TEMA 26 PROTECCIÓN DE DATOS

1. LEGISLACIONES:
a. LEGISLACIÓN COMUNITARIA:
i. Reglamento General de Protección de Datos 2016/679
ii. Directiva (UE) 2016/680: la protección de las personas físicas en lo que respecta al tratamiento
de datos personales por parte de las autoridades competentes para fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones
penales, y a la libre circulación de dichos datos.
b. LEGISLACIÓN NACIONAL:
i. L.O 3/2018 PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS
DIGITALES.
ii. L.O 7/2021 26 DE MAYO protección de datos personales tratados para fines de prevención,
detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones
penales.
2. OTRAS LEYES:
a. Ley Orgánica 4/1997 Regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad
en lugares públicos.
b. Real Decreto 596/1999 Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997.
c. Instrucción 1/2006 8 Noviembre: Agencia Española de Protección de Datos, sobre el tratamiento de
datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
d. Ley Orgánica 1/1982 5 Mayo: Protección civil del derecho al honor, a la intimidad personal y
familiar y a la propia imagen.

LEY ORGÁNICA 3/2018 5 DICIEMBRE

PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES.

• TITULO I: DISPOSICIONES GENERALES

• TITULO II: PRINCIPIOS DE PROTECCION DE DATOS

• TITULO III : DERECHOS DE LAS PERSONAS

• TITULO IV: DISPOSICION APLICABLES A TRATAMIENTOS CONCRETOS

• TITULO V: RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

• TITULO VI : RANSFERENCIAS INTERNACIONALES DE DATOS

• TITULO VII: AUTORIDADES DE PROTECCIÓN

• TITULO VIII : PROCEDIMIENTOS EN CASO DE POSIBLE VULNERACIÓN PD

• TITULO IX: RÉGIMEN SANCIONADOR

• TITULO X:

Art. 89: Derecho a la intimidad frente al uso de dispositivos de videovigilancia y grabación.

Art. 90: Derecho a la intimidad ante el uso de GPS laboral.
Art. 91: Derechos digitales en negociación colectiva.
Art. 92: Protección de datos de los menores en internet.
Art. 93: Derecho al olvido en las búsquedas de internet.
Art. 94: Derecho al olvido en servicios de RRSS.

TÍTULO I

ARTÍCULO 1
1) Adaptar el ordenamiento jurídico al RGPD 2016/679
Establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos
personales y las normas relativas a la libre circulación de tales datos.
El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su
derecho a la protección de los datos personales.
La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados
con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
2) Art 18.4 C.E.: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de
los ciudadanos y el pleno ejercicio de sus derechos.
• Protección de datos personales: establecido en LO 3/2018 y el RGPD 2016/679
• Derechos digitales de la ciudadanía→ Titulo X de la LO 3/2018

ARTÍCULO 2 – ÁMBITO DE APLICACIÓN.

ART 2.1: Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica aplica:
Tratamiento de datos personales:
1. AUTOMATIZADOS: Parcialmente/ Totalmente.
2. NO AUTOMATIZADOS: 1º Contenidos en ficheros/ 2º Destinados a ser incluidos en un Fichero.
ART 2.2 L.O 3/2018 NO APLICA:
Tratamiento de datos personales:
1º Actividad NO comprendida en el ámbito de aplicación Do Unión.
2º Estados miembros con actividades de disposición específicas sobre política exterior y seguridad común.
3º Efectuado por una persona física en el ejercicio de las actividades personales o domésticas.

4º Llevada a cabo por autoridades competentes con fines de prevención investigación, detección o enjuiciamiento de
infracciones penales (LO 7/2021)
5º Datos personas fallecidas (con salvedades)
6º Normativa de Materias clasificadas.
ART 2.3 ¿Qué pasa con el tratamiento al que no se aplique RGPD (UE) por afectar a actividades NO comprendidas en el
ámbito de aplicación del Derecho de la Unión europea?

Se regirá por dispuesto en su legislación especifica (si hubiere)→ supletoriamente por RGPD y LO 3/2018

TRATAMIENTO REGIMEN ELECTORAL TRATAMIENTO INSTITUCIONES REGISTRO CIVIL, PROPIEDAD Y

GENERAL PENITENCIARIAS MERCANTIL

ART 2.4 y 2.5 ¿Qué pasa con el tratamiento de los datos de órganos judiciales y Ministerio Fiscal, así como la
gestión de la Oficina Judicial?

Regirá por lo dispuesto en el RGPD y la LO 3/2018 sin perjuicio de la LO 6/1985 Poder Judicial.

ARTÍCULO 3 – DATOA DE PERSONAS FALLECIDAS

Datos personales: Toda información sobre una persona física identificada o identificable.
Fichero: Conjunto estructurado de datos personales.
Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de
datos personales ya sea por procedimientos automatizados o no.
Responsable, encargado y delegado.
● En caso de fallecimiento de menores también podrán (acceder, suprimir o rectificar):
– Sus representantes legales.
– Ministerio Fiscal, (de oficio o a instancia).
● En caso de fallecimiento de discapacitados, también podrán (acceder, suprimir o rectificar):
– Anteriores (representantes legales o MF).
– Los que realicen funciones de apoyo.

TÍTULO II

ARTÍCULO 4 EXACTITUD DE LOS DATOS.

Datos exactos y actualizados en caso de ser INEXACTOS suprimirán o rectificarán sin dilación a través de
medidas razonables.

ARTÍCULO 5 DEBER CONFIDENCIALIDAD.

Garantice Seguridad Adecuada, que incluye:

❑ Tratamiento no autorizado

❑ Tratamiento ilícito

❑ Protección contra pérdida

❑ Protección contra daño accidental.

Aplicando medidas técnicas y organizativas apropiadas:

INTEGRIDAD
CONFIDENCIALIDAD
 Será complementaria a los deberes de SECRETO PROFESIONAL.

ARTÍCULO 6 TRATAMIENTO BASADO EN EL CONSENTIMIENTO DEL AFECTADO.

Manifestación de voluntad: LIBRE, ESPECÍFICA, INFORMADA E INEQUÍVOCA mediante una declaración o

una clara acción afirmativa,

ARTÍCULO 7 CONSENTIMIENTO DE LOS MENORES DE EDAD.

Un menor de edad únicamente podrá dar su consentimiento cuando sea mayor de catorce años (14 o +).

● Si da su consentimiento siendo menor de catorce (13 o -) solo será lícito si también lo da el titular de la
patria potestad o tutela.

ARTÍCULO 9 CATEGORÍAS ESPECIALES DE DATOS.

Son categorías especiales de datos aquellos cuya finalidad principal sea identificar su ideología, afiliación
sindical, religión, orientación sexual, creencias u origen racial o étnico.

TÍTULO III

ART 12: el ejercicio de los derechos se puede ejercer de forma directa o por un representante.

SOPLAR

SUPRESIÓN.
OPOSICIÓN.
PORTABILIDAD.
LIMITACIÓN.
ACCESO.
RECTIFICACIÓN.

En caso de menores de 14 años: Serán los titulares de patria potestad quienes ejerzan los Derechos

▪ Acceso

▪ Rectificación

▪ Cancelación

▪ Oposición

▪ Cualquier otro en el contexto LO 3/2018

ART.13 a 18 DERECHOS ADQUIRIDOS.

Hay una serie de derechos en materia de PD:

– ART.13 Acceso: dirigirte al responsable del tratamiento para conocer si está tratando o no tus datos. (Ver
Art.13) se podrá considerar repetitivo el acceso en más de una ocasión en un plazo de seis meses, salvo
causa legítima (vuelta).

–ART.14 Rectificación: solicitar rectificar tus datos inexactos del responsable del tratamiento.
– ART.15 Supresión: solicitar el borrado de tus datos.

–ART.16 Limitación: solicitar que se apliquen medidas para evitar modificación o borrado.

–ART.17 Portabilidad: recibir los datos facilitados a un responsable de tratamiento y transmitirlos a otros
responsables sin oposición del anterior.

– ART.18 Oposición: oponerte al tratamiento de tus datos→ Puede derivar en una supresión de datos →
podrán conservar sus datos para impedir tratamientos futuros.

Finalidad la mercadotecnia directa: Si la campaña publicitaria se realizase, por ejemplo, a través de los
datos que posee una empresa contratada, se dará traslado de la petición al anunciante en un plazo máximo de
10 días hábiles.

TÍTULO IV

ARTÍCULO 20 SISTEMAS DE INFORMACIÓN CREDITICIA.

● Es posible el tratamiento de datos personales por incumplimiento de obligaciones financieras.

● La entidad que se encarga del sistema de información crediticia:

– Notificará al afectado la inclusión de los datos.

– Informará la posibilidad de ejercitar sus derechos en los TREINTA DIAS siguientes a la notificación → Los
datos están bloqueados durante ese plazo.

● Los datos se mantendrán en el sistema mientras persista el incumplimiento

– Límite de cinco años desde la fecha del comienzo de la deuda.

● No se incorporarán deudas en que la cuantía del principal sea INFERIOR a

CINCUENTA (49.99 o -) euros.

ARTÍCULO 22 TRATAMIENTOS CON FINES DE VIDEOVIGILANCIA.

Las personas físicas o jurídicas / públicas o privadas:

– Podrán tratar imágenes → con cámaras o videocámaras

– Con la finalidad de preservar la seguridad de las personas, bienes, e instalaciones.

¿Pueden captar imágenes en la vía pública? → SI:

– En la medida en que resulte imprescindible para la finalidad indicada (arriba).

– Y si son para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras relacionadas

con transporte → Pueden captar la vía pública en una extensión superior:

En ningún caso podrán captar de imágenes del interior de un domicilio privado.

Los datos se borrarán en el plazo máximo de UN MES.
 – Excepto que se conserven para acreditar actos que atenten contra la integridad de personas, bienes o
instalaciones.
Habrá que entregar esas imágenes (a la autoridad competente) en un plazo máximo de setenta y dos
horas.
Estos datos no se pueden bloquear (impedir su tratamiento).
Existe el deber de informar que se está siendo grabado.
Es suficiente → dispositivo informativo en lugar suficientemente visible identificando:
Existencia del tratamiento
Identidad del responsable
Posibilidad de ejercitar derechos

Se excluye → tratamiento de persona física con imágenes que solamente capten el interior de su
propio domicilio.
Esto no incluye el tratamiento de una entidad de seguridad privada que hubiera sido contratada para
la vigilancia de un domicilio y que tenga acceso a las imágenes.
Tratamiento de datos por la utilización de cámaras y videocámaras por las FCS:
Tratamiento con fines de prevención, investigación o enjuiciamiento de sanciones penales →
Directiva (UE) 2016/680 (LO 7/2021)
Otro supuesto → Reglamento (UE) 2016/679 (LO 3/2018)

ARTÍCULO 23 SISTEMAS DE EXCLUSIÓN PUBLICITARIA.

Se permite el tratamiento de datos para evitar el envío de comunicaciones comerciales → Si manifiesta su

negativa a recibirlas.

Podrán hacerse sistemas de información que incluirán los datos para identificar a los afectados.

ARTÍCULO 38 CÓDIGOS DE CONDUCTA

Los códigos de conducta son aprobados por la AEPD o la autoridad autonómica de PD.

TÍTULO V

ARTÍCULO 32 BLOQUEO DE LOS DATOS.

Es la identificación y reserva de datos, adoptando medidas técnicas y organizativas, para impedir su

tratamiento.
En caso de rectificación o supresión de un dato→ se bloquearán los datos (por el responsable del
tratamiento).
 Los datos bloqueados solo se pueden poner a disposición de:
Jueces, tribunales, MF.
Autoridades de protección de datos.

ARTÍCULO 33 RESPONSABLE Y ENCARGADO DEL TRATAMIENTO.

DELEGADO DE PROTECCIÓN DE DATOS.

Designan → RESPOSABLES y ENCARGADOS del tratamiento.

Es obligatorio en determinados supuestos y siempre (entre otros):

– Colegios profesionales.

– Centros docentes.

– Establecimientos financieros de crédito.

– Aseguradoras y reaseguradoras.

– Entidades para la evaluación de la solvencia patrimonial.

– Centros sanitarios (EXCEPTO profesionales a título individual).

– Empresas de seguridad privada.

– Federaciones deportivas cuando traten datos de menores de edad.

Su designación/nombramiento/cese se comunicará en el plazo de DIEZ días a la AEPD o, en su caso, a la

autoridades autonómicas de protección de datos.

Puede ser una persona física o jurídica.

Requiere acreditar → conocimientos especializados en el derecho y la práctica en materia de protección
de datos.
Es un interlocutor entre responsable / encargado del tratamiento y AEPD/Autoridades autonómicas de
PD.
Si es una persona física integrada en la organización del responsable encargado → Se garantiza su
independencia.

TÍTULO VII

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Es una AUTORIDAD ADMINISTRATIVA independiente

Tiene con personalidad jurídica capacidad pública y privada.
Actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.
Denominación oficial → “AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, AUTORIDAD
ADMINISTRATIVA INDEPENDIENTE”.
Se relaciona con el Gobierno a través del Ministerio de Justicia.
Representa a España en el Comité Europeo de PD.
Realiza la acción exterior del Estado en materia de PD.
La AEPD propone su Estatuto → Gobierno mediante RD lo aprueba.
La AEPD elabora y aprueba su presupuesto → Gobierno lo integra en los Presupuestos Generales del
Estado (PGE).
Modificaciones presupuestarias:
– Hasta 3% → Lo autoriza el Presi de la AEPD.
– +3% hasta 5% → Autoriza el M.Hacienda.
– +5% → Autoriza el Gobierno.
La presidencia dirige, representa y dictamina (resoluciones, cirulares, directrices).
Es auxiliada por un Adjunto (podrá delegar y será su sustituto).
Ejercen funciones con independencia y objetividad. → Son alto cargo.
Tienen un mandato de 5 AÑOS renovable 1 vez.
Solo pueden cesar por el fin del mandato, a iniciativa propia o por:
– Incumplimiento grave.
– Incapacidad sobrevenida.
– Incompatibilidad.
– Condena firme por delito doloso.
 La presidencia está asesorada por un Consejo Consultivo.
Los miembros son nombrados por el Ministerio de Justicia.
Las decisiones tomadas por el Consejo Consultivo no son vinculantes.
Se reúnen:
Cuando disponga su presidente.
Siempre 1 vez al semestre.
La AEPD elabora y aprueba su relación de puestos de trabajo en el
marco de los criterios del M. Hacienda.
El personal será → funcionario o laboral.
Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la
autoridad en el ejercicio de sus funciones.

RÉGIMEN SANCIONADOR.

Sujetos que SI son responsables:

– Responsables y encargados de los tratamientos.

– Los representantes de los anteriores no establecidos en el territorio de la UE.

– Entidades de certificación.

– Entidades acreditadas de supervisión de los códigos de conducta.

Sujetos que NO son responsables:

– Delegado de protección de datos

TÍTULO X

Se marcan una serie de derechos digitales, de entre los que destacan:

– ART.80 Neutralidad de Internet: Los proveedores de servicios de Internet proporcionarán una oferta
transparente de servicios sin discriminación por motivos técnicos o económicos.

– ART.81 Acceso universal a Internet.

–ART.82 A la seguridad digital: derecho a la seguridad en las comunicaciones.

– ART.83 Educación digital: realizada por el sistema educativo. Tendrá carácter inclusivo.

–ART.84 Protección de los menores en Internet: realizada por padres, madres, tutores, curadores o
representantes legales.

–ART.85 Rectificación en Internet: incluye la libertad de expresión.