LA PRIVACIDAD ELECTRÓNICA

I. CONCEPTO:

El instituto de protección de datos personales (privacidad, libertad o intimidad informática,

autodeterminación informativa) constituye una de las herramientas más enérgicas del Derecho frente al
potencial lesivo de la sociedad tecnológica, también de la Administración electrónica, al blindar la
información personal frente a los riesgos de captación y tratamiento ilegítimos a través de la tecnología de
la información y comunicación electrónica para los más diversos fines.

II. RÉGIMEN JURÍDICO:

En particular, la evolución tecnológica (con las denominadas tecnologías disruptivas) y económica

(espacio común europeo de datos1) ha propiciado la revisión del modelo de privacidad:

A) Antes de nada, la protección de los datos personales es un derecho fundamental:

- Así lo reconocen los arts. 18.4 Constitución y 8 de la Carta de Derechos Fundamentales de la

Unión Europea del año 2000 (junto con los arts. 16 TFUE y 39 TUE).

- Precisamente, la antigua LORTAD (Ley Orgánica 5/1992, de 29 de octubre) respondió al

mandato del art. 18.4 Constitución y al Convenio 108 del Consejo de Europa en la materia de
1981.

- El TC (desde la STC 292/2000, de 30 de noviembre, a la STC 76/2019, de 22 de mayo) lo

considera un verdadero derecho fundamental (no derecho de estricta configuración legal por la
mera remisión del art. 18.4 Constitución), incardinándose así en el sistema constitucional de
protección de los arts. 53 (respeto legal del contenido esencial, y amparo judicial ordinario y
constitucional), 81 (ley orgánica: desarrollo directo) y 149.1.1.ª (competencias ejecutivas)
Constitución. En concreto, un derecho constitucional de configuración legal, es decir, de un
derecho fundamental que requiere de interpositio legislatoris para la definitiva fijación de su
contenido y desarrollo, y consiguiente plena eficacia, pero que goza ya de un contenido esencial
mínimo garantizado directamente por el texto constitucional. El acomodo constitucional se hace
a través de su consideración como un derecho fundamental autónomo (también la Carta
europea), sin perjuicio de su relación instrumental con otros derechos fundamentales2.
1
Existe una batería de iniciativas para incrementar el volumen de datos disponibles, personales y no
personales, y su libre acceso a los mismos (necesidad del big data para la inteligencia artificial): normativa de
privacidad (libre circulación a través de mercado interior y transferencias internacionales); Reglamento (UE)
2018/1807 sobre libre circulación de datos electrónicos no personales; normas sobre reutilización de la información
del sector público (complementarias a Ley de Transparencia); Ley de gobernanza de datos: Reglamento (UE)
2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, sobre gobernanza europea de datos
(también Ley de datos: Propuesta Reglamento de datos) para intercambio y acceso a todo tipo de datos por empresas
y usuarios de productos y servicios, destinatarios de datos y sector público; Ley de Mercados Digitales: Reglamento
(UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y
equitativos en el sector digital, para favorecer el tratamiento de datos personales por otras empresas frente al
monopolio de «los guardianes de acceso» (con servicio básico de plataforma: empresas llegan a consumidores y gran
influencia), absteniéndose en particular estos de tratar datos personales generados por aquellas dentro de la
plataforma, dando los guardines a las empresas acceso a los mismos, entre otras obligaciones en favor de la
competencia para posibilitar dentro de las plataformas: cambio de configuración predeterminada del sistema
operativo, navegador web y asistente virtual; apertura de otras cuentas; instalación (y desinstalación de las
predeterminadas) de otras tiendas de aplicaciones de terceros y aplicaciones; uso de otros sistemas de pago y
servicios; no dar prioridad a los productos de la plataforma; e interoperabilidad gratuita entre servicios SCIIN/OTT
ofrecidos por los guardianes y otras empresas, como la posibilidad de enviar y recibir mensajes entre WhatsApp y
Telegram (también Ley de Servicios Digitales: Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo,
de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva
2000/31/CE, de comercio electrónico: retirada de contenidos ilícitos).
2
Por ejemplo, respecto al derecho a la intimidad, mientras la vertiente negativa de la privacidad que se
refiere a datos personales íntimos corresponde tanto al derecho a la intimidad como al derecho autónomo de

1
B) Derecho común de privacidad:

1. El primer fundamento comunitario armonizador fue la Directiva 95/46/CE, de 24 de octubre. Sus

objetivos fundamenales eran la protección de los datos personales y la circulación de los mismos
en el mercado interior. Su transposición vino dada por la LOPD 1999 (LO 15/1999, de 13 de
diciembre; algunos incisos de sus arts. 21 y 24 fueron declarados inconstitucionales y nulos por
la STC 292/2000), derogatoria de la LORTAD; el RLOPD (Reglamento de desarrollo de la
LOPD 1999, aprobado por RD 1720/2007, de 21 de diciembre); y el anterior Estatuto de la
AEPD (RD 428/1993, de 26 de marzo, declarado vigente por la LOPD 1999).

2. Esta Directiva 95/46/CE ha sido derogada por el RGPD [Reglamento (UE) 2016/679, de 27 de
abril]:
● Aunque el RGPD entró en vigor 20 días después de su publicación en el DOUE, no ha sido
aplicable hasta el 25 de mayo de 2018, surtiendo efectos la derogación de la Directiva
95/46/CE a partir de dicha fecha.
● Entre sus aspectos más sobresalientes se encuentran los siguientes (comparación con
anterior normativa): (a) aplicación directa al tratarse de un Reglamento comunitario, sin
perjuicio de la obligación normativa de los Estados (56 remisiones obligatorias y
potestativas)3; (b) mayor protección de la información personal (consentimiento expreso
frente al tácito4; y principio de responsabilidad proactiva –no reactiva–5, que exige de la
anticipación y prueba de medidas eficaces6, en detrimento del principio de presunción de
inocencia por inversión de la carga de la prueba, reconducido a mecanismos de certificación
y códigos de conducta); (c) y potenciación de los flujos internacionales de datos a través de
una convergencia global de protección (circulación europea y transferencias internaciones7).

3. El RGPD ha sido adaptado al ordenamiento español a través de la LOPDGDD (LO 3/2018, de 5

de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales): deroga la
LOPD 1999 y la norma de urgencia del RD-ley 5/2018, de 27 de julio (aspectos no orgánicos
que no admitían demora: inspección, sanción, procedimientos). Aunque la disposición transitoria
primera de la LOPDGDD consideró vigente –en lo no incompatible– el antiguo Estatuto de la
AEPD aprobado por RD 428/1993, de 26 de marzo, ha sido derogado por el RD 389/2021, de 1
de junio, por el que se aprueba el Estatuto de la AEPD.

C) Derecho especial de privacidad (ley especial: se aplica con preferencia a la ley general en aquellos
supuestos contemplados en aquella). Más allá de otros sectores de actividad: Administración electrónica,
economía, consumo, sanidad…:

C.1) Desde la perspectiva de las comunicaciones electrónicas:

1. Directiva 2002/58/CE, de 12 de julio, de tratamiento de datos personales en las comunicaciones

electrónicas (riesgos específicos de la privacidad electrónica):

protección de datos, la vertiente negativa de datos personales no íntimos, más la vertiente positiva de cualquier tipo
de dato personal, corresponde exclusivamente al derecho autónomo de privacidad (STC 292/2000). O respecto al
secreto de las comunicaciones (privacidad electrónica).
3
Es un Reglamento con «alma» de Directiva.
4
Aunque no se reconoce derecho de oposición para algunos tratamientos legales. La exigencia anterior de
que el interés legítimo concurriera con fuentes accesibles al público como base legal fue corregido por la STJUE de
24 de noviembre de 2011, ASNEF y FECEMD/Administración del Estado (junto a este origen de los datos, la
LOPDGDD presume iuris tantum también la prevalencia de este interés legítimo para determinados tratamientos).
5
También en blanqueo, responsabilidad de personas jurídicas…
6
Análisis de riesgos, evaluación de impacto, consulta previa a AEPD, registro de actividades de
tratamiento, seguridad, información y comunicación de brechas de seguridad… También prueba del consentimiento.
7
Con relación a Estados Unidos, anulación del Safe Harbor (Puerto) y, salvo cláusulas contractuales tipo,
Privacy Shield (Escudo) por las SSTJUE Schrems I de 2015 (C-362/14) y II de 2020 (C-311/18), respecto a la
transferencia internacional de datos a Estados Unidos (Decisiones de la Comisión de adecuación de la protección en
Estados Unidos, aparte de otras garantías, a raíz de la transferencia de datos de Facebook Ireland a Estados Unidos),
con anuncio de nuevo acuerdo en marzo de 2022. Y respecto a Reino Unido tras el brexit (con su propio UK-RGPD
similar al europeo y Act de 2018 modificada en 2020), Decisiones de adecuación por Comisión (RGPD y Directiva de
policía), y supresión de datos PNR.

2
 ● Derogó la anterior Directiva 97/66/CE, de 15 de diciembre, de tratamiento de datos
personales en las telecomunicaciones, transpuesta por la antigua LGT (Ley 11/1998, de 24
de abril, General de Telecomunicaciones) y su antiguo Reglamento de desarrollo (RD
1736/1998, de 31 de julio).
● La Directiva 2002/58/CE ha sido modificada por las Directivas 2009/136/CE y 2006/24/CE
(está última de conservación de datos de tráfico, anulada por la STJUE de 8 de abril
de 2014, Digital Rights Ireland).
● La Directiva 2002/58/CE ha sido transpuesta, atendiendo a la dicotomía entre servicios de
comunicaciones electrónicas y servicios de la sociedad de la información, tanto por la actual
LGT (Ley 11/2022, de 28 de junio, derogatoria de la Ley 9/2014, de 9 de mayo, que derogó
a su vez la anterior Ley 32/2003, de 3 de noviembre), y el Reglamento de desarrollo
(Reglamento de servicio universal y derechos de los usuarios, aprobado por RD 424/2005,
de 15 de abril –por remisión del art. 31 del RD 899/2009, de 22 de mayo–, derogatorio del
anterior RD 1736/1998)8, como por la LSSI o Ley de Internet (Ley 34/2002, de 11 de julio,
de Servicios de la Sociedad de la Información y Comercio Electrónico).

2. La Directiva 2002/58/CE será derogada por el futuro Reglamento sobre privacidad y

comunicaciones: Propuesta de Reglamento ePrivacy de 10 de enero de 2017: (a) norma de
directa aplicación, (b) mismo o mayor nivel de protección en este ámbito que el RGPD
(consentimiento expreso, pero con alguna regla de oposición y tratamiento legal en aras de la
innovación comercial), (c) adaptación a la coyuntura económica y tecnológica con extensión a
nuevos servicios de comunicaciones electrónicas: servicios OTT o SCIIN.

C.2) Desde la perspectiva de la tensión y equilibrio privacidad-seguridad pública9:

- Se enmarca en las limitaciones a la privacidad, como derecho no absoluto, que pueden incidir
tanto en su vertiente negativa (exclusión al tratamiento) como positiva (control y disposición
sobre datos tratados), y que deben respetar el clásico «test democrático de restricción de
derechos» (parámetros para la legitimidad de la injerencia a los derechos fundamentales que
buscan un equilibrio entre derechos y bienes jurídicos, sin sacrificios excesivos o ablatorios):
desarrollado tanto por documentos internacionales (8.2 y 18 CEDH, 52 CDFUE, arts. 9.2
Convenio 108 del Consejo de Europa…) como por el art. 53.1 Constitución y Tribunal
Constitucional (de forma paradigmática, SSTC 292/2000, de 30 de noviembre, y 76/2019, de 22
de mayo); juicio de ponderación que debe ser aplicado primero por la propia regulación y en
cada caso por los operadores jurídicos y órganos jurisdiccionales: reserva de ley10, principio de
necesidad y proporcionalidad, respeto al contenido esencial del derecho fundamental limitado
(también lo fija el art. 56 LGT conforme al art. 100 Código respecto a las comunicaciones
electrónicas).

- Se encuentran limitaciones a la privacidad por razón de seguridad pública11:

a) Con ocasión de cada una de las facultades y obligaciones de privacidad recogidas en el

RGPD y norma de privacidad electrónica, como las restricciones al régimen de
consentimiento expreso12 y derecho de oposición de la vertiente negativa, especialmente al
secreto de las comunicaciones a través de las medidas de investigación tecnológica de la
Ley de Enjuiciamiento Criminal y como excepciones al cifrado por seguridad en el art. 62
LGT; o las restricciones a la obligación de comunicar las violaciones de seguridad de los
datos personales a los interesados (aparte de la notificación de la brecha de seguridad a la
autoridad de protección de datos).

8
Vigente en lo no opuesto, según la disposición transitoria primera de la LGT.
9
«El que sacrifica la libertad en aras de la seguridad no merece ninguna de las dos» (Benjamin Franklin).
10
Como en el caso de los confinamientos por la COVID-2019 (límite a la libertad ambulatoria).
11
Según la disposición adicional primera de la LO 9/2021, de 1 de julio, de aplicación del Reglamento (UE)
2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación
de la Fiscalía Europea, las referencias en la LECrim. y resto del ordenamiento jurídico a la autoridad judicial o
Ministerio Fiscal, se entenderán realizadas a la Fiscalía Europea respecto a todas sus competencias (investigar, acusar
y ejercer acusación en juicio oral en delitos que perjudiquen intereses financieros de la UE). Téngase en cuenta
también en ciberseguridad/secreto de las comunicaciones.
12
Las bases legales del consentimiento e interés legítimo están excluidas para los tratamientos públicos o
«de mano pública».

3
 b) Como consecuencia de los listados generales de limitaciones con las que se habilitan con
carácter general a los Derechos comunitario e interno por los arts. 23 RGPD (vigentes
transitoriamente las excepciones amparadas en el art. 13 Directiva 95/46/CE, según la
disposición adicional 14 LOPDGDD) y 15 Directiva 2002/58/CE (11 Propuesta Reglamento
ePrivacy).
c) En normativas específicas que abordan las concretas tensiones entre la seguridad y la
privacidad:
1. Directiva 2006/24/CE, de 15 de marzo, de conservación o retención de datos de
tráfico de comunicaciones electrónicas (Directiva Frattini tras los atentados
terroristas de Madrid y Londres), y su transposición por la LCD (Ley 25/2007, de 18
de octubre, de Conservación de Datos relativos a las Comunicaciones Electrónicas),
junto con los arts. 588 ter j LECrim., y 61 y 66.4 LGT13:
/ Frente a la regla general de eliminación de los metadatos o datos de
tráfico de comunicaciones electrónicas (con datos de identificación y
localización, cuando sean precisos para la comunicación), tras el cumplimiento
de su función técnica de comunicación y facturación (con consentimiento para
cualquier otro tratamiento), y la regla del consentimiento también para el
tratamiento de datos de localización distintos a los metadatos, obligación de
los prestadores de comunicaciones electrónicas de conservación/retención
preventiva y generalizada/indiferenciada de los mismos durante 12 meses, y en
su caso cesión/acceso por la policía judicial o CNI con autorización judicial
para los fines de detección, investigación y enjuiciamiento de delitos graves
(nunca el contenido de las comunicaciones). Afectación a dos derechos: datos
personales y secreto de las comunicaciones (este último en particular respecto a
la cesión).
/ Mientras la Directiva 2006/24/CE fue anulada por incumplir el
principio de proporcionalidad por la STJUE de 8 de abril de 2014 (Digital
Rights Ireland, C-293/12 y C-594/12), la LCD se mantiene apoyada en la
previsión genérica de conservación de datos de la Directiva 2002/58/CE
(Informe AEPD 0343/2013 y arts. 61 y 66.4 LGT), sin perjuicio de su
inaplicación por principio de primacía del Derecho europeo. Aunque la
Propuesta de Reglamento ePrivacy ya no contempla esta previsión genérica de
conservación. La LGT sigue remitiéndose a la LCD.
/ Según las SSTJUE de 21 de diciembre de 2016 (Tele2 Sverige AB,
C-1203/15 y C-698/15), 6 de octubre de 2020 (Privacy International,
C-623/17)14, también 6 de octubre de 2020 (La Quadrature du Net, C-511/18 y
C-512/1815; y Ordre des barreaux francophones et germanophone, C-520/1816),
2 de marzo de 2021 (HK y Prokuratuur, C-746/18), 5 de abril de 2022
(Commissioner of An Garda Síochána, C-140/20), 20 de septiembre de 2022
(SpaceNet, C-793/19 y Telekom Deutschland, C-794/1917), y también 20 de
septiembre de 2022 (VD, C-339/20 y SR, C-397/20), la conservación y cesión
de metadatos de comunicaciones electrónicas exige (aun bajo un proceso de
reflexión común a través de un Grupo europeo de expertos):
_ Que la conservación/retención, aunque sea preventiva, sea selectiva
(según un criterio geográfico18 o categorías de personas afectadas) y para un
período temporal estrictamente necesario prorrogable (aparte de la
conservación/congelación rápida o quick freeze del art. 588 octies LECrim. vía
requerimiento fiscal o policial hasta autorización judicial para su cesión).
También se exige que la conservación sea dentro del territorio de la Unión.
_ Y su cesión o acceso por las autoridades (procedan o no los datos de
esa conservación) previa autorización de órgano judicial o administrativo

13
Tras la invalidez de la Directiva específica, pueden enmarcarse en los límites a la privacidad electrónica
del art. 15 Directiva 2002/58/CE (11 Propuesta Reglamento ePrivacy).
14
Norma de retención de datos de Reino Unido.
15
Norma de retención de datos de Francia.
16
Norma de retención de datos de Bélgica.
17
Norma de retención de datos de Alemania.
18
Por ejemplo, en lugares estratégicos, como aeropuertos, estaciones de ferrocarril, puertos marítimos o
zonas de peaje.

4
 independiente19; y para la persecución de delitos graves20, prevención de
amenazas graves contra la seguridad pública, o protección de la seguridad
nacional21 (últimos requisitos cumplidos por la LCD).
/ Pero, cuando la injerencia no es grave, esto es, se trate de DATOS
DE IDENTIFICACIÓN, dado que por sí mismos no revelan información de la
comunicación/privacidad (datos estáticos no generados o vinculados al proceso
de comunicación o localización): bien en las bases de datos de los operadores
sin formar parte de una comunicación (ni siquiera datos de tráfico), o formando
parte de una comunicación por tratarse de datos de identidad civil (nombres y
apellidos, direcciones, números):
_ Se permite la conservación/retención generalizada/indiferenciada
(STJUE La Quadrature du Net22).
_ Y la cesión/acceso por las autoridades (procedan o no los datos de
esa conservación): » ni exige la persecución de delitos graves o amenazas
graves contra la seguridad pública sino por delitos, seguridad pública o
seguridad nacional (según la STJUE de 2 de octubre de 2018, Ministerio
Fiscal, C-207/16: datos de titularidad y número asignado a una tarjeta SIM
activada por un teléfono móvil sustraído), » ni exige la autorización judicial
previa, por no excepcionar el secreto de las comunicaciones (a tenor de la
matización general –incluso sobre la LCD– de los arts. 588 ter j-m LECrim23,
incorporados por la Ley Orgánica 13/2015, de 5 de octubre, de medidas de
investigación tecnológica). Patrones que ya se aplicaban por la LCD a los
registros de identidad de clientes en los servicios de telefonía móvil de
prepago.
/ En el caso de las DIRECCIONES IP24 asignadas a la fuente –no
receptor– de una conexión a internet, aunque se trata de la identificación de
equipos de origen de una comunicación25:
_ La conservación/retención generalizada/indiferenciada tiene que ser
para un período temporal estrictamente necesario26.
_ Y la cesión/acceso por delitos graves, amenazas graves contra la
seguridad pública o seguridad nacional (STJUE La Quadrature du Net, pese al
art. 588 ter k LECrim.).
/ Todo esto debe aplicarse también a la autorización
contencioso-administrativa para requerimiento (no conservación) de datos
electrónicos por diversos órganos administrativos para sus funciones de
inspección y sanción (AEPD…, Comisión de Propiedad Intelectual y otros

19
La STJUE de 2 de marzo de 2021 (HK y Prokuratuur, C-746/18) excluye al Ministerio Fiscal; y la STJUE
de 5 de abril de 2022 (Commissioner of An Garda Síochána, C-140/20) excluye a un funcionario de la Policía.
20
A partir del umbral mínimo de tres años de prisión ex art. 579.1 LECrim.
21
En caso de amenazas graves y reales o previsibles para la seguridad nacional, también se permite la
conservación general e indiscriminada pero temporal prorrogable y con verificación por un órgano independiente.
22
«En lo que respecta a los datos relativos a la identidad civil de los usuarios de las comunicaciones
electrónicas, esos datos no permiten por sí solos conocer la fecha, la hora, la duración y los destinatarios de las
comunicaciones efectuadas, ni los lugares en que se realizaron esas comunicaciones o la frecuencia de esas
comunicaciones con determinadas personas durante un período determinado, por lo que no proporcionan, aparte de
sus datos de contacto, como sus direcciones, ninguna información sobre las comunicaciones efectuadas y, por
consiguiente, sobre su vida privada» (apartado 157).
23
«[…] y que se encuentren vinculados a procesos de comunicación».
24
Dirección IP (Protocolo de Internet): identificación de equipo terminal desde el que se realiza una
comunicación por internet.
25
« […] Aunque las direcciones IP forman parte de los datos de tráfico, se generan independientemente de
cualquier comunicación concreta y sirven principalmente para identificar, a través de los proveedores de servicios de
comunicaciones electrónicas, a la persona física propietaria del equipo terminal desde el que se realiza una
comunicación por Internet. Así pues, en relación con el correo electrónico y la telefonía por Internet, siempre que
sólo se conserven las direcciones IP de la fuente de la comunicación y no las del receptor de la comunicación, esas
direcciones no revelan, como tales, ninguna información sobre los terceros que estuvieron en contacto con la persona
que hizo la comunicación. Por lo tanto, esa categoría de datos es menos sensible que otros datos de tráfico» (apartado
152).
26
Reconocidas como dato personal por la jurisprudencia. «Dado que las direcciones IP pueden utilizarse
para trazar la ruta de navegación de un usuario y, en consecuencia, su actividad en línea, estos datos pueden utilizarse
para establecer un perfil detallado del usuario» (apartado 153).

5
 órganos27: aun a fines de identificación, parece que se extiende más allá de este
tipo de datos; solo podría alegarse esta jurisprudencia si se recaban datos de
identificación).
2. Directiva de policía (UE) 2016/680, de 27 de abril (plazo de transposición:
06/05/2018)28:
/ Recoge normas específicas sobre protección de datos personales y su
libre circulación en el ámbito de la cooperación policial y judicial en materia
penal (tratamiento de datos personales por autoridades competentes policiales y
judiciales29 para fines de prevención, investigación, detección o enjuiciamiento
de infracciones penales o de ejecución de sanciones penales). Fuera de su
ámbito subjetivo y objetivo, aplicable el RGPD. Excepciones a la vertiente
negativa y habeas data de estos datos de incriminados, víctimas o terceros
(acceso, rectificación, limitación, cancelación). Régimen específico de
transferencias internacionales (hay Acuerdos marco entre UE y EEUU30 y entre
UE y Japón).
/ Legislación interna (deficiente técnica legislativa):
a) Antes de la transposición: según la disposición transitoria cuarta de
la LOPDGDD, era aplicable el art. 22 LOPD 1999 sobre ficheros de Fuerzas y
Cuerpos de Seguridad: imprecisión porque, entre otros aspectos, los ficheros
judiciales se regulan en los arts. 236 bis a 236 decies LOPJ tras su reforma de
la Ley Orgánica 7/2015, junto con las Leyes procesales (art. 2.4 LOPDGDD).
b) Transposición por LO 7/2021, 26 de mayo, de Protección de Datos
Personales Tratados para Fines de Prevención, Detección, Investigación y
Enjuiciamiento de Infracciones Penales y de Ejecución de Sanciones Penales31:
= Incluidos en esta LOPD-Penal/Policía32, junto con los arts.
236 bis-decies LOPJ –también modificados– y Leyes procesales penales (sobre
todo en reglas concretas de interceptación/acceso y derechos en medidas de
investigación tecnológica: art. 2633):
(1) Ficheros de policía (Fuerzas y Cuerpos de
Seguridad, Administraciones penitenciarias, AEAT, Comisión de Prevención
del Blanqueo de Capitales, y Vigilancia de Financiación del Terrorismo) con
fines policiales y penales34 / como autoridades competentes: AEPD y

27
Normas específicas, como el art. 52.3 LOPDGDD (en algún supuesto, AEPD no necesita autorización
judicial contencioso-administrativa), aparte de no delitos graves.
28
Su objeto excluido del RGPD y normas de privacidad electrónica.
29
Sin perjuicio de que puedan proceder de otros sujetos, como operadores de comunicaciones electrónicas,
cuya conservación y transmisión, en cuanto tratamiento, estará sujeto al RGPD; así como establecimientos de
hostelería al transmitir por seguridad pública a las autoridades los registros documentales de entrada de viajeros antes
del inicio de la actividad (art. 7 del RD 933/2021, de 26 de octubre); u obligaciones de colaboración de las entidades
financieras (normativa antiblanqueo: obligaciones de identificación de titulares, control de operaciones, información
a la Comisión de Prevención del Blanqueo de Capitales, y conservación de documentos).
30
Especial tensión con los servicios de nube por parte de las empresas norteamericanas, que, según la cloud
act, deben facilitar aquellos datos alojados que sean requeridos mediante orden gubernativa o judicial por motivos de
seguridad nacional o terrorismo, aunque estén almacenados en infraestructuras fuera de EEUU (iniciativas de nubes
europeas).
31
España ha sido condenada por incumplimiento de su transposicióna a pagar a la Comisión una suma a
tanto alzado de 15 millones de euros y a una multa coercitiva diaria de 89 000 euros desde la fecha de la Sentencia
hasta que se produzca la transposición (STJUE de 25 de febrero de 2021, Comisión Europea/España, C-658/19).
Recurso por incumplimiento estatal interpuesto por la Comisión al no atenerse a su previo Dictamen.
32
Incluidos los datos personales especiales (bases especiales ex art. 13) genéticos y biométricos (solo para
identificación unívoca) en su ámbito policial penal y judicial penal, sin perjuicio de normas especiales comunitarias e
internas (LO 10/2007, base policial ADN). Pero excluidas las infracciones y sanciones penales no para fines penales
(arts. 10 RGPD y LOPDGD): Registro Central de Penados y otros Registros de apoyo a la Administración de Justicia
(advos.), para funciones de abogados y procuradores (la STJUE 22/6/2021, C-439/19, ha considerado a las
infracciones administrativas con detracción de puntos como «infracciones penales” del art. 10 RGPD por su
severidad). Los tratamientos relativos a la lucha contra el terrorismo y formas graves de delincuencia organizada
(anterior art. 2.2.c LOPD 1999), aunque ya no están excluidos expresamente como en el Proyecto de Ley, se entiende
incluidos en la exclusión de la legislación sobre materias clasificadas, salvo en el caso de financiación del terrorismo.
33
En todo caso, plazo de conservación/supresión máxima de 20 años, salvo excepciones.
34
Incluida la videovigilancia policial con fines penales, también por Administración penitenciaria y tráfico
(con instalación de dispositivos), en detrimento de la LO 4/1997, de Videovigilancia Policial.

6
 autoridades autonómicas (reclamaciones y sanciones específicas, aparte
indemnización por LJCA).
(2) Ficheros de la Administración de Justicia
(Jueces y Tribunales Penales, Ministerio Fiscal) con fines jurisdiccionales35 y
penales / como autoridades competentes: CGPJ y Fiscalía General del Estado
(reclamaciones y sanciones específicas, aparte responsabilidad del Estado
juez).
» Excluidos de esta LO:
(1) Ficheros de policía con fines administrativos36 o
37
policiales no penales : RGPD y LOPDGDD / AEPD y autonómicas.
(2) Ficheros de la Administración de Justicia con
fines no jurisdiccionales38: RGPD y LOPDGDD / AEPD y autonómicas.
(3) Ficheros de la Administración Justicia con fines
jurisdiccionales no penales: arts. 236 bis-decies LOPJ y Leyes procesales /
CGPJ y Fiscalía General del Estado.
/ Información financiera: respecto al acceso en concreto por las
autoridades competentes al Fichero de Titularidades Financieras (registro
centralizado de cuentas bancarias gestionado por –el Servicio Ejecutivo– de la
Comisión de Prevención del Blanqueo de Capitales/SEPBLAC como Unidad
de Información Financiera española/UIF que coordina a las autoridades en la
materia y dependiente de la Secretaría de Estado de Economía): aunque la
normativa antiblanqueo (Directiva 2015/849 y su Ley 10/2010, de 28 de abril)
exigía autorización judicial o fiscal para dicho acceso contra delitos de
blanqueo y financiación del terrorismo, la LO 9/2022, de 28 de julio, de
transposición de la Directiva 2019/1153 ya permite el acceso directo e
inmediato por las autoridades a este Fichero contra cualquier delito grave en
cuanto se refiera a identificación de titulares y tipos de cuentas (otra
información financiera sí exigiría autorización judicial o fiscal según el
Preámbulo, aunque en puridad los derechos fundamentales implicados no la
exigirían). Tratamiento según régimen de policía o general. También regula
información o análisis financieros a suministrar por parte de la UIF a solicitud
de las autoridades. E intercambios internos y europeos de la información por
UIF y autoridades39.
/ Al excluir la Directiva de Policía de las autoridades competentes a
las instituciones, órganos u organismos de la Unión, quedan subsistentes, sin
perjuicio de la aplicación del capítulo específico de datos personales operativos
del Reglamento general (UE) 2018/1725 de las instituciones, órganos y
organismos europeos, los regímenes específicos y atomizados de Europol,
Eurojust, SIS40 y SIA41, entre otras Agencias europeas de seguridad y grandes
sistemas de almacenamiento y gestión de información en el espacio de justicia,
libertad y seguridad.
3. Directiva PNR (UE) 2016/681, de 27 de abril (plazo de transposición: 25/05/2018)42:

35
Tratamientos propios de los órganos judiciales para la finalidad directa del ejercicio de su potestad
jurisdiccional.
36
Expedición de documentos identificativos, controles transfronterizos, controles de tráfico, extranjería,
ficheros burocráticos (registro permanente normalmente).
37
Infracciones y sanciones administrativas, sin perjuicio de otros tratamientos (arts. 27 LOPDGDD y 15 LT:
el concreto tratamiento de acceso a la información pública se refiere también a las infracciones y sanciones
administrativas exigiendo consentimiento o amparo legal).
38
Anteriormente, de la Oficina judicial y fiscal: personal, quejas, inspecciones, expedientes disciplinarios,
informes, acuerdos gubernativos.
39
Así, según arts. 43 y 46 de la Ley antiblanqueo, y Ley 9/2022, de 28 de julio, tres vías de control e
intervención financiera, además de intercambios de información: general (instituciones financieras y otros obligados
informan a UIF de operaciones anómalas y la UIF coordina actuación de autoridades); Fichero de Titularidades
Financieras (gestionado por UIF, acceso por autoridades antes con autorización judicial o fiscal y ahora
directamente); y solicitud de información por autoridades a UIF. Desde perspectiva de la privacidad, todo sujeto a
normativa de policía, salvo tratamiento general (conservación y transmisión a UIF) por entidades financieras y
obligados o tratamientos administrativos por UIF.
40
Sistema de Información de Schengen.
41
Sistema de Información Aduanero.
42
Con conexiones tanto con el RGPD como la Directiva de policía (UE) 2016/680.

7
 / Aparte de la comunicación por las compañías aéreas a las
autoridades nacionales competentes de los datos del sistema de información
anticipada sobre los pasajeros (Advance Passenger Information-datos API)
para mejorar los controles fronterizos y combatir la inmigración ilegal
conforme a la Directiva 2004/82/CE, de 29 de abril, sobre la obligación de los
transportistas de comunicar los datos de las personas transportadas43, la
Directiva PNR (UE) 2016/681 establece la obligación por las compañías aéreas
que realicen vuelos exteriores de la UE –pudiéndose ampliar por los Estados a
vuelos intracomunitarios, como en el caso de España44– de transferir a las
autoridades nacionales competentes los datos PNR (Registro de Nombres de
los Pasajeros-Passenger Name Record: identificación, datos de contacto,
itinerario, pago, equipaje…), incluidas la tripulación y cualquier otra persona a
bordo, con el fin de prevenir, detectar, investigar y enjuiciar los delitos de
terrorismo y delitos graves. Información que es objeto de intercambio mutuo
entre los Estados miembros y Europol, e incluso de transferencia a autoridades
de terceros países con sujeción a requisitos adicionales. Sin perjuicio de
Acuerdos PNR bilaterales, como los suscritos entre la Unión Europea y
Estados Unidos, Canadá y Australia para la transferencia a estos países.
/ Según la Ley Orgánica 1/2020, de 16 de septiembre, sobre la
utilización de los datos del Registro de Nombres de Pasajeros para la
prevención, detección, investigación y enjuiciamiento de delitos de terrorismo
y delitos graves, en transposición de la Directiva, las compañías aéreas y
entidades de gestión de reserva de vuelos tienen la obligación de transferir45 los
datos PNR a la Unidad de Información sobre Pasajeros (UIP) española,
integrada en el Centro de Inteligencia contra el Terrorismo y el Crimen
Organizado (CITCO), dependiente de la Secretaría de Estado de Seguridad del
Ministerio del Interior; entre cuyas funciones se encuentra la de tratarlos
mediante su valoración previo cotejo con las bases pertinentes, con exclusión
de los datos y criterios sensibles, transmitiendo ya de modo específico en su
caso dichos datos o el resultado de su tratamiento a las autoridades
competentes (Policía Nacional, Guardia Civil, Policías autonómicas, CNI,
Dirección Adjunta de Vigilancia Aduanera, Jueces y Tribunales, Ministerio
Fiscal), UIP de otros Estados miembros de la Unión Europea, Europol y
terceros países.
/ Se recogen garantías46 y limitaciones específicas de privacidad en
estos tratamientos vinculantes anudados a la seguridad, con la aplicación
supletoria del RGPD y LOPDGDD respecto a la transmisión de los datos por
las compañías aéreas, y de la Directiva de policía (UE) 2016/680 en cuanto a
su tratamiento por la UIP y autoridades competentes.
/ La STJUE de 21 de junio de 2022, Liga de Derechos
Humanos/Consejo de Ministros (C-817/19) ha interpretado restrictivamente las
Directivas API y PNR en proporcionalidad con el derecho a la privacidad:
Directiva API no se aplica a vuelos intracomunitarios (de un Estado miembro a
otro/s, sin escalas en un tercero); si la Directiva PNR se extiende por un Estado
a vuelos intracomunitarios, su sistema de transferencia y procesamiento de
datos debe limitarse a determinadas rutas o aeropuertos interiores de la Unión
con riesgos objetivos para el terrorismo o delincuencia organizada, a fin de
sujetarse a lo estrictamentte necesario con revisión periódica; la conservación
de datos durante 5 años (a diferencia del primer plazo de 6 meses) solo debe
afectar a datos de pasajeros aéreos con risgos objetivos.
4. Reglamento (UE) 2021/1232 del Parlamento Europeo y del Consejo, de 14 de julio
de 2021, por el que se establece una excepción temporal a determinadas
disposiciones de la Directiva 2002/58/CE en lo que respecta al uso de tecnologías por

43
API aéreo (ya vía PNR), pero España rutas fuera espacio Schengen aéreo, marítimo y terrestre.
44
Así, cualquier vuelo internacional con origen, destino o tránsito en España. Pero ahora con la limitación
de la STJUE de 21 de junio de 2022.
45
Transferencia general en dos momentos: antes de 48/24 horas al vuelo programado, y una vez cerrado el
vuelo tras embarcar.
46
Como la supresión de los datos a los 5 años, aunque a los 6 meses despersonalización de los mismos a
través de enmascaramiento. Pero ahora con la limitación de la STJUE de 21 de junio de 2022.

8
 proveedores de servicios de comunicaciones interpersonales independientes de la
numeración (SCIIN=OTT) para el tratamiento de datos personales y de otro tipo con
fines de lucha contra los abusos sexuales de menores en línea (sin perjuicio del
Reglamento de Servicios Digitales):
/ Excepción a los arts. 5.1 (confidencialidad comunicaciones:
contenido con datos personales y no personales, y de tráfico) y 6 (datos de
tráfico) Directiva 2002/58/CE para que los proveedores de servicios OTT
(remisión) puedan seguir usando voluntariamente tecnologías específicas para
el tratamiento de datos personales y de otro tipo para el fin exclusivo de
detectar, denunciar abusos sexuales de menores en línea cometidos en sus
servicios, retirando el material (solo por OTT).
/ Base legal necesaria porque: proveedores OTT sí incluidos en
RGPD, pero no en Directiva 2002/58 al remitirse al concepto de servicios de
comunicaciones electrónicas de la Directiva 2002/21/CE sobre redes y
servicios de comunicaciones electrónicas, última Directiva que –como todo el
paquete de 2002– ha sido derogada por la Directiva 2018/1972, de 11 de
diciembre, sobre el Código Europeo de Comunicaciones Electrónicas (fin plazo
de transposición el 21/12/2020) que ya sí incluye OTT, entendiéndose las
referencias a aquella hechas a esta. Por lo que a partir de esta fecha ya aplicable
a OTT la Directiva 2002/58/CE en detrimento del RGPD en riesgos especiales:
a) Antes de 21/12/2020: estos tratamientos por proveedores OTT
amparados en bases arts. 6 y 9 RGPD (directamente o vía leyes nacionales).
b) Tras 21/12/2020: no hay base legal específica para estos
tratamientos en Directiva 2002/58/CE (más restrictiva, aplicándose ya a OTT),
por lo que vía límites del art. 15.1 esta Directiva (límites para «prevención,
detección, investigación y enjuiciamiento de delitos relacionados con el abuso
sexual de menores»): o leyes nacionales o este nuevo Reglamento (UE)
2021/1232.
/ Excepción temporal hasta 31/08/2024 a la espera de un marco
europeo a largo plazo sobre la lucha contra el abuso de menores. Más otros
requisitos: solo tratamiento estrictamente necesario y proporcionado,
tecnologías menos intrusivas, con evaluación de impacto y consulta previa
(arts. 35 y 36 RGPD), tecnologías pertinentes, intervención humana, seguridad
por proveedores, derecho a información y reclamaciones por usuarios,
conservación datos por el tiempo imprescindible no superior a 12 meses,
informe de aplicación.

D) Reglamento (UE) 2018/1725, de 23 de octubre, de protección de datos personales en el ámbito de las
instituciones, órganos y organismos de la Unión:

- Este Reglamento, que deroga el anterior Reglamento (CE) 45/2001, de 18 de diciembre, pretende
garantizar un nivel de protección equiparable al exigido por el RGPD.

- Sin embargo, este Reglamento queda al margen de las normas generales y especiales de
privacidad, recogiendo respecto a los tratamientos por los órganos u organismos de la Unión
normas específicas de privacidad electrónica y para el tratamiento de datos personales operativos
en el ámbito de la cooperación judicial en materia penal y de la cooperación policial. Capítulo
que contempla especiales restricciones a los derechos de privacidad en aras de no obstaculizar la
finalidad de seguridad de estos tratamientos. Contando además, en esta vertiente limitativa, con
un precepto general reconocedor, en condiciones estrictas y por razones en buena medida de
seguridad pública e interés general, de la posibilidad de limitar los derechos y obligaciones
reconocidos en su regulación, a través de actos jurídicos adoptados con arreglo a los Tratados o,
en cuestiones relacionadas con el funcionamiento de las instituciones y organismos de la Unión,
de normas internas establecidas por ellos.

E) Relación entre privacidad y ciberseguridad (requisitos de seguridad y notificación, fruto de la cultura

de gestión de riesgos):

- La seguridad de los datos personales frente a los riesgos de destrucción, pérdida, alteración o
acceso indebidos por terceros de la información constituye uno de los principios de la privacidad

9
 y medidas proactivas (integridad y confidencialidad a través de la implementación de medidas
técnicas y organizativas apropiadas por responsables del tratamiento/operadores para garantizar
un nivel de seguridad adecuada, como la seudonimización y el cifrado: medidas proactivas),
tanto en el RGPD [arts. 5.1.f) y 32], como en la Directiva de policía (UE) 2016/680 (art. 29) y
normativa de privacidad electrónica (arts. 60 y 62 LGT), en conexión en este último caso con el
derecho al secreto general de las comunicaciones (art. 18.3 Constitución; 58 y ss. LGT para las
electrónicas) por lo que se refiere no solo a la información tratada (metadatos) sino también a la
información transmitida que puede incluir datos no personales y relativos a personas jurídicas.
Quedan fuera de la confidencialidad y secreto los tratamientos consentidos o técnicos tanto del
contenido como de los metadatos –como el almacenamiento automático y transitorio para llevar
a cabo la transmisión, o por razones de seguridad y continuidad del servicio47–. Y con las
excepciones legales de interceptación de comunicaciones: investigación tecnológica de la
LECrim.48, e incluso función inspectora por AEPD ex art. 52 LOPDGDD, de dudosa
constitucionalidad por la no exigencia en algunos casos de autorización judicial49, y por CNMV
ex disposición adicional 15 LOPDGDD50. Corolario de ello es la obligación del responsable del
tratamiento de comunicar tanto a la autoridad de protección de datos como a los afectados
cualquier violación o brecha de seguridad en los mismos (arts. 33 y 34 RGPD, 30 y 31 Directiva
de policía, y Reglamento (UE) 611/2013 y art. 60.3 LGT en el ámbito de la privacidad
electrónica).

- Con un alcance más amplio, pero con evidentes interacciones con la privacidad (por cuanto un
ciberincidente deja también en entredicho la privacidad), las medidas de seguridad en los
sistemas de información y redes de comunicaciones electrónicas (ciberseguridad o seguridad
digital del art. 82 LOPDGDD, en el marco de las Estrategias de Ciberseguridad europeas e
internas y la Agencia de Seguridad de las Redes de la Información de la Unión Europea o
ENISA, con especificaciones técnicas y certificación de ciberseguridad de los productos y
servicios TIC: Reglamento sobre la Ciberseguridasd51, y medidas restrictivas específicas de
circulación e inmovilización de fondos y recursos económicos contra las personas involucradas
en los ciberataques52) son exigidas tanto a las entidades que prestan servicios esenciales de la
comunidad53 que dependen de redes y sistemas de información y proveedores de servicios
digitales de la sociedad de la información (Real Decreto-ley 12/2018, de 7 de septiembre, de
transposición de la Directiva NIS/SRI (UE) 2016/1148; y su desarrollo por Real Decreto
43/2021, de 26 de enero54), como para todos los operadores, no solo críticos, que explotan redes
y servicios de comunicaciones electrónicas disponibles al público, garantizando en particular
servicios de emergencia y alertas públicas (arts. 40 Código Europeo de las Comunicaciones
Electrónicas y 63 LGT); en el primer caso con una regulación sectorial para la Administración
electrónica y sector público en el Esquema Nacional de Seguridad (disposición adicional primera
de la LOPDGDD y Real Decreto 311/2022, de 3 de mayo55, en el actual ámbito de la

47
Para estos últimos tratamientos técnicos, el art. 40 LGT exige autorización judicial.
48
Datos de tráfico (también conservados por cualquier motivo) y contenido (solo almacenamiento técnico
directo para transmisión), bajo autorización judicial (arts. 588 bis a y ss. LECrim.).
49
Datos de identificación y tráfico.
50
Datos de identificación y tráfico.
51
Reglamento (UE) 2019/881, del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a
ENISA y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se
deroga el Reglamento (UE) núm. 526/2013. El Centro Criptológico Nacional es la autoridad certificadora en España.
52
Decisión (PESC) 2019/797 del Consejo, de 17 de mayo de 2019, y Reglamento (UE) 2019/796 del
Consejo, de 17 de mayo de 2019, relativo a medidas restrictivas contra los ciberataques que amenacen a la Unión o a
sus Estados miembros.
53
Energía, transporte, salud, sistema financiero, agua, telecomunicaciones, espacio, industria química,
investigación, alimentación, industria nuclear.
54
Esta transposición alcanza también a los operadores críticos que explotan redes y servicios de
comunicaciones electrónicas, por su vinculación con las Leyes 36/2015, de 28 de septiembre, de Seguridad Nacional
y 8/2011, de 28 de abril, por la que se establecen Medidas para la Protección de las Infraestructuras Críticas
(Directiva 2008/114/CE). Junto con las medidas de seguridad y notificaciones, toda esta regulación se completa con
la catalogación electrónica del conjunto de instalaciones estratégicas a través del Catálogo Nacional de
Infraestructuras Estratégicas, (sobre las que descansan los servicios esenciales) y el Centro Nacional de Protección de
las Instraestructuras Críticas o CNPIC (infraestructuras estratégicas cuyo funcionamiento es indispensable sin
soluciones alternativas). Están pendientes Propuesta de Directiva NIS 2, que derogará la actual; y Propuesta de
Directiva sobre resiliencia de infraestructuras críticas, que derogará la 2008/114/CE; a fin de interrelecionar las
mismas.
55
Derogatorio del RD 3/2010, de 8 de enero.

10
 Administración electrónica de los arts. 156 LRJ y 13 LPAC, reconociendo este último el derecho
de los ciudadanos a la protección de datos de carácter personal en sus relaciones con las
Administraciones, y en particular a la seguridad y confidencialidad de los que figuren en sus
ficheros, sistemas y aplicaciones). Con la obligación asimismo en este ámbito de notificar los
ciberincidentes con efectos perturbadores significativos/impacto significativo a las autoridades
competentes (solo en las comunicaciones) y CSIRT (equipos de respuesta a incidentes de
seguridad informática: Centro Criptológico Nacional o CCN en torno al CCN-CERT56 en el
ámbito sectorial de los sistemas de información del sector público), así como al público o
usuarios. Bajo la cooperación estrecha entre los CSIRT y la AEPD cuando los ciberincidentes
afecten a información personal, pudiéndose emplear la plataforma de notificación de incidentes
de ciberseguridad57 para la notificación de vulneraciones de la seguridad de datos personales, en
los términos que acuerden la AEPD y los órganos que gestionen dicha plataforma 58.

- Estas obligaciones de implementar medidas de seguridad y notificación de las violaciones de

seguridad con impacto significativo al órgano de supervisión-Ministerio competente (y, en su
caso, también a la autoridad de protección de datos y afectados) se extienden a los productos,
redes y sistemas de información de los servicios de firma-confianza electrónica por parte de sus
prestadores [Reglamento (UE) núm. 910/2014, 23 de julio, derogatorio de la Directiva
1999/93/CE; y Ley complementaria 6/2020, 11 de noviembre, Servicios Electrónicos de
Confianza, derogatoria de la Ley 59/2003, 19 de diciembre, de Firma Electrónica –que transpuso
la Directiva 1999/93/CE–].

- El Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan Medidas Urgentes por
razones de Seguridad Pública en materia de Administración Digital, Contratación del Sector
Público y Telecomunicaciones (Reglamento de seguridad digital), arbitra nuevas reglas de
ciberseguridad y privacidad en el ámbito de la Administración electrónica.

- Real Decreto-ley 7/2022, de 29 de marzo: Ley de Ciberseguridad 5G [o más supletoriamente;

según Recomendación (UE) 2019/534, de 26 de mazo, de la Comisión]: obligaciones y controles
para independencia frente a injerencias externas y ataques para poder desplegar redes y servicios
5G (diferente a prohibición directa a determinados suministradores por causas geopolíticas).
Análisis de riesgos (nivel de riesgo de cada suministrador), medidas de seguridad
adicionales/específicas y diversificación de suministradores por: operadores de redes u servicios
5G (explotan: Movistar, Vodafone, Orange…) / suministradores de redes y servicios 5 G
(fabrican: Huawei, Nokia, Erikson…) / usuarios corporativos 5G (fines profesionales) /
Administraciones. Esquema Nacional de Seguridad de redes y servicios 5G (seguridad nacional
según aportaciones de los agentes; aprobada por RD Gobierno).

- Propuesta de Reglamento de ciberseguridad en instituciones, órganos y organismos de la UE

(con su CERT-UE o Centro de Ciberseguridad, creado ya por acuerdo interinstitucional).

III. ASPECTOS GENERALES:

A) ÁMBITO de la protección de datos personales:

56
Adscrito al CNI.
57
Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, que también es cauce de
coordinación entre operadores, autoridades competentes y CSIRT.
58
«La notificación de un ciberincidente conforme a este Real Decreto no excluye ni sustituye la notificación
que de los mismos hechos deba realizarse a otros organismos conforme a su normativa específica. En particular, las
obligaciones de notificación previstas en los apartados anteriores son independientes de las que deban realizarse a la
AEPD conforme a lo previsto en el artículo 33 RGPD, sin perjuicio de la cooperación entre autoridades prevista en el
artículo 29 del Real Decreto-ley 12/2018, y la posibilidad de acceso por parte de la citada AEPD a la plataforma
común de notificación de incidentes prevista en su disposición adicional tercera. A estos efectos, las notificaciones
previstas en los apartados 1 y 2 de este artículo incluirán la información que, para los casos de violación de la
seguridad de los datos personales, se contenga en los formularios aprobados por la Agencia Española de Protección
de Datos» (art. 9.3 Real Decreto 43/2021, de 26 de enero). Y, según el art. 3 del RD 311/2022 sobre el Esquema
Nacional de Seguridad, prevalecerán las medidas de seguridad de protección de datos (análisis de riesgos/evaluación
de impacto) sobre las de ciberseguridad si aquellas son superiores.

11
Este derecho se traduce en un conjunto de facultades o poderes (aparte de principios, como tratamiento
para mismo o compatible fin) reconocidos a la persona física titular de la información personal (en
privacidad electrónica se extiende a los interes legítimos de las personas jurídicas) en orden a negar su
tratamiento (VERTIENTE NEGATIVA a través de las bases o fundamentos jurídicos legitimadores:
tratamiento que incluye la recogida de los datos, si son obtenidos de esta) o a controlar y disponer de la
misma una vez sea objeto de tratamiento (VERTIENTE POSITIVA) por parte de una persona, física o
jurídica, privada o pública (responsable del tratamiento):

1/ Facultades (además de principios y obligaciones proactivas):

1.1. Vertiente negativa o bases jurídicas de licitud ex art. 6 RGPD (también para la recogida, en su caso;
y para la transmisión en cuanto forma parte del tratamiento, como acceso a documentos públicos
según especiales reglas de la Ley 19/2013 de Transparencia; comunicación de datos por
Administraciones: art. 155 Ley 40/2015 –modificado– si entre Administraciones, y disposición
adicional 10 LOPDGDD a privados; transmisión con requisitos especiales de adecuación de la
privacidad si se trata de transferencias fuera de la Unión Europea): previa información siempre:

● Consentimiento expreso (clara acción afirmativa aun por medios técnicos, que debe
probarse: no casillas ya marcadas o inacción; informada y libre, a partir de 14 años; puede
retirarse). También si el tratamiento es necesario para ejecución de contrato o medidas
precontractuales.
● Oposición59 (salvo motivos legítimos imperiosos del responsable) a tratamientos legales:
/ Interés público o poderes públicos conferidos al responsable del tratamiento (ej.
videovigilancia privada, denuncias internas, exclusión publicitaria).
/ Satisfacción de intereses legítimos del responsable o terceros, si no prevalecen los derechos
o intereses de los interesados, presumiéndose la prevalencia del interés legítimo cuando se
cumplan los requisitos de los tratamiento de los arts. 19-21 LOPDGDD (datos de contacto
profesionales, ficheros de morosos/solvencia patrimonial/información crediticia,
operaciones mercantiles) y como factor de ponderación cuando los datos procedan de
fuentes accesibles al público conforme a la jurisprudencia.
_ Oposición en todo caso a tratamientos que consistan en mercadotecnica (por interés
legítimo; con oposición se dejarán de tratar los datos sin excepción), e investigación
científica, histórica o estadística (excepción a categorías especiales y con excepciones a
derechos; derecho de oposición salvo que el tratamiento sea necesario para el cumplimiento
de una misión realizada por razones de interés público).
● Sin derecho de oposición a tratamientos legales:
/ Cumplimiento de obligación legal del responsable (ej. tratamientos públicos).
/ Tratamiento necesario para proteger intereses vitales del interesado o terceros (ej.
emergencias humanitarias).
* Las bases legales del consentimiento e interés legítimo están excluidas para los tratamientos de
las Administraciones públicas.
* Comunicaciones de datos de Administraciones: entre Administraciones (art. 155 Ley 40/2015,
modificado por RD-ley 14/2019); a privados (disposición adicional 10 LOPDGDD).
* Especiales bases jurídicas para categorías especiales de datos (sensibles) ex art. 9 RGPD60 (más
concretas), pues en principio prohibido el tratamiento: según art. 9 LOPDGDD no es suficiente
el consentimiento para la mayoría de estos datos (con posible derecho de oposición conforme a
su régimen).

1.2. Vertiente positiva (habeas data) ex arts. 12 y ss. RGPD: fundamentalmente los derechos ARCO
(acceso a través de copia61 de los datos; rectificación de datos incompletos o inexactos; y cancelación
cuando no son necesarios para el fin, se retira el consentimiento o se ejerce la oposición, tratamiento
ilegal, etc.; oposición e información más bien en vertiente negativa). Más otros, como limitación del
tratamiento (casos especiales), seguridad y notificación de brechas, portabilidad (transferencia de
datos a otras empresas), prohibición de decisiones individuales automatizadas (decisión sin
intervención humana), etc.

59
Antes oposición en consentimiento tácito y tratamientos legales (más restrictivo).
60
Origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos
genéticos, biométricos, relativos a la salud, la vida sexual y orientación sexual.
61
Copia electrónica si solicitud electrónica.

12
2/ Concepto extensivo de datos personales: toda información (numérica, alfabética, gráfica, fotográfica,
acústica o de cualquier otro tipo) sobre una persona física (jurídica también en privacidad electrónica)
identificada o identificable con información adicional, por ejemplo a través de seudonimización (tipos:
cifrado62, función hash…) a diferencia de la anonimización o disociación de un conjunto de datos
(irreversible) solo (han de concurrir los dos elemento de datos y persona identificada o identificable).

3/ Protección frente a tratamientos automatizados (también ficheros manuales no automatizados). No

aplicación a ficheros de personas físicas ejercidos en actividades exclusivamente personales o domésticas
(no profesional o comercial; interpretación restrictiva por considerando 18 RGPD, jurisprudencia y
dictamen GT art. 29; correspondencia solo en ámbito personal o familiar, y redes sociales o internet en
general cuando información solo accesible por contactos seleccionados y no datos sensibles).

4/ Frente a cualquier responsable del tratamiento (también Administraciones y otros órganos públicos
del art. 77 LOPDGDD), con determinadas obligaciones por responsabilidad proactiva (tutela de los
derechos, registros internos de actividades de tratamientos, seguridad, análisis de riesgos del art. 24
RGPD, evaluación de impacto del art. 35 RGPD, consulta previa del art. 36 RGPD…/ si
Administraciones: registros de actividades de tratamiento públicos en Portal de Transparencia ex arts.
31.2 LOPDGDD y 6 bis Ley de Transparencia, apercibimiento y potestad disciplinaria…). Otros posibles
sujetos son el encargado del tratamiento (trata por cuenta del responsable a través de contratos) y el
delegado de protección de datos (interlocución con autoridades, posibles reclamaciones ante ellos,
informar, asesorar y supervisar…).

B) COMPETENCIAS Y ORGANIZACIÓN ADMINISTRATIVA:

1/ Competencias legislativas: aparte de la aplicación directa del RGPD, la reserva de ley orgánica del art.
81.1 Constitución para los derechos fundamentales atribuye la competencia legislativa en esta materia
(art. 53.1 Constitución) al legislador orgánico estatal (LOPDGDD), sin perjuicio de la menor intervención
legislativa autonómica (autoorganización) y otra normativa estatal conexa que no desarrolla directamente
el derecho (privacidad electrónica, ficheros jurisdiccionales, Ley de Transparencia…).

2/ Competencias ejecutivas:

● Según el RGPD, los Estados miembros han de disponer de una o más autoridades
independentes de control de protección de datos, aparte de los órganos europeos: Comité
Europeo de Protección de Datos (anterior Grupo de Trabajo del art. 29 Directiva 95/46/CE),
integrado por los Directores de las autoridades nacionales63 y el Supervisor Europeo de
Protección de Datos, como autoridad europea respecto a los tratamientos por las
instituciones y organismos de la Unión Europea:
/ AEPD ex arts. 44 y ss. LOPDGDD (y Estatuto ex RD 389/2021, 1 junio): autoridad
administrativa independiente64 (también en privacidad electrónica y policía65) con
Presidente66 y Adjunto (nombrados para 5 años por RD tras ratificación de propuesta por
Congreso67, con causas tasadas para cese anticipado y no sujetos a instrucción alguna), y
Consejo Consultivo68.
/ Autoridades institucionales de control autonómicas: Autoridad Catalana de Protección
de Datos, Agencia Vasca de Protección de Datos, y Consejo de Transparencia y Protección
de Datos de Andalucía (supresión de Agencia madrileña).

62
Cifrado de extremo a extremo (desde el remitente hasta el destinatario) para la total protección de los
datos en tránsito.
63
AEPD como representante común ante el CEPD.
64
Art. 109 LRJ. Su denominación oficial es “Agencia Española de Protección de Datos, Autoridad
Administrativa Independiente”. Se relaciona con el Gobierno a través del Ministerio de Justicia.
65
En este último caso, junto con el CGPJ en el ámbito judicial.
66
Sus actos y disposiciones ponen fin a la vía administrativa, siendo recurribles ante la Sala de
Contencioso-administrativo de la Audiencia Nacional (disposición adicional cuarta de la LJCA y art. 48.6
LOPDGDD). Del Presidente, con rango de Subsecretario, dependen la Subdirección General de Inspección de Datos,
la Subdirección General de Promoción y Autorizaciones (sensibilización, certificaciones, autorización de
transferencias…) y la Secretaría General. La Adjuntía tiene rango de Director General.
67
Por Comisión de Justicia: 3/5 en primera votación, mayoría absoluta en segunda. Las propuestas
procederán de un Comité de selección tras convocatoria pública (vid. Estatuto AEPD).
68
Órgano colegiado de asesoramiento del Presidente de la AEPD, sin perjuicio del asesoramiento jurídico
de la AEPD a través de un convenio con la Abogacía General del Estado-Servicio Jurídico del Estado.

13
 ● Reparto de competencias ejecutivas entre estas autoridades estatal y autonómicas:
/ Respecto a ficheros estatales y todos los privados (aun radicados en territorio
autonómico y creados en ámbitos competenciales autonómicos, según la STC 290/2000, de
30 de noviembre): a la AEPD.
/ Respecto a ficheros creados o gestionados por las Comunidades Autónomas o
Administraciones Locales de su ámbito territorial: a la correspondiente Autoridad
autonómica (precisado en art. 57 LOPDGDD).
● Entre las principales competencias ejecutivas (sin perjuicio de la tutela judicial, en
particular, indemnizatoria solo ante la Jurisdicción correspondiente; con amparo ordinario69
y, tras agotar la vía judicial, amparo constitucional e incidente de nulidad de actuaciones en
su caso), se encuentran la tutela de los derechos de los interesados y la inspección-sanción
en la materia (aparte de potestad normativa a través de circulares, función consultiva70,
acción exterior y elaboración de una Memoria anual). Así, los arts. 63 y ss. LOPDGDD
regulan los siguientes 2 procedimientos administrativos por parte de la AEPD:
a/ Procedimientos de reclamación por la falta de atención de una solicitud a responsable
o encargado: tras 1 mes (prorrogable por 2 meses más) desde recepción de la solicitud por
responsable o encargado (art. 12.3 RGPD) – necesario acuerdo de admisión a trámite por
AEPD (inicio con notificación; causas de inadmisión: art. 65.2 LOPDGDD) – tras 6 meses
desde notificación de acuerdo de admisión sin resolución: silencio positivo.
b/ Procedimiento sancionador (a responsables, encargados… pero no al delegado;
tampoco sector público salvo art. 77 LOPDGDD)71: necesario acuerdo de inicio (por propia
iniciativa o como consecuencia de reclamación; si hay reclamación, necesario su admisión a
trámite y luego acuerdo de inicio, y entonces un mismo procedimiento para reclamación y
sanción ex art. 69.3 LOPDGDD) – tras 9 meses desde fecha de acuerdo de inicio sin
resolución: caducidad y archivo.

IV. ADAPTACIÓN DEL INSTITUTO A LOS CICLOS TECNOLÓGICOS :

El derecho a la privacidad ha tenido que ir adaptándose a los distintos ciclos tecnológicos en aras de
proporcionar una respuesta integral a la sociedad tecnológica que cubra todos los focos de vulnerabilidad
de la información personal, en una secuencia interrelacionada marcada por los distintos estadios de
protección: informática, telecomunicaciones, internet, servicios OTT, tecnologías disruptivas.

Hay que tener en cuenta que las comunicaciones electrónicas han exigido una regulación complementaria
de la común de privacidad para sus riesgos específicos (tratamientos invisibles). En el bien entendido de
que el Derecho común de privacidad (hoy, RGPD y LOPDGDD) también se aplica a las comunicaciones
electrónicas, como internet, pero solo en lo no regulado específicamente por las normas especiales de
privacidad electrónica (ley especial), esto es, además de en organización y responsabilidad, respecto a los
riesgos generales que en las comunicaciones electrónicas se presentan si cabe con mayor agresividad (por
ejemplo, el derecho al olvido): especialmente claros son el considerando décimo de la Directiva
2002/58/CE72 y el considerando 173 RGPD73 (a sensu contrario, art. 95 RGPD y disposición adicional 11
de la LOPDGDD):

69
Con preferencia y sumariedad: abreviado penal (LECrim), ordinario civil pero con preferencia y
Ministerio Fiscal (LEC), y especial de derechos fundamentales contencioso-administrativo con Ministerio Fiscal
(LJCA). Más Jurisdicción social y militar.
70
En particular, normas con incidencia en privacidad y sobre tratamientos estadísticos (aun autonómicos).
Además, adopta criterios en la relación privacidad-transparencia junto con el Consejo de Transparencia y Buen
Gobierno (art. 5 Estatuto AEPD).
71
Cabe sanción a otra Administración ex art. 77 LOPDGDD: amonestación más disciplinarias (no
responsabilidad penal).
72
«En el sector de las comunicaciones electrónicas es de aplicación la Directiva 95/46/CE, en particular
para todas las cuestiones relativas a la protección de los derechos y las libertades fundamentales que no están
cubiertas de forma específica por las disposiciones de la presente Directiva, incluidas las obligaciones del responsable
del tratamiento de los datos y los derechos de las personas» [aplicándose asimismo] «a los servicios de
comunicaciones electrónicas que no sean de carácter público».
73
«El presente Reglamento debe aplicarse a todas las cuestiones relativas a la protección de los derechos y
las libertades fundamentales en relación con el tratamiento de datos personales que no están sujetas a obligaciones
específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo,
incluidas las obligaciones del responsable del tratamiento y los derechos de las personas físicas […]».

14
 a) RIESGOS GENERALES (también para comunicaciones electrónicas): Directiva 95/46/CE:
marco general, inicialmente por el impacto informático sin perjuicio de su extensión también a
ficheros no automatizados. Derogada por el RGPD.
b) RIESGOS ESPECIALES de comunicaciones electrónicas:
1. Directiva 97/66/CE: primera Directiva específica en traducir las reglas de información y
consentimiento a los riesgos específicos que entrañaban las tradicionales
telecomunicaciones, en especial en su salto digital (telefonía sobre todo).
2. Directiva 2002/58/CE: sustituye a la Directiva 97/66/CE por su sobrevenido anacronismo
con la realidad de las «comunicaciones electrónicas», especialmente de internet y servicios
convergentes.
3. Propuesta de Reglamento ePrivacy de 2017, que derogará la Directiva 2002/58/CE:
● Uniformidad a través de un Reglamento de directa aplicación, sin perjuicio de las
necesarias concreciones intenas.
● Extiende su aplicación a los proveedores de servicios de transmisión libre /
comunicaciones «over-the-top» o «por encima» (OTT) / servicios de comunicaciones
interpersonales independientes de la numeración (SCIIN74): servicios de voz por
protocolo de internet, la mensajería y los servicios de correo electrónico basados en la
web (WhatsApp, Facebook Messenger, Skype, Gmail, iMessage o Viber): servicios de
transmisión prestados a través de redes (normalmente internet) de otro operador, sin
mediar pues control o gestión alguna por estos operadores de red (como los servicios
audiovisuales OTT). Para ello, la Propuesta de Reglamento acoge el nuevo concepto de
servicios de comunicaciones electrónicas del Código Europeo de Comunicaciones
Electrónicas (Directiva 2018/1972, de 11 de diciembre, derogatoria del paquete de
Directivas de 2002). Esta extensión a todos los responsables del tratamiento, de una
manera tecnológicamente neutra, constituye uno de los elementos esenciales y positivos
de la reforma, por cuanto la Directiva 2002/58/CE (a diferencia del régimen general de
privacidad) no cubría estas técnicas de transmisión libre por parte de los agentes que
operan «por encima de la Red», pese a ser funcionalmente equivalentes y albergar por
tanto un potencial similar para afectar a los derechos de los ciudadanos.
/Aunque desde 21/12/2020 (fecha de derogación de la Directiva 2002/21/CE
por el Código, a cuyas definiciones hay que remitirse) la Directiva 2002/58/CE ya se
aplica a los servicios OTT75. No obstante, por lo que se refiere a la LGT de
transposición del Código, si bien ya regula, aunque con un régimen más liviano76, los
«servicios de comunicaciones interpersonales independientes de la numeración» (SCIIN
u OTT), los excluye de los derechos específicos de privacidad electrónica (aunque sí los
sujeta al menos al secreto de las comunicaciones, con las obligaciones de seguridad y
notificación de brechas ex art. 60 LGT; no así a la interceptación legal como límite al
secreto de las comunicaciones ex art. 58.4 LGT), desconociendo que desde 21/10/2020

74
Definición en Anexo II de la LGT.
75
Ya con anterioridad, según el Documento de trabajo sobre evaluación de impacto que acompaña a la
Propuesta de Reglamento ePrivacy, de 10 de enero de 2017 [SWD (2017) 3], «algunos Estados miembros han
ampliado las disposiciones de la Directiva 2002/58/CE a los servicios de OTT. España, Reino Unido, Austria,
Francia, Estonia, Croacia, Finlandia, Dinamarca, Letonia, Noruega, Países Bajos, Alemania y España consideran el
VoIP (servicios de voz sobre Protocolo de Internet) con acceso al número de teléfono como un servicio de
comunicaciones electrónicas. Por el contrario, el VoIP entre iguales no constituye dicho servicio por parte de los
países antes mencionados». De hecho, la STJUE de 5 de junio de 2019, Skype/IBPT (C-142/18) consideró que «[…]
el suministro, por parte del creador de un programa informático, de una funcionalidad que ofrece un servicio “Voice
over Internet Protocol” (VoIP) que permite al usuario llamar a un número fijo o móvil de un plan nacional de
numeración a través de la red telefónica pública conmutada (RTPC) de un Estado miembro a partir de un terminal
constituye un “servicio de comunicaciones electrónicas” en el sentido de» la anterior Directiva 2002/21/CE del
Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los
servicios de comunicaciones electrónicas (Skype, que utiliza los dos sistemas de internet y red telefónica, a diferencia
de WhatsApp).
76
No necesaria la previa notificación al Registro General de Operadores para el suministro de redes o
prestación de servicios de comunicaciones electrónicas (solo comunicación a efectos estadísticos y censales ex art.
6.2 y 6, y disposición adicional 21 LGT), no pago consiguientemente de la tasa general de operadores, y no asunción
de gestión directa estatal de redes/servicios por seguridad pública o nacional conforme al art. 4.6 LGT y 58 LOPJ
(pero sí medidas de seguridad y notificación de brechas de sistemas de información y redes, como de datos personales
en comunicaciones electrónicas).

15
 la Directiva 2002/58/CE también se aplica a dichos servicios77. Por si fuera poco, desde
el principio la Directiva 2002/58/CE y su transposición se aplican a cualquier sujeto (no
solo operadores) en caso de spam (por lo que la exclusión de la OTT es especialmente
grave en el caso del spam)78.
● Mayor protección específica a abonados y usuarios, a la vez de simplificación de las
obligaciones en aras de mayores oportunidades comerciales de innovación
(excepcionales oposición y tratamientos legales; centralización técnica cookies). Pero,
al reconocer prácticamente al consentimiento expreso como único título legitimador de
los tratamientos, provoca serias reticencias para el modelo de negocio de la industria
publicitaria y ofertante de servicios gratuitos a cambio de publicidad.
/ Aunque la LGT considera aplicable de forma controvertida ya el
consentimiento expreso del RGPD a los derechos de privacidad electrónica, al remitirse
el art. 66.5 LGT desde el Anteproyecto al consentimiento expreso del RGPD y
LOPDGDD, con base en el CEPD:
~ Por un lado, a diferencia de OTT, si bien es cierto que la Directiva
2002/58/CE se remite al concepto de consentimiento de la Directiva 95/46/CE, y las
referencias a esta Directiva derogada deben considerarse hechas al RGPD según su art.
94.2, NO consentimiento expreso por esta vía dado que el art. 95 RGPD afirma que no
impone obligaciones adicionales a Directiva 2002/58/CE.
~ Pero, para el CEPD (y TJUE en cierta medida79), «los requisitos relativos al
consentimiento en virtud del RGPD no se consideran como una “obligación adicional”,
sino más bien como condiciones previas para un tratamiento lícito de los datos. Por lo
tanto, los requisitos estipulados en el RGPD para obtener un consentimiento válido se
aplican a situaciones que entran dentro del ámbito de aplicación de la Directiva sobre la
privacidad y las comunicaciones electrónicas» (Directrices 5/2020 sobre consentimiento
en el sentido del RGPD, de 4 de mayo de 2020). Es decir, LGT no aplica lo que es claro
(OTT) y sí aplica lo que es controvertido (consentimiento expreso): deficiente
transposición. Y, además, si ya resuelto OTT y consentimiento expreso, ¿para qué un
Reglamento ePrivacy?
c) RIESGOS GENERALES Y ESPECIALES: tecnologías disruptivas (tecnologías habilitadoras
digitales80), en la medida en que acentúan tanto los riesgos generales como los especiales de las
comunicaciones electrónica:
● Entre estas tecnologías emergentes de la cuarta revolución industrial, tecnologías
basadas en la gestión masiva y autónoma del dato, se encuentran la inteligencia
artificial y su aplicación a la robótica: con actuaciones comparables a las humanas,
como el aprendizaje o el razonamiento lógico a través de algoritmos; la cadena de
bloques (blockchain): tecnología sinérgica o complementaria desde la perspectiva de la
veracidad de los flujos de datos, al soportar para los nuevos modelos económicos la
trazabilidad y seguridad sin intermediarios; los productos o servicios de la «internet de

77
Según la Exposición de Motivos de la LGT, «el Código no refunde la Directiva 2002/58/CE […] por
cuanto se encuentra en tramitación un proyecto de Reglamento sobre esta materia, dirigido a actualizar y sustituir a la
Directiva actualmente vigente. No obstante, la presente Ley sí recoge lo establecido en dicha Directiva que sigue
estando vigente». Pero, sin perjuicio de la aplicación del RGPD/LOPDGDD y normativa de consumo, el art. 64.2
LGT establece que «[…] las microempresas [definición en Anexo II: menos 10 personas y balance anual no supera 2
mills. €] que presten SCIIN no estarán obligadas a respetar los derechos reconocidos en este Capítulo [Derechos de
los usuarios finales] […]» (lo que encuentra origen en los considerandos 18, 95 y 255 y art. 98 del Código, como
subraya la Memoria de Impacto Normativo, pero rechaza el Informe de la AEPD sobre el Anteproyecto de la LGT
respecto al derecho fundamental de privacidad por tratarse de una limitación no proporcional, instando a incluir la
aplicación del RGPD/LOPDGDD); excluyéndose en todo caso desde el Anteproyecto los SCIIN de los derechos
específicos de privacidad electrónica del art. 66 LGT (spam, metadatos y guías/consulta, en sus apartados 1, 2 y 3),
por lo que aquí interesa (sin sorprendente alusión por el Informe AEPD).
78
Las cookies u almacenamiento sin sujeción estricta al carácter económico de los servicios de la sociedad
de la información (solo en la Directiva 2002/58/CE) son servicios de contenido on line (no de transmisión, como las
OTT).
79
Véase por ejemplo la STJUE de 27 de octubre de 2022, Proximus NV, C-129/21, apartado 51, respecto a
la exigencia de consentimiento expreso como fundamento para la publicación de datos personales en guías telefónicas
y en servicios de información sobre números de teléfono accesibles al público: «por lo que respecta a las condiciones
en que se ha de manifestar ese consentimiento, del artículo 2, párrafo segundo, letra f), de la Directiva 2002/58, en
relación con los artículos 94, apartado 2, y 95 del RGPD, resulta que ese consentimiento debe cumplir, en principio,
los requisitos derivados del artículo 4, punto 11, de dicho Reglamento».
80
THD: herramientas y recursos tecnológicos de carácter disruptivo y estratégico para la transformación
digital. «Cuando teníamos las respuestas nos cambiaron las preguntas» (Jorge Enrique Adoum).

16
 las cosas»: que, como se ha dicho, «va a conducir del big data (macrodatos) al huge
data y después al all data […]»; la computación en la nube (cloud computing):
alojamiento de datos y servicios en servidores de terceras empresas accesibles desde
internet; etc.
● La incidencia de las tecnologías inteligentes para la privacidad general y especial
representa solo una de las afecciones jurídicas de la transformación digital, junto a
implicaciones de otra índole, incluidas las éticas.
● Teniendo en cuenta que estas tecnologías tienen que estar subordinadas a los derechos y
valores superiores de nuestro sistema jurídico, como líneas rojas para la libertad y
seguridad, ¿el derecho de privacidad está garantizado en este entorno por el actual
sistema jurídico, o son necesarias nuevas reglas?81:
/ Los diferentes documentos aprobados en el marco de la Estrategia Europea
sobre Inteligencia Artificial han llamado la atención sobre la pertinencia de la
aplicación de determinados preceptos del RGPD al tratamiento de datos personales en
superinteligencia: excepcionalidad y transparencia de las decisiones individuales
automatizadas/perfiles82, la privacidad desde el diseño (integrar los principios de
privacidad en el diseño de cualquier sistema, aplicación o tecnología) y por defecto
(limitar por defecto el tratamiento a los datos imprescindibles para su finalidad, en
cuanto a la cantidad de datos personales recogidos, extensión de su tratamiento, plazo
de conservación y accesibilidad), la evaluación de impacto del tratamiento y la
autorregulación. Y, en el campo de los riesgos concretos para la privacidad en las
comunicaciones electrónicas, la Propuesta de Reglamento eprivacy, con su principio de
confidencialidad, es aplicable a la transmisión de comunicaciones de máquina a
máquina, esto es, a la «internet de las cosas», en cuanto transporte de señales a través de
una red y, por ende, servicio de comunicaciones electrónicas (considerando
duodécimo).
/ Con todo, será necesario alumbrar soluciones para conjugar las tensiones
entre tecnología y privacidad, como ha hecho el Informe del Observatorio y Foro de
Blockchain de la Unión Europea sobre la aplicación del RGPD a esta tecnología, ante
los retos por ejemplo de identificar un responsable del tratamiento dentro de un sistema
de información descentralizado, o aplicar el derecho al olvido a unos datos
seudonimizados e inmutables. Teniendo que optar, en definitiva, entre seguir aplicando
la norma tecnológicamente neutra de privacidad, aunque ello suponga prescindir de
alguna de las características genuinas de la tecnología, o dar un tratamiento legal
diferenciado flexibilizando sus obligaciones.
/ De momento, en el ámbito de la Administración electrónica, la disposición
adicional sexta de la LPAC, incorporada por el Real Decreto-ley 14/2019, de 31 de
octubre, excluye los sistemas de identificación de los interesados basados en
tecnologías de registro distribuido y los sistemas de firma basados en los anteriores, en
tanto no sean objeto de regulación específica; sistemas en los que la Administración
General del Estado actuará en todo caso como autoridad intermedia para garantizar la
seguridad pública83.

V. CAPÍTULOS ESPECÍFICOS DE PROTECCIÓN DE LA PRIVACIDAD ELECTRÓNICA:

- La normativa de privacidad electrónica traslada singularmente a estos capítulos o riesgos específicos los
principios generales de protección, y sobre todo los de información, consentimiento y oposición (vertiente
negativa), bien en su versión de «opt out» (antiguo consentimiento tácito que no precisa acto formal

81
Ciberderecho, criptorregulación, lex robótica, ius algoritmia.
82
Arts. 22, 13.2.f) y 14.2.g) RGPD.
83
Los sistemas de identificación electrónica y firma electrónica de los interesados en los procedimientos
administrativos establecidos en la LPAC (arts. 9 y 10) y LRJ (para ambos: certificados de firma electrónica –como
DNIe– y certificados de sello electrónico, además de claves electrónicas concertadas a través de la plataforma
Cl@ve) no han sido modificados por la actual regulación de la firma electrónica para prestadores públicos y privados
(disposición adicional 1 de la Ley 6/2020), si bien introduce nuevos sistemas de firma-confianza electrónicas:
Reglamento (UE) núm. 910/2014, 23 de julio, derogatorio de la Directiva 1999/93/CE, y Ley complementaria
6/2020, 11 de noviembre, Servicios Electrónicos de Confianza, derogatoria de la Ley 59/2003, 19 de diciembre, de
Firma Electrónica (que transpuso la Directiva 1999/93/CE).

17
alguno o derecho de oposición), bien de «opt in» (consentimiento expreso que exige acto formal de
aceptación), como único sistema de licitud de los tratamientos. La Propuesta de Reglamento ePrivacy
hace suya la regla de «opt in», al remitirse al consentimiento expreso del RGPD, sin perjuicio de
mantener algunos derechos de oposición (sin excepción, como spam menos lesivo e inclusión de
personas jurídicas en guías) y excepcionales tratamientos legales (sin oposición, como cookies de
audiencia, tratamiento de metadatos por calidad, seguridad o fraude).

- El ámbito de protección de la privacidad electrónica es muy extenso:

1/ Alcance objetivo: servicios de comunicaciones electrónicas (transmisión: telefonía, internet,

radiodifusión sonora y televisiva) –concepto más avanzado de estos servicios en los que se incluyen los
servicios OTT/SCIIN– y también servicios de la sociedad de la información84, que incluyen servicios de
contenido en internet (Directiva 2000/31/CE, de 8 de junio, de comercio electrónico: no agotan todos los
servicios de contenidos electrónicos ni reúnen solo servicios de contenidos, al incluir también de
transmisión como el acceso a internet: «servicio prestado normalmente a cambio de una remuneración, a
distancia, por vía electrónica y a petición individual de un destinatario de servicios»). Lo que ha
determinado alguna disfunción regulatoria en la trasposición interna.
2/ Alcance subjetivo:
● Corolario de lo anterior, frente a operadores de redes y proveedores de servicios de
transmisión; prestadores de servicios de contenidos85; entidades que prestan el servicio
de guías y consulta telefónica; y cualesquiera sujetos en el caso del spam en Directiva
2002/58/CE y normativa interna (todos aun encargados).
● Y en favor de abonados (contratan el servicio) o usuarios (utilizan el servicio), sean
personas físicas (derechos) o personas jurídicas (intereses legítimos), a diferencia de la
regulación general de la privacidad relativa solo a las personas físicas.
3/ Alcance territorial: clara vocación universal del RGPD (como regla general, se aplica a
tratamientos de datos personales por responsables o encargados establecidos en la Unión con
independencia de que dicho tratamiento tenga lugar o no en la misma) y Propuesta de Reglamento
ePrivacy (se aplica a los usuarios finales en la Unión Europea aunque los prestadores no estén
establecidos en ella).

- Riesgos/tratamientos específicos regulados:

a) Secreto o confidencialidad de las comunicaciones (electrónicas). Remisión (lo más

importante: eje de protección):

● Art. 18.3 Constitución, 5 Reglamento ePrivacy, 4 y 5 Directiva 2002/58/CE,

Reglamento (UE) 611/2013, 58 y ss. LGT, 83 y ss. RD 424/2005 (en privacidad
general: arts. 32 y ss. RGPD).
● Frente a riesgos de destrucción, pérdida o alteración, y también de acceso y difusión no
autorizados por terceros a información transmitida (contenido con datos personales) o
tratada (metadatos necesarios para la transmisión). Derecho al secreto general de las
comunicaciones en favor de todos (vertiente negativa).
● Como continuidad, entre las obligaciones del responsable del tratamiento/operadores,
adopción de medidas de seguridad para garantizar un nivel de seguridad adecuado al
riesgo del tratamiento, y notificación a autoridades de control y afectados de
vulneraciones de la privacidad (relacionado con obligaciones de seguridad y
notificación de redes y sistemas de información: ciberseguridad).
● Limitaciones a transmisión/acceso y a obligación de notificación a afectados de brechas
de seguridad. Entre las primeras se encuentran las interceptaciones legales en sus
distintas modalidades por medidas de investigación tecnológica de la LECrim. y Ley
Orgánica 2/2002, de 6 de mayo, reguladora del Control Judicial Previo del Centro
Nacional de Inteligencia, sujetas a autorización judicial tanto para contenido como
metadatos (art. 58 LGT, y en su caso a través de la CNMC ex art. 72.2.d LGT),
excepcionándose solo los datos de identificación no conectados con la comunicación o
localización; la interceptación técnica del art. 59 LGT, sujeta también a autorización

84
Al incluirse el spam de modo integral y las cookies o almacenamiento (estas últimas de contenido on
line).
85
Cookies o almacenamiento, ni siquiera desde el carácter económico de los servicios de la sociedad de la
información en la Directiva 2002/58/CE.

18
 judicial según la LECrim.; la obligación de cesión por operadores a la función
inspectora de la AEPD de metadatos electrónicos con fines de identificación de
presuntos responsables en materia de privacidad, en algún caso sin autorización judicial
(contencioso-administrativa) ex art. 52 LOPDGDD (de dudosa constitucionalidad al
extenderse más allá de datos de identificación, sin que parezca suficiente la exclusión
de los datos conservados conforme a la LCD, habida cuenta de que no solo estos
afectan a la inviolabilidad constitucional de las comunicaciones); con análoga previsión
de acceso a metadatos, pero bajo resolución judicial siempre, en favor de las funciones
de supervisión de la CNMV (disposición adicional 15 LOPDGDD).

b) Datos de tráfico (metadatos) y localización de las comunicaciones electrónicas (en

concreto):

● Arts. 6 a 8 Reglamento ePrivacy, 6 y 9 Directiva 2002/58/CE, 66.2 LGT, 65 y 70 RD

424/2005.
● Concepto: datos de conexión, tráfico o navegación (telefonía fija y móvil, internet) son
aquellos datos generados o tratados con carácter transitorio por el operador a efectos de
llevar a cabo la conducción de una comunicación –esto es, la prestación del servicio–,
su facturación o los pagos de interconexiones (origen y destino de la comunicación con
nombres, números o direcciones; hora, fecha y duración de la comunicación; tipo de
servicio; equipo utilizado).
* En este concepto se incluyen datos de localización, aun siendo posibles
también datos sobre localización distintos de los de tráfico, cuando resulten más
precisos de lo necesario para realizar la conexión (GPS, huella digital, rastreo de la
localización)86, con un régimen si cabe más protector («los datos de localización que se
generen en un contexto distinto al de la prestación de servicios de comunicaciones
electrónicas no han de considerarse metadatos», según el considerando 17 Reglamento
ePrivacy).
* Remisión a régimen especial de datos de identificación y dirección IP de
terminales de origen: ajenos al proceso de comunicación o localización: estáticos que
no revelan la comunicación (o ni siquiera datos de tráfico –y no este régimen de
protección en favor del general– o no aplicación de las exigencias de conservación y
cesión por seguridad pública).
● Riesgo: su peligro reside en que, más allá de la aplicación técnica de los mismos,
puedan ser objeto de tratamiento irregular para la promoción comercial o la prestación
de servicios de valor añadido, teniendo en cuenta su idoneidad para observar e
interpretar el comportamiento del usuario, configurándose a partir de ellos perfiles
sobre gustos, preferencias y hábitos personales (Stefano Rodotà: solo direcciones de
remitente y destinatario indican relaciones con empresas, políticas y sindicales,
religiosas…).
● Protección:
1/ Metadatos: conforme a reglas de cancelación, estos datos de tráfico deben
cancelarse/eliminarse o hacerse anónimos (anonimización o disociación) una vez dejen
de ser necesarios para su función técnica de la transmisión, expire el plazo para la
impugnación de la factura (y la devolución del cargo efectuado por el operador o el
pago de la factura) o para la exigencia por el operador del pago de las interconexiones;
de suerte que cualquier otro tratamiento no técnico con fines comerciales o para la
prestación de servicios de valor añadido (publicidad personalizada, información de
tarifas, orientación vial, previsiones meteorológicas, información turística, mapas
térmicos de presencia de personas, función de búsqueda o de indexación de palabras
clave, asistentes virtuales, motores de texto a voz, servicios de traducción…) precisa el
consentimiento informado (información que podrá llevarse a cabo de forma conjunta a
la facturación del servicio prestado) del abonado o usuario (pudiéndose retirar en
cualquier momento con efecto inmediato).
2/ Datos de localización distintos a los de tráfico: su tratamiento para servicios
de valor añadido exige previo consentimiento informado, salvo en el caso de llamadas
de urgencia, en especial a través del número gratuito 112 (número único europeo de
llamada de urgencia: art. 74 LGT; también restricción a mi número oculto llamante).

86
En aplicaciones de los proveedores de los servicios de la sociedad de la información.

19
 * ¿Qué tipo de consentimiento en ambos casos?:
/ Según el art. 70 RD 424/2005: consentimiento tácito u oposición para el
tratamiento comercial de los datos de tráfico (incluidos aquellos datos de localización
imprescindibles para la conexión)87; y consentimiento expreso para los datos de
localización distintos88.
/ Aunque el art. 66.2 LGT mantiene la misma dicción indeterminada del
anterior art. 48.2 LGT, hay que entender que se exige consentimiento expreso para
todos los datos al referirse el art. 66.5 LGT con carácter general al consentimiento
expreso del RGPD: controvertida aplicación del consentimiento expreso a la Directiva
2002/58/CE en los términos explicados.
/ Según Reglamento ePrivacy: consentimiento expreso para todos los datos, al
remitirse al consentimiento del RGPD (los datos de localización distintos se regulan en
el art. 8, con relación a información almacenada en equipos terminales: también
prestadores de servicios de la sociedad de la información; considerandos 17 y 20). Por
el contrario, amplía el tratamiento de metadatos a razones técnicas de calidad, seguridad
técnica o para detectar o detener el uso fraudulento o abusivo de servicios.
● Límite de la LCD y otros (remisión).

c) Cookies («chivatos») y otros identificadores de tipo «huella» y tecnologías de seguimiento

en equipos terminales (ordenador, tableta, teléfono inteligente…)89:

● Arts. 8 y 10 Reglamento ePrivacy, 5.3 Directiva 2002/58/CE, 22.2 LSSI.

● Concepto: fichas de información informatizada enviadas (almacenamiento) desde un
servidor web o terceros al terminal con objeto de almacenar en el mismo a modo de
pequeños archivos los datos del usuario y sus distintos comportamientos durante la
sesión de navegación, de modo que, en sucesivas visitas a dichos websites o banners
publicitarios, esa información de cliqueo grabada en el terminal pueda ser recuperada
(acceso), actualizada y tratada para los más diversos fines, como verificar la identidad
de los usuarios, analizar la efectividad del diseño u ofrecer publicidad
personalizada/dirigida/comportamental/segmentada en línea a partir del perfil
predictivo.
● Clases (tratamiento de información persistente de los usuarios): en función de la entidad
que las gestiona (propias y de terceros), del plazo en que permanecen activas (de sesión
y persistentes), de su finalidad (técnicas, de análisis y publicitarias)…
● Protección:
1/ Evolución de la forma del consentimiento: tras la ambigüedad de la
normativa comunitaria y redacción de 2003 del art. 22.2 LSSI sobre si exigía
consentimiento expreso («opt in») o un mero derecho de negativa u oposición («opt
out»), el Informe 0011/2014 de la AEPD lo interpretó como consentimiento expreso (a
raíz de la redacción de 2012 del art. 22.2 LSSI y sobre la base de Dictámenes del GT
art. 29). Y ya indubitadamente el art. 8.1.b) de la Propuesta de Reglamento ePrivacy de
2017. Por ello, sorprende la vinculación del RGPD con la regla del consentimiento
expreso en esta materia [además controvertida aplicación del consentimiento expreso a
la Directiva 2002/58/CE en los términos explicados].
2/ Prohibición de los tracking/cookie walls («muros de seguimiento/rastreo o
de cookies): frente al considerando vigésimo quinto in fine de la Directiva 2002/58/CE,
la versión modificada de la Propuesta de Reglamento ePrivacy a cargo del colegislador
incluye ya en su art. 8, a fin de equipar su nivel de protección con el RGPD (art. 7.490) y

87
Según el Real Decreto 424/2005, tal negativa pueda efectuarse mediante un envío prefranqueado o
llamada a un número telefónico gratuito o a los servicios de atención al cliente.
88
Según el Real Decreto 424/2005, se entenderá que existe consentimiento expreso cuando el usuario o el
abonado se dirijan al sujeto obligado y le soliciten la prestación de los servicios con valor añadido que exijan el
tratamiento de sus datos de localización.
89
En general, capacidades de almacenamiento en equipos terminales (y acceso en su caso; no por usuario;
han de preguntar): incluidos los datos cualificados de localización, registro de contactos y llamadas, o aplicaciones de
rastreo de contactos y envío de alertas de la COVID-19 (no ubicación por tecnología Bluetooth). Según la STJUE de
1 de octubre de 2019, Federación/Planet49 GmbH (C-673/17), «esta protección se aplica a toda información
almacenada en dicho equipo, con independencia de si se trata de datos personales o no […]».
90
«Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el
hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al
consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato».

20
 LOPDGDD (art. 6.3) en lo que se refiere al consentimiento libre, la previsión de que no
se denegará a ningún usuario el acceso a ningún servicio o funcionalidad de la sociedad
de la información, independientemente de que dicho servicio sea remunerado o no, por
el hecho de no haber dado su consentimiento al tratamiento de datos personales o a la
utilización de las capacidades de tratamiento o almacenamiento de su equipo terminal
que no sean necesarias para la prestación de dicho servicio o funcionalidad. Sin
embargo, la Directiva (UE) 2019/770, de 20 de mayo de 2019, relativa a determinados
aspectos de los contratos de suministro de contenidos y servicios digitales (y su
transposición por el TR Ley General Defensa de Consumidores y Usuarios), se aplica
tanto a los contratos de suministro de contenidos o servicios digitales a cambio de un
precio, como a cambio de facilitar y permitir el tratamiento de datos personales como
modalidad cada vez más habitual en el mercado digital (primera norma reconocedora de
monetización de datos: por ejemplo los que se dan para abrir cuentas en redes sociales o
compras en línea, pero también a través de cookies esenciales para la publicidad
personalizada/segmentada que se extienden más allá de los contratos incluso de bienes;
de lo contrario contra libertad de empresa y solo servicios de pago o gratuitos de baja
calidad; en todo caso se parte ficticiamente –pues convergen– de que consentimiento
para el tratamiento de datos es distinto al consentimiento contractual y aquel según
normativa de protección de datos, incluido su carácter libre, pues datos personales son
derecho, no mercancía).
● Límites: simplificación de la carga del consentimiento para empresas de la sociedad de
la información y consumidores (aparte de la navegación privada o en modo incógnito, y
las propuestas de sustitución de las cookies de terceros por otras tecnologías91):
1/ Centralización de la política de cookies a través de la configuración técnica
del navegador y otras aplicaciones (concurso entre Derecho y técnica a través de las
llamadas tecnologías de protección de la intimidad o PET): art. 10 Reglamento
ePrivacy, con la oposición de la industria de publicidad digital, exige que, para que
puedan ser instalados, informen sobre los riesgos y soliciten el consentimiento a los
usuarios finales respecto de una determinada configuración de confidencialidad, según
distintos niveles, con su exclusión por defecto incluso (protección de datos por
defecto92) según la versión modificada del colegislador europeo (no consentimiento por
defecto), sin perjuicio de que los editores (sitios web) puedan solicitar la
reconsideración de la política de cookies.
2/ Ampliación de los supuestos en que no se exige consentimiento para
aquellas cookies con menor impacto sobre la privacidad en comparación a su valor
estratégico comercial: a las cookies necesarias para efectuar la transmisión de una
comunicación o para la prestación de un servicio de la sociedad de la información
solicitado por el usuario final, previstas en la actualidad, la Propuesta de Reglamento
ePrivacy de 2017 suma a aquellas necesarias para medir la audiencia en la web, esencial
para la publicidad, siempre que esa medición corra a cargo del proveedor del servicio de
la sociedad de la información solicitado por el usuario final. Con todo, seguirá siendo
necesario recabar el consentimiento al menos para el uso de las cookies de complemento
(plug-in) de contenidos sociales para el seguimiento93, de publicidad, de análisis o
medición estadística de audiencia de los sitios web cuando procedan de terceros, y las
denominadas ever-cookies o zombie-cookies que permanecen en el terminal del usuario
a pesar de los esfuerzos para su eliminación.

d) Comunicaciones comerciales no solicitadas o comunicaciones de mercadotecnia directa

(spam94):

91
Privacy Sandbox de Google: sigue garantizando la publicidad personalizada para los anunciantes (las
cookies de terceros han sido la base de la publicidad digital) pero a la vez protege la privacidad al basarse en intereses
de grupos de personas en vez de individualmente.
92
La mayoría de navegadores están configurados por defecto para «aceptar todas las cookies».
93
Permiten compartir contenidos en redes sociales.
94
Origen del término: «Spiced Ham»: carne en lata de baja calidad, que llegó a convertirse en una marca
genérica.

21
 ● Arts. 16 Reglamento ePrivacy y 13 Directiva 2002/58/CE (generales), 61.1 LGT y 69
RD 424/2005 (llamadas y fax), 21 y 22.1 LSSI (correo electrónico y mensajes de datos
a terminales fijos y móviles)95.
● Concepto y riesgo: envío masivo de comunicaciones electrónicas no solicitadas con
fines de venta directa, a través del tratamiento de nombres, direcciones u otros datos
personales96 dirigido a la publicidad y prospección comercial.
* Queda fuera la mercadotencia directa por interés legítimo que no se efectúe a
través de comunicaciones electrónicas (recopilación de direcciones, reparto de
documentos, publicidad, venta a distancia, prospección comercial y otras actividades
análogas): exigen derecho de oposición (se dejarán de tratar los datos sin excepción),
según arts. 21 RGPD y 23 LOPDGDD (sistemas de exclusión publicitaria).
● Protección:
1/ SPAM MÁS AGRESIVO: por llamadores telefónicos automáticos, fax, mensajes
de correo electrónico/emails97 o mensajes SMS/MMS (Short/Multimedia Messaging
Service): consentimiento expreso revocable (sistema de «opt in»).
* Excepción: el envío de propaganda electoral por medios electrónicos no
tendrá la consideración de comunicación comercial, sorteándose así, por lo que se
refiere al spam electrónico más lesivo, la exigencia de consentimiento expreso (solo
derecho de oposición): nuevo art. 58 bis, apartado 3, LOREG (LO 5/1985)98,
introducido por disposición final 3 LOPDGDD99. Oposición al envío postal electoral a
través de página web del Instituto Nacional de Estadística. Sí permitido (no derecho de
oposición) el «buzoneo» (sin identificación del destinatario) en cualquier mercadotecnia
postal (Instrucción 1/2021 respecto «buzoneo» electoral).
2/ SPAM MENOS LESIVO: por llamadas de telefonía con intervención humana
(«de voz a voz») y mensajes de correo electrónico o mensajes SMS/MMS que traigan
causa de una relación comercial preexistente (publicidad por la misma empresa para
productos similares, con posibilidad de rechazo tanto en el momento de recabar la
dirección electrónica como con cada nuevo email): derecho de oposición (sistema de
«opt out»), mantenido por Reglamento ePrivacy, priorizando el valor comercial,
dejando incluso indeterminada la tutela frente a cualquier tipo de spam dirigido a
personas jurídicas.
* Oposición por ejemplo a través de listas de exclusión voluntaria o listas
Robinson100 (art. 23 LOPDGDD): como la gestionada por la AEPD y la Asociación
Española de Economía Digital (https://www.listarobinson.es/). Con la obligación
empresarial de consultarlas en las campañas publicitarias para excluir de las mismas a
las personas inscritas (incluye teléfono, correo electrónico, SMS/MMS, correo postal).
* También reconocido el derecho de oposición desde la perspectiva de las
prácticas comerciales desleales con los consumidores o usuarios, en cuanto prácticas
agresivas por acoso, entendiendo por tales las comunicaciones comerciales electrónicas
no solicitadas y reiteradas según el art. 29.2 Ley 3/1991, de 10 de enero, de
Competencia Desleal, tras la reforma de 2009, conforme Directiva 2005/29/CE (sin
95
Régimen de comunicaciones comerciales audiovisuales en la Ley 13/2022, de 7 de julio, General de
Comunicación Audiovisual, y de comunicaciones comerciales (presenciales y electrónicas) de las actividades de
juego en el Real Decreto 958/2020, de 3 de noviembre.
96
«Buzoneo» (sin identificación del destinatario) fuera del régimen de protección de datos (Instrucción
1/2021, respecto propaganda electoral postal).
97
Se consideran también spam los mensajes de publicidad mostrados en el mismo espacio reservado a los
correos electrónicos en la bandeja de entrada, a diferencia de los banners publicitarios o ventanas emergentes que
aparecen junto o de forma separada a la lista de correos. Sin que la determinación aleatoria de los destinatarios de los
mensajes tenga alguna consecuencia para la calificación de spam (STJUE de 25 de noviembre de 2021, StWL/eprimo
GmbH, C-102/20).
98
El apartado 1 de este art. 58 bis LOREG fue declarado inconstitucional por STC 76/2019, de 22 de mayo,
fruto de un recurso de inconstitucionalidad interpuesto por el Defensor del Pueblo, tras una Circular interpretativa de
la AEPD, que legitimaba por interés público a los partidos políticos a recopilar datos personales relativos a las
opiniones políticas (especiales) «bajo las garantías adecuadas», al apreciar tres tachas de inconstitucionalidad (no
regulación de la finalidad y condiciones de la injerencia, ni las garrantías) vinculadas a la infracción por el legislador
de la reserva de ley (insuficiencia de la misma) y del contenido esencial, requisitos para la constitucionalidad de la
restricción al derecho fundamental.
99
Téngase en cuenta que, según el considerando 32 de la Propuesta Reglamento ePrivacy y el Dictamen
01/2017 del GT art. 29 sobre la misma (ref. 17, WP 247), la mercadotecnia ha de incluir los mensajes enviados por
los partidos políticos con fines de propaganda política (no solo económica).
100
En alusión al solitario protagonista de la novela de Daniel Defoe.

22
 perjuicio de la normativa de privacidad electrónica). Aparte del Código
Deontológico/autorregulación.
\\ PERO art. 66.1.b) LGT (a diferencia del 48.1 anterior LGT y RD 424/2005):
las llamadas de telefonía con intervención humana (solo) se sujetan a «consentimiento
expreso o a cualquier otra base de legitimación del art. 6.1 RGPD»: con independencia
de que el legislador haya querido restringir este spam al consentimiento101 (solo se
aludía al consentimiento expreso con la vacatio legis de 1 año en el Dictamen de la
Comisión del Congreso, modificando el Proyecto de Ley), la alusión final (ya en la
aprobación final por el Pleno del Congreso) a otras bases como el interés legítimo puede
suponer una menor protección para la privacidad porque la oposición incluso frente a
este interés legítimo es más restrictivo que el anterior, teniendo en cuenta todo lo
siguiente: 1) No sigue la doble opción de consentimiento u oposición de la Directiva
2002/58/CE; 2) El RGPD no aplicable a los riesgos específicos de la privacidad
electrónica, aunque se busque la coherencia con él (art. 95 RGPD, y más allá de
consentimiento expreso); 3) el sistema (negativo) de privacidad electrónica es distinto al
del RGPD (opt in o consentimiento expreso / opt out o antiguo consentimiento tácito
con oposición sin excepción / algún tratamiento legal muy excepcional que se especifica
sin oposición); 4) en el Proyecto Reglamento ePrivacy constituye uno de los pocos
casos en que se admite la oposición, además de diferenciar entre personas físicas y
jurídicas; 5) hay bases legales del RGPD sin derecho de oposición (aunque también es
verdad que se conectan difícilmente con el spam); 6) se separa del otro supuesto de
spam menos lesivo (oposición) y de la regulación pareja de las prácticas comerciales
desleales (oposición); 7) y (lo peor) mientras la mercadotecnia presencial se sujeta a
interés legítimo con derecho a oposición sin excepción, el spam sujeto a otras bases,
como el interés legítimo, el derecho a oposición está sujeto a condicionantes generales
(art. 21 RGPD), sin perjuicio de los criterios de ponderación e incluso presunciones
legales en favor de la prevalencia del interés legítimo.
_ En cualquier caso, quedan prohibidos mensajes donde se oculte la dirección del
correo electrónico remitente o número de llamada (prohibición de número oculto);
debiéndose indicar asimismo el carácter comercial de la comunicación e identidad del
remitente.

e) Guías públicas –impresas o electrónicas– de abonados a los servicios de comunicaciones

electrónicas (números fijos y móviles, correo electrónico), y servicios de consulta sobre
números de abonados:

● Arts. 15 Reglamento ePrivacy; 12 Directiva 2002/58/CE; 66.3 y 72 LGT; 67, 68 y

disposición transitoria séptima del RD 424/2005 (privacidad). Conexión con servicio
universal (interés público): arts. 37 y ss. LGT; 27, 30 y 31 RD 424/2005.
● Servicio universal:
/ El interés público asociado tradicionalmente a estos servicios, cuyo máximo
exponente es su consideración como elementos integrantes del servicio universal dentro
del mercado liberalizado de telecomunicaciones, ha determinado un impacto restrictivo
sobre las reglas de privacidad de los datos personales concernidos (límite del interés
público, pero menguante).
/ Servicios universales son aquellos cuya prestación se garantiza a todos los
usuarios finales con independencia de su localización geográfica, con una calidad
determinada y a un precio asequible, cuando no son satisfechos por el mercado
competitivo pese a su carácter esencial.
/ 4 prestaciones tradicionales de servicio público:
_ Servicios de comunicaciones vocales desde una ubicación fija, que a su
vez proporcione un acceso a una internet de banda ancha cuya velocidad mínima y
servicios asociados puedan ser actualizados102.
_ Asequibilidad de las comunicaciones vocales e internet para los
consumidores con rentas bajas o necesidades sociales especiales / y su accesibilidad por
los consumidores con discapacidad.

101
Demorando 1 año la entrada en vigor de la nueva previsión (hasta tanto derecho a oposición), según la
disposición final 6 LGT.
102
Véase la disposición adicional 30 LGT.

23
 _ Existencia de una oferta suficiente de teléfonos públicos de pago
situados en el dominio público de uso común.
_ Y existencia de una guía telefónica («impresa o electrónica, o ambas»,
según antigua LGT) gratuita y actualizada en la que figuren todos los abonados al
servicio telefónico, con independencia del operador con el que hayan contratado el
servicio; así como existencia de un servicio de consulta telefónica sobre números de
abonado.
/ Pero estos 2 últimos elementos de comunicaciones electrónicas han dejado de
formar parte del concepto de servicio universal en el Derecho europeo, comparado e
interno (ni en el Código Europeo de Comunicaciones Electrónicas, ni en los arts. 37 y
ss. de la LGT que lo transpone)103.
● Protección en privacidad (respecto servicio universal o no):
1/ Según arts. 67 y 68 RD 424/2005:
/ Consentimiento expreso para la inclusión por vez primera (aunque la
disposición transitoria séptima sometía a la regla de oposición los datos ya incluidos en
la guía telefónica universal a su entrada en vigor) de los datos mínimos de los abonados
en cualquier tipo de guía pública –impresa o electrónica– o facilitados para la prestación
de servicios de consulta telefónica (nombre y apellidos, o razón social; número o
números de abonado; dirección postal del domicilio, excepto piso, letra y escalera;
terminal específico que deseen declarar, en su caso), así como para cualquier operación
sobre otros datos adicionales (primera inclusión y sucesivas).
/ Derecho de oposición para las sucesivas incorporaciones y
actualizaciones de aquellos datos mínimos.
2/ Aunque el art. 66.3 LGT mantiene la misma dicción indeterminada del
anterior art. 48.3 LGT, podría entenderse que se exige consentimiento expreso para
todos los casos al referirse el art. 66.5 LGT con carácter general al consentimiento
expreso del RGPD: controvertida aplicación del consentimiento expreso a la Directiva
2002/58/CE en los términos explicados, y a la luz del Reglamento ePrivacy. Si bien ello
no está tan claro como en los datos de tráfico/localización, teniendo en cuenta la
diferente dicción en uno y otro caso de la Directiva 2002/58/CE y LGT. Con todo, la
STJUE de 27 de octubre de 2022 (Proximus NV, C-129/21) concluye la exigencia de
consentimiento expreso para todos estos casos –dejando a un lado la publicación por el
mismo operador de servicios telefónicos a la que no se refiere el caso de autos pero que
tampoco discrimina la Directiva–, al declarar que «se exige el “consentimiento”, en el
sentido del art. 4.11 RGPD, del abonado de un operador de servicios telefónicos para
que los datos personales de ese abonado figuren en las guías y servicios de información
sobre números de abonados accesibles al público que publican proveedores distintos de
dicho operador, consentimiento que puede prestarse bien a tal operador, bien a uno de
esos proveedores».
[Tal consentimiento expreso de los interesados (o, en su caso, derecho de
oposición) debe ser recabado por las entidades a cargo de las guías o servicios de
consulta, o bien por los operadores que asignen los números de teléfono/datos, los
cuales deberán dar curso a las solicitudes razonables de suministro de información a
través de la Comisión Nacional de los Mercados y la Competencia: facilitarán la
información a la Comisión y esta a las entidades a cargo de las guías o servicios de
consulta. Obligación extensiva a empresas de Estados distintos de la Unión Europea

103
En concreto:
a) La exigencia de una guía pública universal ya concluyó el 31 de diciembre de 2018, tras su prórroga por
la Orden ETU/1342/2017, de 20 de diciembre, al ser progresivamente sustituida por las guías en formato electrónico
o por buscadores on line de números de teléfono, contribuyendo a su bajo nivel de demanda.
b) El servicio de consulta telefónica dejó de ser una obligación de servicio universal desde 2012, debido a
que su demanda estaba suficientemente garantizada por el propio mercado, aunque el Real Decreto 1517/2018, de 28
de diciembre, ha exigido una franquicia de diez llamadas de consulta mensuales gratis a usuarios con ceguera o
discapacidad visual grave.
c) Y la exigencia de teléfonos públicos de pago en dominio público fue prolongada hasta el 31 de diciembre
de 2019 en virtud del mismo Real Decreto (siendo declarada nula la asignación automática a Telefónica por
prescindir de la licitación), y anacrónicamente por licitación durante los años 2020 y 2021, pese al progresivo
abandono del uso de terminales de uso público o cabinas, en términos de tráfico de llamadas, de ingresos y de
distribución territorial de su uso, con el consiguiente aumento de su coste neto (1 llamada semanal en 14 824 cabinas,
tras 93 años activas). Según la disposición adicional 24 LGT, las cabinas podrán reconvertirse como puntos de
conexión a internet, teléfonos de emergencias, y puntos de envío/recogida de paquetería.

24
 (STJUE de 15 de marzo de 2017, C-536/15). El art. 72 LGT también pormenoriza, a
instancias de la AEPD, los requisitos para la cesión de los datos de los operadores por la
CNMC a los servicios estadísticos oficiales (para encuestas…) sin derecho en este caso
a consentimiento/oposición de los usuarios].
3/ Art. 15 Reglamento ePrivacy: generaliza el consentimiento expreso para
todos los casos, salvo derecho de oposición para incluir datos de personas jurídicas,
profesionales y autónomos en guías. Consentimiento también de personas físicas para
habilitar funciones de búsqueda. Y para personas físicas y jurídicas derecho a
comprobar, corregir y suprimir datos.

f) Protección de datos personales en los servicios avanzados de telefonía: facturación no

desglosada (aun no exclusivo de telefonía), identificación de la línea telefónica de origen y
conectada, desvío automático de llamadas:

● Arts. 12-14 Reglamento ePrivacy, 7, 8 y 11 Directiva 2002/58/CE, 65.1 (letras j, n, ñ, o

y p) LGT104, y 66 y 71 y ss. Real Decreto 424/2005.
● Facturación no desglosada: derecho de los abonados a recibir facturas no desglosadas o
desglosadas con determinadas restricciones cuando así lo soliciten (por conciliación con
la privacidad de abonados y usuarios), frente a la regla general de desglose gratuito en
conceptos independientes por cada uno de los servicios facturados (para comprobar que
las tarifas aplicadas son correctas).
● Desvío automático de llamadas: derecho de los abonados a detener el desvío automático
de llamadas efectuado a su terminal por parte de un tercero mediante un procedimiento
sencillo y gratuito (Reglamento ePrivacy extiende el bloqueo gratuito de llamadas
entrantes a números concretos no deseados).
● Derecho a impedir que un tercer proveedor aproveche la factura de otro proveedor para
cobrar por sus productos o servicios.
● Identificación de la línea telefónica de origen (llamadas realizadas) y conectada
(llamadas recibidas):
1/ En cuanto a la preservación del anonimato de MI línea/número en el otro
teléfono:
/ Llamadas realizadas: respecto al servicio de identificación de la línea
llamante (si se presta): derecho a reservarme por un procedimiento sencillo y gratuito la
identificación de mi línea de origen (número oculto, no solo para todas las llamadas
automáticamente, sin perjuicio de que se active o desactive limitadamente, sino también
en cada llamada a través de un código).
_ No podrá ejercerse este derecho (los prestadores eliminarán esta
supresión de identificación) en llamadas de urgencia (en especial al 112 como número
único europeo de llamada de urgencia105) o cuando temporalmente el abonado a la línea
de destino haya solicitado la identificación de las llamadas maliciosas o molestas
realizadas a su línea. Tampoco en llamadas comerciales (spam).
/ Llamadas recibidas: respecto al servicio de identificación de la línea
conectada en favor de llamadas entrantes (si se presta): derecho a reservarme por un
procedimiento sencillo y gratuito la identificación de mi línea conectada (llaman a otro
con desvío de llamadas a mi número106).
2/ En cuanto a la línea de terceros llamantes a MI teléfono: respecto al servicio
de identificación de la línea llamante (si se presta): derecho por un procedimiento
sencillo y gratuito tanto a impedir la identificación de la línea de origen en las llamadas
entrantes a mi teléfono como a rechazar llamadas que no cuenten con tal identificación.

104
Con carácter general, el art. 65.2 LGT establece que «los servicios de atención al cliente mediante el
canal telefónico deberán garantizar en todo momento una atención personal directa, más allá de la posibilidad de
utilizar complementariamente otros medios técnicos a su alcance para mejorar dicha atención».
105
En todo caso, los operadores están obligados a informar gratuitamente a las autoridades (112) sobre la
localización de las personas que llaman al 112 (STJUE C-417/18).
106
«[…] Es necesario, por lo que respecta a la identificación de la línea conectada, proteger el derecho y el
interés legítimo del interlocutor llamado a impedir la presentación de la identificación de la línea a la que está
conectado realmente el interlocutor llamante, en particular en el caso de las llamadas que han sido desviadas […]»
(considerando 34 Directiva 2002/58/CE).

25
 g) Prohibición general (sea cual sea el tratamiento de origen) de publicidad personalizada
(basada en la elaboración de perfiles) en internet/servicios de la sociedad de la información
por parte de las plataformas en línea (prestadores intermediarios de internet que prestan
servicios de alojamiento y difusión de información: buscadores, redes sociales, comercio
electrónico, moodles educativos…)107 tanto a menores de edad108 como a través del
tratamiento de datos sensibles109: arts. 26.3 y 28 de la Ley de Servicios Digitales:
Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de
2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva
2000/31/CE, de comercio electrónico.
● Este Reglamento regula la responsabilidad de todos los prestadores de internet de
servicios intermediarios a empresas y consumidores (de acceso-transmisión y
alojamiento: se sigue partiendo de su exención de responsabilidad por los contenidos
ilícitos subidos, sin que tengan que supervisarlos, sustituyendo determinados preceptos
de la Directiva 2000/31/CE), pero les impone mayores obligaciones de diligencia
debida en la retirada de los contenidos ilícitos según el tipo de prestador intermediario:
todos los prestadores de servicios intermediarios (retirada o bloqueo con prontitud de
contenidos ilícitos cuando los conozcan como a través de órdenes de las autoridades,
transparencia sobre sus políticas de moderación de contenidos y restricción de
servicios), prestadores de servicios de alojamiento incluidas las plataformas en línea
(mecanismos internos de notificación y reclamación de usuarios por contenidos ilícitos,
sin perjuicio de sistemas extrajudiciales y judiciales), prestadores de plataformas en
línea (alojamiento y difusión110, donde se encuentran la prohibición de publicidad
personalizada, transparencia de la publicidad indicando por cada anuncio el anunciante
y sus destinatarios, suspensión temporal de servicios a usuarios que suban con
frecuencia contenidos ilícitos y de mecanismos de reclamaciones a usuarios que envíen
con frecuencia reclamaciones infundadas, identificación/trazabilidad de vendedores en
contratos a distancia, información a usuarios de contratos de los productos o servicios
ilícitos), y plataformas en línea de muy gran tamaño (detección y evaluación de riesgos
sistémicos, medidas de limitación/adaptación de contenidos, publicidad y algoritmos
para reducción de riesgos, auditorías independientes anuales, códigos de conducta y
cooperación).

- Riesgo general: «derecho al olvido»: capas de reconocimiento:

1/ Derecho de cancelación general de los datos personales ex arts. 17 RGPD y 15 LOPDGDD:

cancelación sin dilación indebida cuando no son necesarios para el fin, se retira el consentimiento o se
ejerce la oposición, no respondan al principio de exactitud o calidad, tratamiento ilegal…
2/ «Derecho al olvido digital», al adquirir especial dimensión en el ámbito de internet, por su
potencial lesividad y mayores dificultades a la hora de satisfacer la privacidad (hipermnesia de internet;
riesgo general en el ámbito de las comunicaciones electrónicas). Con supresión de todo enlace a los datos,
así como copias o réplicas de los mismos.
3/ «Derecho al olvido en búsquedas de internet» (genuino, originario y estricto):
● Dentro del marco del olvido digital: proyección de los tradicionales derechos de
cancelación y oposición sobre los buscadores de internet.
● Plantea en toda su intensidad la colisión entre el derecho a la libertad de información y
el de los afectados por la misma a «ser olvidados».
● Derecho a solicitar del gestor de motor de búsqueda en internet que se elimine de la
lista de resultados, obtenida tras una búsqueda efectuada a partir del nombre de una
persona, vínculos a páginas web de terceros con información personal relativa a esa
107
Esta prohibición afecta pues a estos concretos prestadores de servicios intermediarios, dejando fuera al
resto de agentes de internet, incluidos los creadores de contenido como páginas web siempre que actúen fuera de las
plataformas.
108
«Los prestadores de plataformas en línea no presentarán anuncios en su interfaz basados en la
elaboración de perfiles, tal como se define en el artículo 4, punto 4, del RGPD, mediante la utilización de datos
personales del destinatario del servicio cuando sean conscientes con una seguridad razonable de que el destinatario
del servicio es un menor».
109
«Los prestadores de plataformas en línea no presentarán a los destinatarios del servicio anuncios basados
en la elaboración de perfiles, tal como se define en el artículo 4, punto 4, del RGPD, utilizando las categorías
especiales de datos personales a que se refiere el artículo 9, apartado 1, del RGPD».
110
En principio, excluidos de las plataformas en línea (sí servicios de transmisión) los servicios de
comunicaciones interpersonales, como mensajería privada y correos electrónicos (considerando decimocuarto).

26
 persona, cuando la información sea inadecuada, inexacta, no pertinente, no actualizada
o excesiva o hubiera devenido como tal por el transcurso del tiempo, teniendo en cuenta
su naturaleza e interés público, aunque la publicación original no se borre e incluso sea
legítima (boletines oficiales o informaciones amparadas por las libertades de expresión
e información).
● Su origen se remonta a la conocida STJUE de 13 de mayo de 2014, Google Spain SL y
Google Inc./AEPD y M. Costeja (C-131/12), fruto de una cuestión prejudicial elevada
por la Audiencia Nacional en un litigio contencioso-administrativo entre Google y
AEPD, al estimar esta una reclamación para que la compañía retirara determinados
datos personales de su índice de resultados; en concreto, el enlace resultante de la
indexación por el nombre a dos páginas del periódico La Vanguardia, de 19 de enero y
9 de marzo de 1998, en las que figuraba el anuncio de una subasta de inmuebles
relacionada con un embargo por deudas a la Seguridad Social. Quedando sin embargo
ajeno al conflicto el tratamiento periodístico originario al ser considerado legal por la
AEPD en consideración a la máxima publicidad de la subasta.
● Junto con su confirmación ulterior por la jurisprudencia europea, constitucional y
ordinaria, este derecho goza hoy de reconocimiento legal en virtud del art. 93
LOPDGDD, dentro de la nueva generación de derechos digitales que recoge esta
norma, a la espera si acaso de una actualización constitucional a la era digital (amén de
principios estatutarios). De momento, una Comisión de Expertos en el ámbito estatal ha
propuesto, sin carácter normativo, una Carta de Derechos Digitales, donde el derecho a
la protección de datos personales se reconoce en el apartado 1.III (y 5.XXI). Y, en el
ámbito comunitario, la Declaración europea sobre los derechos y principios digitales
para la década digital, de 26 de enero de 2022 [COM (2022) 27 y 28], Cap. V.
● CANON hermenéutico para dirimir cada concreto conflicto entre olvido e información
(pues aquel no ampara que cada uno construya un pasado a su medida), como
concreción de los requisitos generales de limitación de derechos fundamentales, en
particular, el principio de proporcionalidad y necesidad: en concreto, para que la
libertad de información pueda llegar a considerarse prevalente sobre los derechos de la
personalidad111 y, por tanto, el «derecho al olvido» ceda frente a aquella, es necesario
que:
/ La información sea veraz. No se refiere a la verdad objetiva sino a la debida
diligencia de un profesional de la información por tratar de verificarla con carácter
previo a su difusión. Además, es necesario que el error no afecte a la esencia de la
información.
/ La información sea noticiable o tenga relevancia pública, en función de si
afecta a una persona pública o privada, sea de interés general para el público –como las
de naturaleza penal– y goce de actualidad.
/ Con impacto limitado sobre la privacidad del afectado, teniendo en cuenta la
multiplicación de la injerencia que representan la digitalización y universalización del
acceso a las hemerotecas, sobre todo cuando los enlaces obtenidos por el gestor se
dirijan a páginas web en las que figuran categorías especiales de datos.
_ La STC 58/2018 introdujo las variables de la actualidad y digitalización,
presentes a sensu contrario en las pautas de conciliación descritas en el art. 93.1
LOPDGDD.
_ Según la STJUE de 24 de septiembre de 2019, GC, AF, BH y ED/CNIL112
(C-136/17), respecto a los datos relativos a procedimientos judiciales en materia penal,
aun cuando los enlaces estén amparados por la información de los internautas, el
«gestor estará obligado, en todo caso, y a más tardar en el momento de la solicitud de
retirada de enlaces, a estructurar la lista de resultados de tal manera que la imagen
global que resulte de ella para el internauta refleje la situación judicial actual, lo que
requerirá, en particular, que en dicha lista se indiquen en primer lugar enlaces a páginas
web que contengan información al respecto» (apartado 78).

111
En cuanto al conflicto entre el derecho a la propia imagen y la libertad de información, la STC 27/2020,
de 24 de febrero (caso Facebook) confirma la STS en el sentido de que se exige consentimiento para publicar una
fotografía extraída de una red social. Las redes sociales no pueden equipararse a los lugares públicos de la LO
1/1982, ni suponen consentimiento tácito para su publicación en otro lugar. E inconstitucional (STC 2020) solo
dentro de infracción en Ley Seguridad Ciudadana el inciso “no autorizada”: difusión “no autorizada” de
imágenes/datos personales de Fuerzas y Cuerpos de Seguridad (censura previa, dependerá del caso).
112
Commission nationale de l’informatique et des libertés.

27
 ● EXTENSIÓN del alcance de este «derecho al olvido en búsquedas de internet», en
función del resultado de la ponderación:
a/ No solo puede alcanzar a los buscadores generalistas en internet, sino
también a los buscadores internos de medios de comunicación o hemerotecas digitales:
/ En cualquier caso, respecto de los buscadores generales o internos de
sitios web, solo se constriñe la indexación ad personam, de manera que el enlace
revelado en el buscador solo dejará de ser visible cuando la búsqueda se realice a través
del nombre del afectado que ha ejercido su derecho, no cuando se lleve a cabo a partir
de otra palabra conforme a un seguimiento temático, temporal, geográfico o de
cualquier otra índole. Lo que también positiviza el art. 93 in fine LOPDGDD.
/ En cuanto al alcance territorial, según la STJUE de 24 de septiembre de
2019, Google LLC/CNIL (C-507/17), la Directiva 95/46/CE y el RGPD no obligan al
gestor de un motor de búsqueda a retirar los enlaces en todas las versiones de su motor
de búsqueda, ni tampoco exclusivamente la correspondiente al Estado de residencia del
beneficiario del «derecho al olvido», sino en las versiones que correspondan al conjunto
de los Estados miembros, aunque, en caso necesario, deberá adoptar medidas que
impidan o dificulten a los internautas acceder, desde uno de los Estados miembros, a los
enlaces controvertidos que figuren en las versiones de ese motor fuera de la Unión.
Fallando así en favor de la empresa, que había sido objeto de una sanción de 100 000
euros por la CNIL francesa, al negarse a proceder tras la estimación de la solicitud a la
retirada de enlaces en todas las extensiones de nombre de dominio de su motor de
búsqueda113.
b/ Otra cosa es la eliminación o anonimización –con la supresión del nombre y
apellidos o sustitución por sus iniciales– de las noticias originales, tanto impresas como
digitales, que no siempre es admitida. De hecho, «el olvido» puede ejercerse frente al
gestor del motor de búsqueda sin acudir al editor o webmaster de la fuente original,
pues unos y otros realizan tratamientos de datos diferenciados, con legitimaciones
diferentes y con una huella también dispar sobre la privacidad, aparte de que puede ser
una carga desproporcionada requerir la eliminación de toda la información. Así, es
frecuente que la jurisprudencia no conceda el derecho frente a la noticia, impresa o
digital, como así ha sido en los casos de La Vanguardia en la STJUE de 13 de mayo de
2014, Google/AEPD; El País en la STC 58/2018, de 4 de junio; o Der Spiegel y
Mannheimer Morgen en la STEDH de 28 de junio de 2018, caso ML y WW/Alemania.
Lo que positiviza el art. 93 LOPDGDD.
● Este derecho se ejerce como cualquier derecho de cancelación y oposición: primero hay
que dirigirse al buscador como responsable del tratamiento (los mayoritarios –como
Google, Yahoo o Bing– han habilitado sus propios formularios), y, en caso de no lograr
la satisfacción del derecho, cabe solicitar la intervención de la AEPD, sin perjuicio de la
tutela judicial.
● A ello se suma el «derecho al olvido en servicios de redes sociales y servicios
equivalentes», al que se refiere el art. 94 LOPDGDD, por el que se reconoce el derecho
a la supresión de los datos personales facilitados para su publicación por servicios de
redes sociales y servicios de la sociedad de la información equivalentes, con la simple
solicitud del titular cuando hayan sido facilitados por el mismo o incluso por terceros
durante su minoría de edad, o siempre que concurran las circunstancias habilitantes del
«derecho al olvido en búsquedas de internet» cuando sean facilitados por terceros en el
resto de supuestos.

113
Si bien se reconoce que la retirada de todos los enlaces, sin limitación geográfica, en un mundo
globalizado donde la información tiene un carácer ubicuo, respondería plenamente al objetivo europeo de protección
de la información personal, el Tribunal matiza que muchos terceros Estados no contemplan esta vertiente del
«derecho al olvido» o la abordan desde una pespectiva diferente. Lo que conecta incluso con el equilibrio entre los
derechos a la privacidad y libertad de información de los internautas. Precisamente por ello, a resultas de los propios
estándares internos de ponderación, una autoridad de control o judicial de un Estado miembro podrá exigir en su caso
la retirada de los enlaces de todas las versiones del motor, pues, aunque el Derecho de la Unión no lo exige, tampoco
lo prohíbe.

28
 Luis Ángel Ballesteros Moffa,
Catedrático de Derecho Administrativo,
Universidad de León.

29