Unidad 2. Principios y Legitimación 2

Curso de Fundamentos de Protección de Datos
Unidad 2: Principios y Legitimación
1 de 23
Cuerpo Docente:
¡Abogada.
¡ Magister en Compliance de la Universidad Camilo José Cela, España.
¡Magister en Derecho Administrativo de la Universidad de Salamanca, España.
¡ Magister en Derecho Internacional de la Empresa, Universidad de Barcelona, España.
¡Diplomado en Privacidad y Cumplimiento de Capacitación USACH.
¡Certificaciones internacionales de Experto en Derecho Digital del Centro Europeo de
Postgrado.
¡Auditor Líder de la norma ISO 27001:2013.
¡Auditor Interno ISO/IEC 27001:2013. Sistema de Gestión de Seguridad de la Información.
¡Implementador Líder ISO 27701 en Sistemas de Gestión de información de privacidad.
¡Implementador Líder ISO 29.100- Framework de Privacidad.
¡Certificación en Gestión y Gobierno de la Privacidad como Data Protection Officer/DPO según
el RGPD.
¡Lead Cybersecurity Professional Certificate, LCSPC
¡Auditor Interno bajo la norma Anti-soborno ISO 37001:2016.
¡Auditor Interno de las normas ISO 9001:2015, 14001:2015, 45001:2018.
¡Implementador y Auditor Interno de la ISO 37301.
¡Profesora del Diplomado de Privacidad y Cumplimiento de Capacitación USACH.
¡Profesora de Derecho Digital de la UIDE.
02
2 de 23
Contenidos
1. Principios:
1. Licitud del tratamiento.
2. Lealtad y Transparencia.
3. Limitación de la finalidad.
4. Minimización de Datos.
5. Exactitud.
6. Limitación en el plazo de conservación.
7. Seguridad de los datos.
2. Legitimación: Consentimiento y las bases de legitimación.
3 de 23
Principios y Legitimación
4 de 23
Principios según la Red Iberoaméricana de Protección de Datos
Legitimación Licitud Lealtad
Transparencia Finalidad Proporcionalidad
Calidad Responsabilidad Seguridad
Confidencialidad
5
5 de 23
Principios según la OEA
Tratamiento y
Finalidades Legítimas Transparencia y Pertinencia y
conservación
y Lealtad consentimiento necesidad
limitados
Acceso, rectificación,
Seguridad de los Exactitud de los cancelación,
Confidencialidad
datos datos oposición y
portabilidad
Flujo transfronterizo
Datos personales
Responsabilidad de datos y Excepciones
sensibles
responsabilidad
Autoridades de
Protección de Datos
6
6 de 23
Principios según el R.G.P.D.
1. Licitud,
2. Limitación de la 3. Minimización
transparencia y
finalidad de datos
lealtad
5. Limitación del
6. Integridad y
4. Exactitud plazo de
confidencialidad
conservación
7.Responsabilidad
Proactiva
https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/principios
7
7 de 23
1. Licitud, transparencia y lealtad
8 de 23
Licitud, transparencia y lealtad
• OCDE: “Deben existir límites a la recogida de datos personales, y dichos datos deben obtenerse por vías
lícitas y leales y, si correspondiera, con el conocimiento o consentimiento del interesado.”
• Convenio 108: “Los datos personales se tratarán legítimamente” y “los datos personales se tratarán…
lealmente y de manera transparente”. (Artículo 5 [3] y [4] [a])
• RGPD: Los datos personales serán tratados de manera lícita, leal y transparente en relación con el
interesado”. (Artículo 5 [1] [a])
Licitud
Transparencia
Lealtad
9 de 23
Licitud, transparencia y lealtad (1/4)
Consiste en que los datos deben ser tratados de manera lícita, leal y transparente para el interesado.
§ La licitud en el tratamiento se relaciona con la necesidad de que esté amparado en una de las bases
jurídicas que establece el Reglamento. Los datos no pueden ser tratados simplemente porque estén
disponibles o porque el responsable entienda que recopilándolos y procesándolos podrá encontrarles
alguna utilidad presente o futura. El principio reconoce que el derecho a la protección de datos implica
que los datos solo pueden ser tratados con el consentimiento del interesado o cuando la ley lo permita
porque existan motivos que justifiquen que esa voluntad del interesado deba ceder ante otros derechos o
intereses.
Licitud
Base de
Necesidad
Legitimación
10
10 de 23
§ Es preciso identificar un propósito para el tratamiento (esa identificación se integra en el principio de “limitación de la
finalidad” del que luego se hablará) y que ese tratamiento, con esa finalidad, sea necesario para conseguir alguno de los
objetivos que el artículo 6.1 del Reglamento considera que permiten legitimar un tratamiento o que el interesado
consienta en que éste se lleve a cabo. Por ejemplo, el tratamiento de datos puede resultar necesario para la ejecución de
un contrato, o para que un organismo público pueda ejercer sus poderes o satisfacer un interés público.
Base
Legitimatoria
Objetivos
Propósito
11
11 de 23
§ Al mismo tiempo, el principio excluye el que los datos sean tratados de forma desleal para con el interesado o sin
proporcionarle la información necesaria para que entienda el objeto y fines del tratamiento, sus consecuencias y posibles
riesgos, y pueda, en su caso, decidir sobre él. El principio impide, por ejemplo, que se oculte alguna finalidad del
tratamiento, o que esa finalidad se exprese de forma vaga y confusa. También tiene una dimensión positiva, que obliga a
los responsables a buscar la mayor transparencia en sus relaciones con los interesados.
Transparencia Sin ocultar Sin deslealtad
12
12 de 23
§ Este aspecto del principio de “licitud, lealtad y transparencia” tiene su correlato en las disposiciones del RGPD que
determinan qué información debe proporcionarse al interesado, en qué forma y en qué momentos, así como en las que
regulan el modo en que debe responderse a las solicitudes de ejercicio de derechos.
Qué En qué En qué

información forma momento
13
13 de 23
Licitud, transparencia y lealtad (Resumen)
Licitud
Lealtad
Tratamiento basado
en una base jurídica Transparencia
No tratamiento
desleal o sin
información para el Información que debe
proporcionarse al
interesado
interesado (en qué
forma, en qué
momento
14
14 de 23
2. Limitación de la finalidad
15 de 23
Limitación de la finalidad
§ OCDE: “La finalidad para la que se recogen datos personales debe especificarse a más tardar al momento
de la recogida, y el uso siguiente debe estar limitado a satisfacer dicha finalidad o aquellas que no sean
incompatibles con la misma, y de la manera especificada en cada ocasión que se cambie la finalidad”
§ Convenio 108: b. “Los datos personales sometidos a tratamiento deben ser recopilados para fines
explícitos, especificados y legítimos, y no deben ser tratados de alguna manera incompatible con dichos
fines. Asimismo, el tratamiento para fines de archivo en interés público, fines de investigación científica o
histórica, o fines estadísticos debe estar sometido a las salvaguardas apropiadas, compatibles con aquellos
fines”. (Artículo 5 [4] [b])
§ RGPD: “Los datos personales se deberán recoger con fines determinados, explícitos y legítimos, y no
serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89 (1),
el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de
investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines
iniciales”. (Artículo 5 [1] [b])
16
16 de 23
§ La segunda parte del principio es la que le da nombre, ya que se prohíbe que los datos recogidos con unos
fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con
esos fines.
§ En la interpretación que se hace de esta parte del principio, se entiende que lo que no es posible es tratar
los datos recogidos para una finalidad con fines que no sean compatibles con ella.
§ El RGPD, en su artículo 6.4 ofrece una serie de criterios a tener en cuenta para determinar la
compatibilidad de esos fines ulteriores, si bien no da una definición precisa de cuáles son los rasgos que
los caracterizarían. Sin embargo, y siguiendo lo que ya dispone la Directiva 95/46, sí menciona cuatro
casos de finalidades que se consideran siempre compatibles. Son los de archivística en interés público,
investigación científica e histórica y fines estadísticos.
§ Principio de “finalidad” que implica entonces:
por una parte, la obligación de que los datos sean tratados con una
o varias finalidades determinadas, explícitas y legítimas y,
por otra, que se prohíbe que los datos recogidos con unos fines
determinados, explícitos y legítimos sean tratados posteriormente
de una manera incompatible con esos fines.
17
17 de 23
§ El principio de limitación de la finalidad no sólo protege la privacidad de la persona, sino que, al mismo
tiempo, deja un margen suficiente para que los responsables del tratamiento innoven a la hora de
encontrar la mejor solución de protección.
R1. Obliga al responsable del tratamiento a identificar los riesgos específicos
derivados de su tratamiento contra todos los derechos fundamentales del
interesado
Requisito 1 Especificar
la finalidad
Este enfoque responde a la pregunta de cómo
debe interpretarse el reglamento general de
Limitación protección de datos, que no sólo protege
eficazmente la privacidad de las personas, sino
de que también ayuda a los responsables del
tratamiento a convertir su conformidad jurídica
finalidad en un mecanismo que refuerza la innovación, en
relación con todos los derechos fundamentales
de la persona a la que se refieren los datos.
Requisito 2 Limitar el
tratamiento
R2. Tiene por objeto controlar el riesgo causado por el tratamiento de datos que
se produjo en una fase posterior y se añade a los riesgos que se identificaron
previamente
18
18 de 23
§ ¿Por qué importa el principio de limitación de finalidad?
§ Si no se establecen limitaciones claras en el punto de recogida en lo relativo a los usos de los datos, estos
podrían usarse para otros objetivos a lo largo de su ciclo de vida, lo que tendría consecuencias
perjudiciales para las personas y daría lugar a abusos. Existe un número creciente de casos en los que se
está socavando y eludiendo el principio de limitación de finalidad. Veamos dos ejemplos:
§ Aadhaar, la base nacional de datos biométricos de India, fue establecida originalmente en 2009
con el objetivo de estandarizar las bases de datos gubernamentales. Sin embargo, con el
transcurso del tiempo, el proyecto se ha vuelto más ambicioso y ahora está siendo utilizado
para distintos fines, que incluyen desde las admisiones en las escuelas hasta la obtención de
certificados de defunción.
§ Eurodac es una base de datos biométricos que fue establecida en el año 2000 con el objetivo
de permitir que los Estados miembros de la Unión Europea verificaran si una persona que
buscaba asilo político había aplicado anteriormente para recibirlo en otro país europeo, o si estaba
recibiendo beneficios sociales de otro país de la Unión. Ahora, la base de datos se está utilizando
para una nueva finalidad. La reglamentación actualizada de Eurodac, que entró en vigor en
julio de 2015, permite ahora el “uso de la base de datos de Eurodac de huellas digitales de
personas que solicitan asilo político para prevenir, detectar e investigar delitos de terrorismo y
otros tipos de delitos graves”.
19
19 de 23
3. Minimización de datos
20 de 23
Minimización de datos (1/4)
Principio de “ minimización de datos”, es decir, que los datos sean adecuados, pertinentes y
limitados a lo necesario en relación con los fines para los que son tratados
§ OCDE: “Los datos personales deben ser pertinentes a los fines para los que son utilizados, hasta el grado
que sea necesario para dichos fines, y deben ser exactos, estar completos y mantenerse al día”.
§ Convenio 108: “Los datos personales sometidos a tratamiento deberán ser adecuados, pertinentes y
limitados a lo necesario en relación con los fines para los que son tratados”. (Artículo 5 [4] [c])
§ RGPD: “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los
fines para los que son tratados”. (Artículo 5 [1] [c])
21
21 de 23
Principio de “minimización de datos”, es decir, que los datos sean adecuados, pertinentes y
§ La minimización es un concepto clave en la protección de datos, tanto desde la perspectiva de los derechos de una
persona como de la seguridad de la información. La legislación debe estipular con claridad que únicamente se tratarán los
datos necesarios y pertinentes al fin declarado. Cualquier excepción a esta estipulación debe ser muy limitada y definirse
con suma claridad.
• Necesidad: garantizar que el alcance de la recogida de datos no sea mayor al necesario, en función de los fines para
los que se usarán dichos datos. La prueba debe ser la utilización del método menos intrusivo para alcanzar una meta
legítima.
• Relevancia: Todos los datos tratados deben ser pertinentes a los fines establecidos.
La “prueba de finalidad” –como la ha llamado la OCDE– “frecuentemente involucrará la

problemática de determinar si se perjudicará o no a los interesados con datos recogidos que
sean incorrectos o estén incompletos y desactualizados”.
El concepto de necesidad también implica la realización de una evaluación para saber si es

posible lograr el mismo fin de una manera menos intrusiva, es decir, utilizando una menor
cantidad de datos.
22
22 de 23
§ Es heredero de las previsiones de la Directiva 95/46/CE, aunque mientras que en ésta se describía
diciendo que sólo serán tratados los datos “adecuados, pertinentes y no excesivos en relación con los
fines para los que son tratados”, el Reglamento sustituye la expresión “no excesivos” por la de “limitados
a lo necesario”. Se trata de un matiz que precisa y refuerza el contenido del principio.
§ No es posible, según este principio, recabar y tratar datos simplemente por si pudieran resultar útiles o
“por tenerlos”. Si para una finalidad determinada no es necesario que el responsable conozca las pautas
de navegación de un usuario, no podrá hacer ese seguimiento.
§ Si analizamos la definición del RGPD podemos deducir que la minimización de los datos abarca diferentes
requisitos:
Solo se pueden recabar los datos personales que se vayan a tratar, es decir, los que
sean estrictamente necesarios para el tratamiento.
Los datos solo podrán ser recogidos cuando vayan a ser tratados, por tanto, no se
podrá recabar datos para usarlos tiempo después.
La información personal de los usuarios solo podrá ser utilizada para la finalidad con
la que fue recogida, pero no con ningún otro objetivo.
23
23 de 23
§ ¿Por qué importa el principio de minimización de datos?

§ Este principio requiere que quienes estén a cargo del tratamiento de los datos consideren cuál sería la
cantidad mínima de datos necesarios para lograr un fin. Los encargados del tratamiento deberán
conservar dicha cantidad y no una cantidad mayor: no es aceptable recoger información adicional
alegando que podría ser útil posteriormente, o porque no se ha considerado si será necesaria en un
escenario específico.
§ Por ejemplo, sería excesivo tratar datos precisos y detallados de la localización de los automóviles
conectados para un fin que implique el mantenimiento técnico o la optimización de modelos.
§ El principio de minimización de datos es incluso más integral en la era de la “big data”, cuando los avances
tecnológicos han mejorado radicalmente las técnicas analíticas de búsqueda, agregación y referencia
cruzada de grandes conjuntos de datos para desarrollar inteligencia y perspectivas. Con la promesa y la
esperanza de que una mayor cantidad de datos permitirá entender con precisión el comportamiento
humano, existe un interés y una intención sostenida de acumular vastas cantidades de datos. Es urgente
desafiar este discurso y garantizar que únicamente se traten los datos necesarios y pertinentes a un fin
específico.
24
24 de 23
4. Exactitud
25 de 23
Exactitud
Los datos, según el “principio de exactitud”, deben ser exactos y, si fuera preciso, actualizados, debiendo adoptarse todas
las medidas razonables para que se rectifiquen o supriman los datos inexactos en relación a los fines que se persiguen.
§ OCDE: “Los datos personales deben ser pertinentes a los fines para los que son utilizados, en la medida
en que sean necesarios para dichos fines, y deben ser exactos, estar completos y mantenerse al día”.
§ Convenio 108: “Los datos personales sometidos a tratamiento deben ser exactos y, de ser necesario,
actualizados”. (Artículo 5 [4] [d])
§ RGPD: “Los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las
medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean
inexactos con respecto a los fines para los que se tratan”. (Artículo 5 [1] [d])
26
26 de 23
Exactitud
§ Los datos personales deben ser exactos durante todo el proceso de tratamiento, y se deben tomar
medidas razonables para garantizar que así sea. Esto incluye los siguientes elementos:
• Exactitud: todos los datos tratados deben ser exactos durante todo su ciclo de vida
• Integridad: todas las categorías de datos deben ser lo más completas que sea posible, para que la
omisión de datos relevantes no lleve a inferir información diferente a la que pueda ser obtenida si los
datos estuviesen completos
• Actualización: se deberán actualizar todos los datos conservados que puedan ser sometidos a un
tratamiento adicional, en conformidad con las disposiciones contempladas en la legislación de
protección de datos
• Limitación: los datos personales podrán ser tratados (y conservados) únicamente durante el periodo
requerido para el fin por el que se recogieron y conservaron.
Exactitud Integridad Actualización Limitación
§ Los elementos anteriores reafirman los derechos de los interesados a acceder a sus datos personales y
corregir aquellos que estén incompletos, que sean inexactos o estén desactualizados, todo lo cual debe
estar estipulado en la legislación de protección de datos.
27
27 de 23
Exactitud
§ ¿Por qué importa el principio de exactitud?

§ Cada vez con mayor frecuencia, los procesos de toma de decisiones y elaboración de políticas dependen
de los datos. Sin embargo, si los datos no son exactos y no están actualizados, existe un alto riesgo de que el
resultado del proceso de toma de decisiones también sea inexacto. En los casos más graves, esto podría dar
lugar a la decisión de no otorgar a una persona el acceso a servicios públicos o programas de bienestar, o
que no se le permita acceder a préstamos.
§ Este principio tiene importancia por el hecho de que de muchos tratamientos de datos se derivan
decisiones que pueden afectar, en ocasiones de forma significativa, a los derechos o intereses de los
titulares de los datos.
§ Por ejemplo, ha habido casos de personas a las que equivocadamente se les denegó un préstamo o una
hipoteca de su casa porque la empresa a cargo de revisar la calificación crediticia tenía información
incorrecta (lo que había disminuido la evaluación de “excelente” a “insatisfactoria”), o porque las
instituciones bancarias habían registrado información inexacta, convirtiendo así a una persona en un
cliente no deseable
28
28 de 23 El País 10-oct-2021
Exactitud
§ El Responsable del Tratamiento queda obligado a comprobar la exactitud de los datos debiendo
desarrollar esta obligación de forma diligente a fin de evitar tratar datos inexactos o incompletos y la
existencia de inexactitudes en los datos ya tratados. En definitiva, se trata de que los datos tratados
respondan con veracidad a la situación actual del afectado. Por otro lado, tiene la obligación de llevar a
cabo comprobaciones / actualizaciones periódicas de los datos o cuando se use la información contenida
en un archivo.
¿Revisas de
forma
periódica los
datos?
29
29 de 23
Limitación del plazo de conservación
30 de 23
§ Convenio 108: “Los datos personales sometidos a tratamiento automatizado deberán conservarse de una
manera que permita la identificación de los sujetos de datos por una cantidad de tiempo que no supere el
periodo necesario para los fines por los que los datos fueron tratados [Artículo 5(e)]
§ RGPD: “Los datos personales sometidos a tratamiento deberán conservarse de una manera que permita la
identificación de los interesados únicamente durante el periodo necesario para los fines por los que los
datos fueron tratados; es posible conservar los datos personales durante periodos más prolongados
siempre y cuando sean tratados únicamente para fines de archivo en interés público o para fines
estadísticos, en conformidad con el artículo 89 (1), sujeto a la implementación de las medidas técnicas y
organizativas apropiadas requeridas por la presente reglamentación para salvaguardar los derechos y las
libertades de los interesados”. (Artículo 5 [1] [e])
31
31 de 23
El principio de “limitación del plazo de conservación” está relacionado con el de minimización. En cierto modo, podría describirse
como un principio de minimización temporal en el tratamiento de datos. Igual que solo pueden tratarse los datos adecuados,
pertinentes y necesarios para una finalidad, la conservación de esos datos debe limitarse en el tiempo al logro de los fines que el
tratamiento persigue. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados o, al menos, desprovistos de
todo elemento que permita identificar a los interesados.
§ Los datos personales deben conservarse únicamente durante el periodo requerido por el fin para el que se
recogieron y almacenaron. Esto reforzará y clarificará la obligación de eliminar los datos al final de su
tratamiento, lo que debe incluirse en otra disposición.
§ La legislación debe estipular claramente que los datos no deben conservarse más tiempo de lo necesario
para el fin por el que se obtuvieron originalmente. Cualquier excepción a esta estipulación debe ser muy
limitada y definirse con suma claridad.
§ El hecho de que el responsable del tratamiento de los datos podría encontrar otro uso para ellos no
justifica una conservación indefinida o generalizada[. El tiempo necesario que se deben conservar los
datos dependerá del contexto. Sin embargo, deben existir al respecto otras obligaciones legislativas y
orientaciones regulatorias. Para que las personas sean informadas de manera leal sobre el tratamiento de
sus datos, es obligatorio comunicarles también cuánto tiempo se conservarán dichos datos. Por lo tanto,
es imperativo que la legislación incentive a los responsables del tratamiento a implementar el principio de
minimización de datos, reduciendo así la recogida de información y evitando su conservación por más
tiempo del necesario.
32
32 de 23
El principio de “limitación del plazo de conservación” está relacionado con el de minimización. En cierto modo, podría describirse
como un principio de minimización temporal en el tratamiento de datos. Igual que solo pueden tratarse los datos adecuados,
pertinentes y necesarios para una finalidad, la conservación de esos datos debe limitarse en el tiempo al logro de los fines que el
tratamiento persigue. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados o, al menos, desprovistos de
todo elemento que permita identificar a los interesados.
§ Los responsables del tratamiento deben establecer cronogramas de conservación que especifiquen los
periodos que deben retenerse todos los datos que poseen. Estos cronogramas deben revisarse de manera
periódica.
§ La conservación de los datos personales es diferente de la eliminación de los datos personales a solicitud
del interesado, lo que también debe estar contemplado en la legislación. Después del tiempo necesario,
los datos personales deben eliminarse de manera segura.
§ Si se retienen los datos de forma anonimizada (y no seudonimizada) por un tiempo mayor al periodo de
conservación, se deben considerar atentamente las implicancias y consecuencias para la privacidad de los
interesados.
33
33 de 23
§ ¿Por qué importa el principio de limitación de conservación?
§ Incluso si los datos han sido tratados de manera leal, lícita y transparente, y respetando los principios de limitación de
finalidad, minimización y exactitud, es esencial garantizar que no se conservarán durante más tiempo del requerido por el
fin para el que se han recogido.
§ Cualquier interferencia con el derecho a la privacidad y la protección de los datos debe ser necesaria y proporcional. La
conservación general de datos no respeta en ningún sentido esta obligación, como se confirmó en 2014, cuando el
Tribunal de Justicia Europeo revocó la Directiva de Conservación de Datos, definiendo la conservación obligatoria de
datos como “una interferencia con los derechos fundamentales de prácticamente la totalidad de la población europea...
cuando dicha interferencia no haya sido restringida de manera precisa mediante disposiciones para garantizar que se
limite de hecho a lo estrictamente necesario”. Esta decisión representó un sólido reconocimiento de autoridad de las
salvaguardas que deben existir para proteger nuestro derecho a la privacidad.
§ La conservación indefinida de datos no es únicamente una violación de los derechos de una persona, sino también un
riesgo para los encargados de su tratamiento. Si no se limita el periodo de conservación, aumentan los riesgos de
seguridad y surge la inquietud de que podrían utilizarse para nuevos fines únicamente porque todavía están disponibles y
se puede acceder a ellos. Si los datos se vuelven obsoletos, existe el riesgo de que los procesos de toma de decisiones
sean insatisfactorios, lo que tendría graves implicancias.
§ En la era de la vigilancia estatal y corporativa extendida y no regulada, es esencial que existan limitaciones estrictas a la
conservación de datos para mitigar posibles interferencias ilegales con el derecho a la privacidad.
34
34 de 23
35
35 de 23
Integridad y confidencialidad
36
36 de 23
§ OCDE: “Los datos personales deben estar protegidos mediante salvaguardas de seguridad razonables
contra riesgos como pérdidas o acceso no autorizado, destrucción, uso, modificación o divulgación”.
§ Convenio 108: “Cada parte deberá garantizar que el responsable del tratamiento y, si correspondiera, el
encargado, adopte las medidas de seguridad adecuadas para la protección de datos contra el acceso, la
destrucción, la pérdida, el uso, la modificación o la difusión no autorizados o accidentales”. (Artículo 7 [1])
§ RGPD: “Los datos personales deberán ser tratados de tal manera que se garantice una seguridad
adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida,
destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”
(Artículo 5 [1] [f])
37
37 de 23
Este principio es nuevo en el RGPD y no se mencionaba en la Directiva. Básicamente, impone a quienes tratan datos la obligación de
actuar proactivamente con el objetivo de proteger los datos que manejan frente a cualquier riesgo que amenace su seguridad.
§ Los datos personales, tanto los que se encuentran almacenados como los que están en tránsito, al igual que la
infraestructura de la que depende el tratamiento, deben estar protegidos por medidas de seguridad contra riesgos como
el acceso, el uso o la divulgación ilegal o no autorizada, pérdidas, destrucción o daños que puedan sufrir los datos. Entre
las salvaguardas de seguridad se pueden incluir:
• Medidas físicas, es decir, seguros en las puertas y tarjetas de identificación
• Medidas organizativas, es decir, controles de acceso a la información
• Medidas relativas a la información, como la codificación (la conversión de un texto en código), y el monitoreo de
amenazas
• Medidas técnicas, tales como la encriptación, seudonimización, o anonimización.
Medidas Medidas Relativas a la

físicas organizativas información
Medidas
INTEGRIDAD
técnicas 38
38 de 23
§ Otras medidas organizativas incluyen la prueba periódica de la adecuación de estas medidas, la

implementación de políticas de protección de datos y seguridad de la información, y la capacitación y
adhesión a códigos de conducta reconocidos.
Adhesión a códigos de
Prueba periódica Políticas Capacitación
conducta/certificaciones
39
39 de 23
§ ¿Por qué importa el principio de salvaguardas de seguridad?

§ Si no se toman medidas de seguridad para proteger los datos y garantizar la seguridad de la infraestructura, la información
será vulnerable a amenazas, violaciones y accesos ilegales. Hay múltiples ejemplos de violaciones de datos como resultado
de un sistema de seguridad frágil.
§ Por ejemplo, en marzo de 2016, se filtró la información personal de más de 55 millones de votantes filipinos después de
una violación a la base de datos de la Comisión Electoral (COMELEC). En septiembre de 2016, la Comisión Nacional de
Privacidad concluyó que había existido una violación al sistema de seguridad, mediante la cual se pudo acceder a la base
de datos de COMELEC, que incluía datos personales y sensibles, y otro tipo de información que podía llegar a utilizarse
para habilitar el fraude de identidad. Los datos personales de la base de datos comprometida incluían información de
pasaportes, números de identificación fiscal, nombres de propietarios de armas de fuego e información sobre sus armas y
direcciones de correos electrónicos. Mediante un informe preliminar, se detectó que uno de los indicadores de negligencia
por parte de la COMELEC fueron las vulnerabilidades de su sitio web y la falta de seguimiento periódico para detectar
violaciones al sistema de seguridad.
§ En julio de 2016, debido a fallas de seguridad, se publicó una base de datos de la municipalidad de São Paulo en Brasil,
que expuso información personal de aproximadamente 650 000 pacientes y agentes públicos del sistema de salud
pública (SUS). Entre los datos se incluían direcciones, números de teléfono e incluso información médica. También se
divulgaron datos relacionados con etapas de embarazos y casos de aborto.
40
40 de 23
Principio de responsabilidad
41 de 23
Responsabilidad
• OCDE: “El responsable del tratamiento de los datos debe rendir cuentas del cumplimiento de las medidas que dan efecto
a los principios antes mencionados”.
• Convenio 108: “Cada parte garantizará que el responsable del tratamiento de datos y, si correspondiera, el encargado,
adopte las medidas necesarias para cumplir con las obligaciones del presente convenio y pueda demostrar, sujeto a la
legislación doméstica adoptada en conformidad con el artículo 11, apartado 3, en particular en relación con la autoridad
de control competente dispuesta en el artículo 15, que el tratamiento de datos a su cargo se lleva a cabo en conformidad
con las disposiciones del presente convenio”. (Artículo 10 [1])
• RGPD: “El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de
demostrarlo (“responsabilidad proactiva”)”. (Artículo 5 [2]). Este principio se describe no en el propio artículo 5, sino en el
artículo 24, según el cual “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los
riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento
aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con
el presente Reglamento”
42 de 23
El principio de “Accountability” o “Responsabilidad Proactiva” viene regulado en al art.
5.2 y 24 así como en el considerando 74 del RGPD.
Artículo 5: Principios relativos al tratamiento

El responsable del tratamiento será responsable del cumplimiento de lo dispuesto
en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva«).
Artículo 24: Responsabilidad del responsable del tratamiento

Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del
tratamiento, así como los riesgos de diversa probabilidad y gravedad para los
derechos y libertades de las personas físicas, el responsable del tratamiento
aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder
demostrar que el tratamiento es conforme con el presente Reglamento. Dichas
medidas se revisarán y actualizarán cuando sea necesario.
Cuando sean proporcionadas en relación con las actividades de tratamiento, entre

las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del
responsable del tratamiento, de las oportunas políticas de protección de datos.
La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un

mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados
como elementos para demostrar el cumplimiento de las obligaciones por parte del
responsable del tratamiento.
43 de 23
Responsabilidad
• El principio tiene una doble lectura. Por un lado, confirma algo que también estaba presente en la
Directiva, como es que la responsabilidad última por la forma en que se traten los datos atañe al
responsable. Es el responsable el que decide que se inicie un tratamiento, su finalidad, los datos que van a ser
tratados y cuáles son las actividades de tratamiento que se van a realizar. Es, por tanto, el responsable, que
toma las decisiones que determinan la existencia del tratamiento, el que debe ocuparse de que se lleve a
cabo adecuadamente y asumir las responsabilidades correspondientes en caso de que ello no suceda.
• Aunque el RGPD, como se ha indicado, prevé también obligaciones y responsabilidades para los
encargados, esas previsiones no afectan a este principio general, ya que se refieren a aspectos concretos
dentro del contexto general del tratamiento y no a su consideración como un todo.
• La segunda interpretación del artículo se refiere al modo en que el responsable ha de afrontar su papel. El
RGPD no se limita a situar la responsabilidad sobre un responsable pasivo, que deberá hacer frente a las
consecuencias de posibles infracciones.
• El RGPD adopta un enfoque proactivo, exigiendo que el responsable adopte medidas preventivas dirigidas a
reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado
esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida.
44 de 23
Responsabilidad
• La entidad que realiza el tratamiento de los datos personales, en su capacidad de responsable o encargado
del mismo, debe dar cuenta del cumplimiento de los estándares y de tomar las medidas necesarias para
dar efecto a las disposiciones provistas en la legislación de protección de datos. Quienes tengan la
responsabilidad del tratamiento de los datos deben ser capaces de demostrar cómo cumplen con la
legislación de protección de datos, incluidos los principios, sus obligaciones y los derechos de las personas.
Registro de Evaluación de
Privacidad desde el
Actividades de impacto en Transparencia
diseño y por defecto
Tratamiento protección de datos
Notificar las OBLIGACIONES CON

Proactividad violaciones de LOS ENCARGADOS DPO
seguridad DE TRATAMIENTO
45 de 23
Responsabilidad
• ¿Por qué importa el principio de responsabilidad?
• El principio de responsabilidad es fundamental para que el marco de protección de datos sea efectivo. Reúne todos los
demás principios y exige a quienes realizan el tratamiento de datos de personas (ya sea una empresa o una autoridad
pública) asumir la responsabilidad de demostrar el cumplimiento de sus obligaciones. En la práctica, esto significa que
quienes están a cargo del tratamiento deben demostrar más transparencia y proactividad en la manera en que manipulan
los datos, en conformidad con sus obligaciones. Deben ser capaces de explicar, demostrar y probar que respetan la
privacidad de las personas, tanto ante las entidades reguladoras como ante las personas.
• La importancia del principio de responsabilidad resulta más evidente al considerar contextos en los que no existen
mecanismos de responsabilidad, es decir, donde no existe una estructura mediante la cual informar las violaciones a la
legislación.
• Por ejemplo, en Sudáfrica, la Ley de Protección de la Información Personal (PoPI) se adoptó en 2013, y contemplaba el
establecimiento de reguladores de la información, aunque este cuerpo no se materializó hasta abril de 2017. En la
actualidad, las violaciones de datos en Sudáfrica no suelen informarse: en 2015, se registraron solo cinco violaciones de
datos en el país. Se espera que esta realidad cambie significativamente a medida que la ley PoPI entre en vigor, porque las
partes responsables se verán obligadas jurídicamente a divulgar la información sobre las violaciones de datos en caso de
que sucedan.
• Los mecanismos de responsabilidad resultan de importancia para investigar las violaciones y exigir el rendimiento de
cuentas a las entidades sujetas a la ley. En 2017, luego de que se hiciera pública una violación importante de datos de la
aplicación de taxis Uber en 2016, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales de México (INAI) solicitó a Uber información sobre la cantidad de “usuarios, conductores y empleados
mexicanos” que habían sido afectados. El instituto también solicitó a Uber información sobre las medidas que estaba tomando
la empresa para mitigar los daños y proteger la información de los clientes.
46 de 23
Legitimación
47 de 23
Legitimación
• El punto de partida para el tratamiento de datos personales es determinar la base jurídica que permite
realizar lícitamente las distintas operaciones de tratamiento.
• El RGPD parte de una sistemática distinta al enumerar en su artículo 6 las diversas bases jurídicas que
legitiman el tratamiento de datos personales en términos de igualdad. Su redacción es la siguiente:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a
petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y
libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el
interesado sea”
48 de 23
Legitimación. Consentimiento
• El RGPD define el consentimiento como una manifestación de voluntad libre, específica, informada e inequívoca (art.7).
Manifestación de voluntad por la que el afectado acepta el tratamiento mediante una declaración o una clara acción
afirmativa.
• Los considerandos del RGPD ofrecen algunas aclaraciones sobre la prestación válida del consentimiento que se describen
a continuación:
• Se considera que puede existir un acto afirmativo claro en supuestos como una declaración por escrito, inclusive por
medios electrónicos, o una declaración verbal (Considerando 32).
• También puede considerarse un acto afirmativo marcar una casilla de un sitio web en internet, escoger parámetros
técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que
indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales
(Considerando 32).
• Por tanto, el silencio, las casillas premarcadas o la inacción del afectado no constituyen un consentimiento válido
(Cdo.32).
• En el caso de que el tratamiento tenga varios fines deberá prestarse para cada uno de ellos (Cdo.32).
• No obstante, sería posible agrupar varias finalidades en virtud de su vinculación (por ejemplo, consentimiento para la
recepción de publicidad propia o de terceros).
• Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo, tratamiento por
quien recaba los datos y cesión a terceros).
• En el caso de que en el marco de un contrato se solicite el consentimiento para una finalidad específicamente su
voluntad mediante un procedimiento sencillo y gratuito (p.ej. una casilla específica no premarcada). d que no guarde
relación con su objeto.
49 de 23
• Mención especial requiere la exigencia de que el consentimiento sea libre ya que el RGPD recoge algunas aclaraciones
sobre supuestos en los que puede considerarse que no se cumple esta condición.
• En este sentido el Considerando 42 señala que: “el consentimiento no debe considerarse libremente prestado cuando el
interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno”.
• Por su parte, el Considerando 43 añade que: “Para garantizar que el consentimiento se haya dado libremente, este no
debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el
que exista un desequilibrio claro entre el interesado y el responsable del tratamiento, en particular cuando dicho
responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en
todas las circunstancias de dicha situación particular”.
• Y presume que: “el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas
operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un
contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para
dicho cumplimiento”B
50 de 23
Parte
1
Relación
simétrica
Parte
2
Relación simétrica se
establece entre personas que
se encuentran en un mismo
nivel o jerarquía.
51 de 23
Legitimación. Relación contractual
• En relación con esta base jurídica como legitimadora del tratamiento de los datos personales el RGPD es particularmente
escueto tanto en el articulado como en los considerandos limitándose a establecer en su artículo 6.1.b) que será lícito el
tratamiento “necesario para la ejecución de un contrato en el que el interesados es parte o para la aplicación a petición de éste
de medidas precontractuales”.
Parte
1 Relación asimétrica se
Relación establece entre personas
Asimétrica que están en desigualdad de
nivel o jerarquía.
Parte
2
• FORMA
• En cuanto a la ejecución de un contrato, se permite el tratamiento en dos escenarios:
• -Primero: el tratamiento de datos es necesario para realizar un nuevo contrato o trabajar bajo un contrato ya
existente con el interesado.
• -Segundo: el interesado inicia actividades con el responsable del tratamiento. En tal caso, el tratamiento se permite
aún antes de firmar un contrato.
• NO ES NECESARIO EL CONSENTIMIENTO
• En cuanto a la legitimación para la ejecución de un contrato, supone que no es necesario solicitar consentimiento a
un cliente con el que tenemos un contrato, con el fin de proporcionarle un producto o servicio.
52 de 23
Legitimación. Obligación legal
• La base jurídica del tratamiento de datos personales por parte de las administraciones públicas será, como regla general, la
contemplada en el artículo 6.1.c) y e) del RGPD.
• Respecto de estas bases jurídicas el RGPD prevé que deben ser establecidas por el derecho de la Unión o de los Estados
miembro.
• Adicionalmente señala que la finalidad del tratamiento para el cumplimiento de una obligación legal debe quedar
determinada en la norma que la establezca. Y que la finalidad del tratamiento para el cumplimiento de una misión de interés
público o para el ejercicio de poderes debe ser necesaria para el cumplimiento o ejercicio de los mismos.
• El Considerando 45 aclara que una misma norma puede ser suficiente como base para varias operaciones de tratamiento.
• Con el fin de garantizar adecuadamente el derecho a la protección de datos conforme al RGPD la norma puede incluir
disposiciones específicas tales como las condiciones generales que rigen la licitud del tratamiento, los tipos de datos
objeto de tratamiento, los afectados, las entidades a las que se pueden comunicar los datos y la finalidad de la cesión, la
limitación de la finalidad, los plazos de conservación de los datos o las operaciones y procedimientos del tratamiento. En
todo caso, el tratamiento deberá ser proporcional a los objetivos de interés público perseguidos.
53 de 23
El Derecho de la UE establece otro motivo para legitimar el tratamiento de datos, en concreto, si «es necesario para el
cumplimiento de una obligación legal aplicable al responsable del tratamiento» (artículo 6, apartado 1, letra c) del
RGPD).
Esta disposición se refiere a los responsables del tratamiento que actúan tanto en el sector privado como en el sector
público; las obligaciones legales de los responsables del tratamiento de datos del sector público también pueden estar
comprendidas en el artículo 6, apartado 1, letra e) del RGPD en referencia al interés público.
Hay muchos ejemplos de situaciones en que la ley obliga a los responsables del tratamiento del sector privado a tratar
datos relativos a interesados concretos. Por ejemplo, los empleadores deben tratar los datos de sus empleados por
razones de seguridad social y fiscalidad y las empresas deben tratar datos acerca de sus clientes por razones fiscales.
Características:
Finalidad del tratamiento
Especificaciones
Tipos de datos
Interesados afectados
Entidades receptoras de datos
Limitaciones a la finalidad
Existencia de una Ley
Plazo de conservación y otras medidas que garanticen licitud y lealtad
5454
de 23
https://jorgegarciaherrero.com/obligacion-legal-como-base-de-legitimacion-de-tratamiento-de-datos-personales/
55 de 23
Legitimación. Interés vital
• El tratamiento de datos personales es lícito cuando sea necesario para proteger intereses vitales del
interesado o de otra persona física (art. 6.1.d).
• El RGPD no recoge una definición de interés vital, si bien el Considerando 46 parece apuntar a una
interpretación restrictiva al señalar que debe tratarse de “un interés esencial para la vida del interesados o
de otra persona”. El mismo considerando atribuye, además, a esta base jurídica para el tratamiento un
carácter que podría calificarse como subsidiario, al indicar que la misma únicamente debe aplicarse cuando
el tratamiento no puede basarse en otra base jurídica distinta.
• En este sentido cita como ejemplos el tratamiento con fines humanitarios, incluido el control de epidemias
y su propagación o las situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales
o de origen humano.
‘interés esencial para la vida del interesado o de otra

Interés vital persona’
56 de 23
En el Derecho de la UE, el artículo 6, apartado 1, letra d) del RGPD establece que el tratamiento de datos
personales es lícito si «es necesario para proteger intereses vitales del interesado o de otra persona física».
Este motivo legítimo solo podrá invocarse para el tratamiento de datos basado en los intereses vitales de
otra persona física cuando el tratamiento «no pueda basarse manifiestamente en una base jurídica
diferente».
A veces, un tipo de tratamiento se puede basar tanto en razones de interés público como en los intereses
vitales del interesado o de otra persona. Así ocurre, por ejemplo, en el control de epidemias y su
propagación o en situaciones de emergencia humanitaria.
5757
de 23
58 de 23
Legitimación. Intereses públicos y ejercicio del poder público
Teniendo en cuenta las múltiples formas posibles que existen de organizar los asuntos públicos, el artículo
6, apartado 1, letra e) del RGPD establece que los datos personales podrán ser tratados de forma lícita si
«es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al responsable del tratamiento [...]»
El uso de los datos personales por parte de las autoridades que actúen en el ámbito público está
igualmente sujeto al artículo 8 del CEDH y se entiende cubierto, en su caso, por el párrafo segundo del
artículo 5 del convenio 108 modernizado.
Interés Público
Ejercicio de
poderes públicos
5959
de 23
Legitimación. Intereses legítimos
En el Derecho de la UE, el interesado no es la única persona que tiene intereses legítimos. El artículo 6, apartado 1, letra f)
del RGPD establece que los datos personales pueden ser tratados de forma lícita si «es necesario para la satisfacción de
intereses legítimos perseguidos por el responsable del tratamiento o por un tercero [salvo los poderes públicos en el
desempeño de sus funciones], siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección [...]»
La existencia de un interés legítimo requiere una evaluación meticulosa en cada caso concreto. Si se identifican los
intereses legítimos del responsable del tratamiento, debe llevarse a cabo un ejercicio de ponderación equilibrada entre
esos intereses y los intereses o derechos y libertades fundamentales del interesado. En dicha evaluación deben tomarse
en consideración las expectativas razonables que tenga el interesado para determinar si los intereses del responsable
del tratamiento prevalecen sobre los intereses o derechos fundamentales del interesado. Si los derechos del interesado
prevalecen sobre los intereses legítimos del responsable del tratamiento, este podrá adoptar medidas y aplicar
salvaguardias para minimizar el impacto sobre los derechos del interesado (como la seudonimización de los datos) e
invertir el «equilibrio» antes de poder utilizar lícitamente esta base legítima para el tratamiento.
En su Dictamen sobre el concepto de intereses legítimos del responsable del tratamiento, el Grupo de Trabajo del Artículo
29 subraya la importancia esencial de la responsabilidad proactiva y la transparencia y de los derechos del interesado
de oposición al tratamiento de sus datos o al acceso, modificación, supresión o transmisión de los mismos, a la hora de
ponderar los intereses legítimos del responsable del tratamiento y los derechos fundamentales del interesado.
6060
de 23 https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/
6161
de 23
6262
de 23
6363
de 23
Tratamiento de categorías especiales de datos (datos sensibles)
El Derecho del CdE deja en manos de la legislación nacional el establecimiento de medidas de protección
apropiadas para el uso de datos sensibles, siempre que se cumplan las condiciones del artículo 6 de
Convenio 108 modernizado, por ejemplo, que se adopten salvaguardas legales que complemente las
disposiciones del Convenio.
El Derecho de la UE, en el artículo 9 del RGPD, contiene un régimen detallado para el tratamiento de
categorías especiales de datos (también denominados «datos sensibles»). Este tipo de datos revela el
origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación
sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca
a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de
una persona física. En principio, queda prohibido el tratamiento de datos sensibles.
Artículo 9
Tratamiento de categorías especiales de datos personales
1.Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones
religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca
a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
6464
de 23
Tratamiento de categorías especiales de datos (datos sensibles)
Sin embargo, existe una lista exhaustiva de exenciones de esta prohibición, que se encuentra en el artículo
9, apartado 2 del Reglamento y que constituyen motivos lícitos para el tratamiento de datos sensibles.
Estas exenciones incluyen situaciones en las que:
• el interesado dé su consentimiento explícito al tratamiento de los datos;
• el tratamiento sea realizado por un organismo sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical en el curso de sus
actividades legítimas y se refiera exclusivamente a sus miembros actuales o antiguos o a personas
• que mantengan contactos regulares con dicho organismo en relación con sus fines;
▪ el tratamiento se refiera a datos personales que el interesado haya hecho manifiestamente públicos;
▪ el tratamiento sea necesario: para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del
tratamiento o del interesado en el ámbito del empleo, de la seguridad social y de la protección social;
• para proteger los intereses vitales del interesado o de otra persona física (cuando el interesado no pueda dar su consentimiento);
• para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
• para fines de medicina preventiva o laboral: «evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de
asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobra la base del
Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario»;
• con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos;
• por razones de un interés público en el ámbito de la salud pública; o
• por razones de un interés público esencial.
Por tanto, de cara al tratamiento de categorías especiales de datos, una relación contractual con el
interesado no se considera una base jurídica para el tratamiento legítimo de datos sensibles, salvo en el
caso de un contrato con un profesional sanitario sujeto a la obligación de secreto profesional.
6565
de 23
Consentimiento explícito del interesado
En el Derecho de la UE, la primera condición para que un tratamiento de datos sea lícito, al margen de si
son datos sensibles o no, es el consentimiento del interesado. En el caso de los datos sensibles, dicho
consentimiento debe ser explícito.
No obstante, el Derecho de la Unión o de los Estados miembros puede establecer que la prohibición del
tratamiento de categorías especiales de datos no pueda ser levantada por el interesado. Esto podría
ocurrir, por ejemplo, cuando el tratamiento genere riesgos inusuales al interesado.
CÓMO ES EL CONSENTIMIENTO EXPLÍCITO DEL

INTERESADO
Desagregado
Granular
Nominal
Documentado
Fácil darse de baja
Sin desequilibrio en la relación
6666
de 23
Ejemplos de legitimación
67 de 23
68 de 23
69 de 23
Base de Legitimación del Tratamiento ISO 27701 +6 RGPD +6 PANAMÁ +4 Ecuador +8 Brasil +10
Consentimiento 7.2.2 6.1.a 6.1 7.1 7.1
Ejecución de un contrato o precontrato 7.2.2 6.1.b 6.2 7.5 7.5
Cumplimiento de obligación legal 7.2.2 6.1.c 6.3 7.2 7.2
Protección de Intereses vitales del interesado 7.2.2 6.1.d 8.7 (urgencia 7.6 7.7 (proteger la
sanitaria) vida)
7.8 (proteger la
salud)
Tarea realizada en interés público o ejercicio 7.2.2 6.1.e 7.4

de poderes públicos
Interés legítimo 7.2.2 6.1.f 7.8 7.9
Con autorización legal 6.4
Fuente de dominio público 8.1 7.7 (bbdd de
acceso público)*
Por orden judicial, debiendo observarse los 7.3
principios de la presente ley
Administración pública para políticas públicas 7.3
estudios por un organismo de investigación 7.4

para el ejercicio regular de derechos en 7.6
procedimientos judiciales, administrativos o
arbitrales
para protección crediticia 7.10
70 de 23
Bibliografía
• https://unctad.org/topic/ecommerce-and-digital-
economy/ecommerce-law-reform/summary-adoption-e-commerce-
legislation-worldwide
71 de 23
§ leocadio.marrero@usach.cl
72 de 23
Profesor del Curso
Leocadio Marrero Trujillo
• Consultor, auditor y docente. Especialista en
Administración de Empresas. Director y docente en
programas de formación en emprendimiento tecnológico
en la Fundación Incyde de Cámaras de Comercio de
España.
• Profesional y emprendedor con más de treinta y cinco años
de experiencia profesional en las áreas de consultoría
estratégica, mercantil, tecnológica y de cumplimiento.
• DPO del Colegio de Abogados de Las Palmas; del Consejo
Canario de Colegios de Abogados; del Colegio de
Ingenieros Industriales de Canarias Oriental y del Colegio
de Aparejadores, Arquitectos Técnicos de Gran Canaria y
del Colegio de Ingenieros Informáticos de Canarias.
leocadio-marrero-trujillo-64362512 Profesor en la Escuela de Práctica Jurídica del Colegio de
Abogados de Las Palmas.
• Miembro de: APEP. Asociación de Profesionales Españoles
leocadio.marrero@usach.cl de la Privacidad, ISMS FORUM SPAIN, ISACA- Chapter
Madrid, CCI- Centro de Ciberseguridad Industrial y
Coordinador del CCI en Canarias, itSMF, aeDPD Asociación
Española de Delegados de Protección de Datos y Club del
DPD. Club de Delegados de Protección de Datos de la
Asociación Española de la Calidad
73 de 23
Curso de Fundamentos de Protección de Datos
74 de 23

Unidad 2. Principios y Legitimación 2

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad 2. Principios y Legitimación 2

Cargado por

Copyright:

Formatos disponibles

Curso de Fundamentos de Protección de Datos

Unidad 2: Principios y Legitimación

Legitimación Licitud Lealtad

Transparencia Finalidad Proporcionalidad

Calidad Responsabilidad Seguridad

Transparencia Sin ocultar Sin deslealtad

Qué En qué En qué

La “prueba de finalidad” –como la ha llamado la OCDE– “frecuentemente involucrará la

El concepto de necesidad también implica la realización de una evaluación para saber si es

§ ¿Por qué importa el principio de minimización de datos?

Exactitud Integridad Actualización Limitación

§ ¿Por qué importa el principio de exactitud?

Medidas Medidas Relativas a la

§ Otras medidas organizativas incluyen la prueba periódica de la adecuación de estas medidas, la

§ ¿Por qué importa el principio de salvaguardas de seguridad?

Artículo 5: Principios relativos al tratamiento

Artículo 24: Responsabilidad del responsable del tratamiento

Cuando sean proporcionadas en relación con las actividades de tratamiento, entre

La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un

Notificar las OBLIGACIONES CON

Finalidad del tratamiento

Entidades receptoras de datos

‘interés esencial para la vida del interesado o de otra

CÓMO ES EL CONSENTIMIENTO EXPLÍCITO DEL

Tarea realizada en interés público o ejercicio 7.2.2 6.1.e 7.4

estudios por un organismo de investigación 7.4

para protección crediticia 7.10

También podría gustarte