las autorizaciones, o para que
estimasen nuevas bases legítimas para sus tratamientos, como el interés legítimo.
Ante esta nueva normativa, surgen discrepancias en las empresas; por un lado,
acogerse a otra base legitimadora dentro de las estimadas, y por otro, repetir
nuevamente todo el proceso que siguieron en su momento para obtener los
consentimientos, es decir, volver a empezar. Esta segunda opción presenta
determinados problemas, como consecuencia principalmente de que el titular, que
poco a poco se encuentra más informado, se haya vuelto más selectivo a la hora de
ceder sus datos e incluso, que se niegue a prestarlos. Por otro lado, y para abundar
en las dificultades, el sistema de captación de información también debe adaptarse
a la nueva normativa.
En todo caso, cabe incidir en que el interés legítimo, como principio de tratamiento,
no es nuevo ni excepcional, ya que aparece regulado en el nuevo reglamento sobre
protección de datos personales, es decir, que ya tenía su espacio en la normativa
anterior. A priori, la posibilidad de que una persona pueda manejar unos datos
personales sin consentimiento previo y legal para llevarlo a cabo, sin más

39
Tema 2. Ideas clave
limitaciones, parece peligroso, pero en la realidad, no tiene porqué producirse esa
circunstancia forzosamente, como se pone de manifiesto en diversos ejemplos, muy
concretos, que así lo evidencian.
Así, aparece el supuesto de la posibilidad de control por parte de un empresario, que

aquí no viene determinada por la autorización que el trabajador da a su empresa
(fijada en su contrato de trabajo o clausulado aparte), sino que quien faculta al
empresario es la propia ley, el Estatuto de los Trabajadores o los intereses de la
empresa al margen de lo que un contrato de trabajo, como tal, puede permitir.
Hablamos para ser entendidos mejor y a modo de ejemplo, del uso del móvil,
ordenadores o vehículos de la empresa por parte de los empleados.
Conviene dejar constancia de que la autorización concedida por el trabajador (fijada

y consentida durante la vigencia de la relación laboral) es problemática y compleja,
ya que su vigencia se encuentra bajo especial control, considerando la inferior
posición negociadora de este con respecto a su superior jerárquico.
Otro ejemplo afectaría al asunto de la videovigilancia, variante del

anterior. Los propios intereses de la empresa de protegerse ante fraudes
o robos explican que la última legislación (y, con ella, la nueva LOPDGDD)
al mismo tiempo permita la videovigilancia de los trabajadores, sin ser
consentidores o autorizadores de esta licencia concreta ni haber recibido
información complementaria (por el lógico y razonable interés de la
empresa en proteger sus activos).
En todo caso y al margen de la anterior, es manifiesto que el interés legítimo siempre

presupone una permisividad relativa, expuesta a diversos condicionantes, que vienen
dados por las circunstancias que confluyen y que deben ser considerados uno a uno
al tratarse de supuestos diferentes. Es en este sistema de ponderación donde se
reflejan los aspectos positivos y negativos de la figura.
Un tercer y último ejemplo se pondría de manifiesto ante la cesión de

datos que se origina cuando una de las partes en liza incumple un
contrato. La parte perjudicada puede ceder los datos del incumplidor a

40
Tema 2. Ideas clave
otros actores (abogados, empresas de recobro) ante un interés,
ciertamente legítimo, de la parte informal. No suele observarse en un
contrato, esta posibilidad de cesión de datos a un abogado.
La nueva LOPDGDD normaliza un determinado supuesto específico dentro del

artículo 19 al referirse al manejo de datos de contacto, de empresarios individuales
y de profesionales liberales. En él se establece lo siguiente:
«1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el

artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos de
contacto y en su caso los relativos a la función o puesto desempeñado de las
personas físicas que presten servicios en una persona jurídica siempre que
se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su

localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de

cualquier índole con la persona jurídica en la que el afectado preste sus
servicios.
2. La misma presunción operará para el tratamiento de los datos relativos a

los empresarios individuales y a los profesionales liberales, cuando se
refieran a ellos únicamente en dicha condición y no se traten para entablar
una relación con los mismos como personas físicas.
3. Los responsables o encargados del tratamiento a los que se refiere el

artículo 77.1 de esta ley orgánica podrán también tratar los datos
mencionados en los dos apartados anteriores cuando ello se derive de una
obligación legal o sea necesario para el ejercicio de sus competencias».
2.5. Referencias bibliográficas

Constitución española. Boletín Oficial del Estado, 29 de diciembre de 1978, núm. 311,
art. 18. Disponible en https://www.boe.es/buscar/act.php?id=BOE-A-1978-31229

41
Tema 2. Ideas clave
Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales (LOPDGDD). Boletín Oficial del Estado, 6 de diciembre de
2018, núm. 294. Disponible en https://www.boe.es/eli/es/lo/2018/12/05/3
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Personal. Boletín Oficial del Estado, 14 de diciembre de 1999, núm. 298 (LOPD).
Disponible en https://www.boe.es/buscar/act.php?id=BOE-A-1999-23750
Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del

Derecho español a la normativa de la Unión Europea en materia de protección de
datos. Boletín Oficial del Estado, 30 de julio de 2018, núm. 183, pp. 76249-76257.
Disponible en https://www.boe.es/buscar/doc.php?id=BOE-A-2018-10751
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de

2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (RGPD). Diario Oficial de la Unión Europea, 4 de mayo de 2016,
núm. 119. Disponible en https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-
80807
Sentencia 29/2013, de 11 de febrero de 2013. Recurso de amparo 10522-2009.

Boletín Oficial del Estado, 12 de marzo de 2013, núm. 61, pp. 27-42. [ECLI:
TC:2013:29] Disponible en https://www.boe.es/diario_boe/txt.php?id=BOE-A-2013-
2712
Sentencia 292/2000, de 30 de noviembre de 2000. Recurso de inconstitucionalidad

1.463/2000. Boletín Oficial del Estado, 4 de enero de 2001, núm. 4, pp. 104-118. [ECLI:
ES:TC:2000:292] Disponible en https://www.boe.es/buscar/doc.php?id=BOE-T-

2001-332

42
Tema 2. Ideas clave
A fondo
Ejerce tus derechos
«Conoce tus derechos». Agencia española de protección de datos. 2018. Disponible en

https://www.aepd.es/reglamento/derechos/index.html
El Reglamento General de Protección de Datos (RGPD), que comenzó a aplicarse el

25 de mayo de 2018, así como la nueva LOPDGDD que lo desarrolla y complementa,
establece que las organizaciones que tratan datos personales deben proporcionar al
interesado una serie de derechos para proteger el tratamiento que se realice de los
datos de los que son titulares, informándoles convenientemente de estos derechos y
de las circunstancias que rodean el tratamiento.
Deber de información
«Guía para el cumplimiento del deber de informar». Agencia española de protección de

datos. 2018. Disponible en
https://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf
El objeto de esta guía, de forma específica, es orientar acerca de las mejores prácticas
para dar cumplimiento a la obligación de informar a los interesados, en virtud del
principio de transparencia, acerca de las circunstancias y condiciones del tratamiento
de datos a efectuar, así como de los derechos que les asisten. Esta guía cubre
únicamente este objetivo específico, y debe ser complementada con otras guías que
las autoridades de protección de datos puedan emitir, en relación con la aplicación
del RGPD.

43
Tema 2. A fondo
Bibliografía
ALDUDO, P. «Seguridad y protección de datos: el análisis de riesgo y la evaluación de

impacto», 70. I+S: Revista de la sociedad española de informática y salud. 2018, núm.
128.
DAVARA RODRÍGUEZ, A. «Reglamento Europeo sobre protección de datos».

Actualidad administrativa. 2016, 7-8 y 15-30.
DÍAZ GARCÍA, J. «Seguridad y protección de datos: el análisis de riesgo y la evaluación

de impacto». I+S: Revista de la sociedad española de informática y salud. 2018, núm.
128, 32.
GARCÍA GARNICA, M. C. «La protección de los datos personales frente a su

tratamiento on line por motores de búsqueda: el derecho al olvido digital», 107-135.
En VALLS PRIETO, J. (coord.). Retos jurídicos por la sociedad digital. Cizur Menor
(Navarra): Ed. Aranzadi, 2018.
GARRÓS FONT, I. «El principio de transparencia y el derecho a la protección de datos

personales: comentarios a propósito del Reglamento sobre protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos». Actualidad administrativa. 2018, núm. 2, 17 a 42.
HERAS CARRASCO, R. «RGPD: Evaluaciones de impacto». I+S: Revista de la Sociedad

Española de Informática y Salud. 2018, núm. 127, 24-27.
OROZ VALENCIA, L. «Aproximación a la obligación de la protección de datos desde el

diseño y por defecto». Actualidad administrativa. 2018, núm. 1, 1 a 15.
SIERRA BENÍTEZ, E. M. «El delegado de protección de datos en la industria 4.0:

funciones, competencias y las garantías esenciales de su estatuto jurídico». Revista

44
Tema 2. A fondo
internacional y comparada de relaciones laborales y Derecho del empleo. Núm. 1,
236-260.

45
Tema 2. A fondo
Test
1. ¿Qué tiene por objeto la nueva LOPDGDD?
A. Adaptar el ordenamiento comunitario al RGPD, y completar sus
disposiciones.
B. Adaptar el ordenamiento jurídico español al RGPD, y completar sus
disposiciones.
C. Adaptar el ordenamiento jurídico español a la DPDP, y completar sus
disposiciones.
D. Ninguna de las anteriores.
2. ¿Tiene derecho el interesado a retirar su consentimiento en cualquier momento

de acuerdo con la normativa actual en materia de protección de datos personales?
A. Sí.
B. No.
C. Depende de si el consentimiento fue prestado de forma expresa o implícita.

46
Tema 2. Test
3. Indica cuáles son los principios relativos al tratamiento de los datos personales del
interesado conforme al Reglamento general de protección de datos y a la nueva
Ley Orgánica de protección de datos:
A. Principio de licitud, lealtad y transparencia; principio de limitación de la
finalidad; principio de maximización de los datos; principio de exactitud;
principio de limitación del plazo de conservación, y principio de integridad y
confidencialidad.
B. Principio de licitud, lealtad y transparencia; principio de ilimitación de la
finalidad; principio de minimización de los datos; principio de exactitud;
confidencialidad.
C. Principio de ilicitud, lealtad y transparencia; principio de limitación de la
finalidad; principio de maximización de los datos; principio de exactitud;
confidencialidad.
D. Principio de licitud, lealtad y transparencia; principio de limitación de la
finalidad; principio de minimización de los datos; principio de exactitud;
confidencialidad.
4. ¿Qué aspectos se han de informar al interesado cuando los datos personales se

obtienen directamente de él, conforme a la nueva normativa en materia de
protección de datos personales?
A. La identidad y los datos de contacto del responsable.
B. Los datos de contacto del delegado de protección de datos.
C. Los fines del tratamiento y la base jurídica del tratamiento.
D. Todas las anteriores.

47
Tema 2. Test
5. ¿De qué aspecto no es necesario informar al interesado cuando los datos
personales se obtienen directamente de él, conforme a la nueva normativa en
materia de protección de datos personales?
A. Las categorías de datos que se trate.
B. Si se van a transferir los datos a otra comunidad autónoma.
C. El plazo de conservación de los datos o los criterios para dicho plazo.
D. Información sobre derecho de acceso, rectificación, supresión, limitación,
oposición y portabilidad de los datos.
6. ¿De qué aspecto no es necesario informar al interesado cuando los datos

personales no se obtienen directamente de él, conforme a la nueva normativa en
materia de protección de datos personales?
A. Identidad y datos de contacto del encargado del tratamiento.
B. Categorías de datos personales.
C. Fuente de la que proceden los datos personales.
D. Datos de contacto del delegado de protección de datos, en su caso.
7. ¿Cuáles son bases jurídicas de los tratamientos?

A. Consentimiento.
B. Contrato.
C. Obligación legal.
D. Todas las anteriores.
8. ¿Cuáles no son bases jurídicas de los tratamientos?

A. Consentimiento.
B. Contrato.
C. Obligación legal.
D. Obligación moral.

48
Tema 2. Test
9. ¿En qué casos se proporciona una información más amplia?
A. Cuando los datos personales se obtienen del interesado.
B. Cuando los datos personales se obtienen del responsable del tratamiento.
C. Cuando los datos personales no se obtienen del interesado.
10. ¿Es la fuente de la que proceden los datos personales uno de los aspectos que se
ha de proporcionar al interesado cuando los datos personales no se obtienen
directamente de él?
A. Sí.
B. No.
C. Poco probable.
D. Nunca.

49
Tema 2. Test

El Derecho Fundamental A La Protección de Datos Personales I

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

El Derecho Fundamental A La Protección de Datos Personales I

Cargado por

Copyright:

Formatos disponibles

Tema 2

Derecho Humanos, Nuevas Tecnologías y Bioderechos

2.3. Información al interesado como manifestación

Derecho Humanos, Nuevas Tecnologías y Bioderechos

2.1. Introducción y objetivos

Sobre la base del artículo 18 de la Constitución Española, se erige la importancia del

«1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la

En la actualidad, tras un notable y amplio período de gestión y diligencias que tomó

En unos meses posteriores fue presentada para su gestión parlamentaria, no exenta

Derecho Humanos, Nuevas Tecnologías y Bioderechos

Esta norma, en base a su Disposición derogatoria única, suprime la Ley Orgánica

Acotando las especificaciones concretas, puede afirmarse que la nueva normativa

prioriza el uso responsable de la información por encima de una determinada gestión

Derecho Humanos, Nuevas Tecnologías y Bioderechos

Con el objetivo de ejecutar todas estas innovaciones se le da forma, en el ámbito

Conviene poner de manifiesto que el reglamento, en contraste con la directiva, tiene

se convertirá en ley orgánica, habida cuenta de que pondrá en marcha un derecho

Derecho Humanos, Nuevas Tecnologías y Bioderechos

En su esencia y que además es lo prioritario, según determina el artículo 1 LOPDGDD,

 Identificar cuáles son los principios que regulan el tratamiento de datos de

 Evidenciar la relevancia de informar debidamente al interesado a fin de cumplir

 Resaltar la base jurídica que fundamenta el tratamiento de datos de carácter

Derecho Humanos, Nuevas Tecnologías y Bioderechos

Vídeo. Principios relativos al tratamiento.

Accede al vídeo a través del aula virtual

El artículo 5 RGPD, cuya nomenclatura es Principios relativos al tratamiento, determina

variadas disposiciones (artículo 1 LOPDGDD).

Derecho Humanos, Nuevas Tecnologías y Bioderechos

Punto demostrativo de este hecho es que, en la declaración de razones del mismo

Si en un momento inicial, se estipulaba que la demanda y uso de datos personales solo

Cuando se abordó la tramitación parlamentaria de esta regla comunitaria, cuya vigencia

La confirmación de que la persona concreta es dotada de este poder lo refleja el número

Derecho Humanos, Nuevas Tecnologías y Bioderechos

Asociado a los atributos de licitud, lealtad y transparencia en el uso de los datos y

Derecho Humanos, Nuevas Tecnologías y Bioderechos

Todo lo anteriormente expresado no tendría valor real si prescindiéramos de una

El artículo cuarto de la nueva LOPDGDD únicamente lo menciona afirmando que:

2. A los efectos previstos en el artículo 5.1 d) del Reglamento (UE) 2016/679,

a) Hubiesen sido obtenidos por el responsable directamente del afectado.

b) Hubiesen sido obtenidos por el responsable de un mediador o

c) Fuesen sometidos a tratamiento por el responsable por haberlos recibido

d) Fuesen obtenidos de un registro público por el responsable».

Derecho Humanos, Nuevas Tecnologías y Bioderechos

A este respecto, la normativa desarrollada y aplicada en esta materia de la protección de

Otro punto del que se deja constancia, es el denominado principio de integridad y

Derecho Humanos, Nuevas Tecnologías y Bioderechos

Para cerrar esta disposición, en ella también se menciona el llamado principio de

La responsabilidad activa se resume en la expresión popularizada por la AEPD de que no

normativa en base a una seria de preceptos, a saber:

 Que ha sopesado y, si fuera necesario, replanteado correctamente los tratamientos

Derecho Humanos, Nuevas Tecnologías y Bioderechos

 Que se pone en marcha una política interna correcta, implantando en materia de

 La exigencia de que ese mismo sentido de la responsabilidad a los encargados de los

Tras el estudio de este reglamento, puede observarse que el legislador no se desvincula

2.3. Información al interesado como manifestación

de ellos que repercuta ilícitamente en lesionar la dignidad del propietario y titular.

Derecho Humanos, Nuevas Tecnologías y Bioderechos

De esta manera, la obligación de informar, prevista en los artículos 13 y 14 del

Según se indicaba con anterioridad, el RGPD refleja la obligación de informar en los

obtenidos de él), es justamente el momento previo a la obtención de los datos

Derecho Humanos, Nuevas Tecnologías y Bioderechos

Finalmente, el artículo 11 LOPDGDD hace mención al primero de estos casos (el

Por su parte, el artículo 22.4 LOPDGDD reglamenta el tratamiento a los efectos de