Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo PDF

Summary

This document is a legal regulation concerning the protection of personal data within the European Union, details the general principles and rules governing data processing by both organisations and individuals. It defines various terms related to data protection and sets out a number of rules about data processing.

Full Transcript

4.5.2016 ES Diario Oficial de la Unión Europea L 119/1

I

(Actos legislativos)

REGLAMENTOS

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento
general de protección de datos)

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de texto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Visto el dictamen del Comité de las Regiones (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho
fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la
Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que
toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

(2) Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus
datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y
derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal. El presente
Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una
unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del
mercado interior, así como al bienestar de las personas físicas.

(3) La Directiva 95/46/CE del Parlamento Europeo y del Consejo (4) trata de armonizar la protección de los derechos
y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de
carácter personal y garantizar la libre circulación de estos datos entre los Estados miembros.

(1) DO C 229 de 31.7.2012, p. 90.
(2) DO C 391 de 18.12.2012, p. 127.
(3) Posición del Parlamento Europeo de 12 de marzo de 2014 (pendiente de publicación en el Diario Oficial) y posición del Consejo en
primera lectura de 8 de abril de 2016 (pendiente de publicación en el Diario Oficial). Posición del Parlamento Europeo de 14 de abril
de 2016.
(4) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).
L 119/32 ES Diario Oficial de la Unión Europea 4.5.2016

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

Disposiciones generales

Artículo 1

Objeto

1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al
tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su
derecho a la protección de los datos personales.

3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos
relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

Artículo 2

Ámbito de aplicación material

1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al
tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. El presente Reglamento no se aplica al tratamiento de datos personales:

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del
capítulo 2 del título V del TUE;

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad
pública y su prevención.

3. El Reglamento (CE) n.o 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las
instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión
aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente
Reglamento de conformidad con su artículo 98.

4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus
normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15.

Artículo 3

Ámbito territorial

1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un estable­
cimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la
Unión o no.
4.5.2016 ES Diario Oficial de la Unión Europea L 119/33

2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por
parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén
relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su
pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté
establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del
Derecho internacional público.

Artículo 4

Definiciones

A efectos del presente Reglamento se entenderá por:

1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se
considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente,
en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética,
psíquica, económica, cultural o social de dicha persona;

2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de
datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructu­
ración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión,
difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o
destrucción;

3) «limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su
tratamiento en el futuro;

4) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos
personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o
predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses,
fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado
sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a
medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona
física identificada o identificable;

6) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea
centralizado, descentralizado o repartido de forma funcional o geográfica;

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro
organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de
los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios
específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo
que trate datos personales por cuenta del responsable del tratamiento;

9) «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos
personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que
L 119/34 ES Diario Oficial de la Unión Europea 4.5.2016

puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la
Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con
las normas en materia de protección de datos aplicables a los fines del tratamiento;

10) «tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable
del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la
autoridad directa del responsable o del encargado;

11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que
el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos
personales que le conciernen;

12) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción,
pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos;

13) «datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona
física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular
del análisis de una muestra biológica de tal persona;

14) «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las caracte­
rísticas físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de
dicha persona, como imágenes faciales o datos dactiloscópicos;

15) «datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la
prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

16) «establecimiento principal»:

a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el
lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del
tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el
poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se
considerará establecimiento principal;

b) en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar
de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en
el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un estableci­
miento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al
presente Reglamento;

17) «representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el
responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en
lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

18) «empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica,
incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;

19) «grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;

20) «normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable o
encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de
transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo
empresarial o una unión de empresas dedicadas a una actividad económica conjunta;

21) «autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo
dispuesto en el artículo 51;
4.5.2016 ES Diario Oficial de la Unión Europea L 119/35

22) «autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales debido
a que:

a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa
autoridad de control;

b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o
es probable que se vean sustancialmente afectados por el tratamiento, o

c) se ha presentado una reclamación ante esa autoridad de control;

23) «tratamiento transfronterizo»:

a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un
Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado
está establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un
responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que
afecte sustancialmente a interesados en más de un Estado miembro;

24) «objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no de infracción del
presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el
responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el
proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre
circulación de datos personales dentro de la Unión;

25) «servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1,
letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (1);

26) «organización internacional»: una organización internacional y sus entes subordinados de Derecho internacional
público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

CAPÍTULO II

Principios

Artículo 5

Principios relativos al tratamiento

1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible
con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines
de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará
incompatible con los fines iniciales («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización
de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o
rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan
(«exactitud»);

(1) Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento
de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241
de 17.9.2015, p. 1).
L 119/36 ES Diario Oficial de la Unión Europea 4.5.2016

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para
los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más
largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o
histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las
medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y
libertades del interesado («limitación del plazo de conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra
el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de
medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de
demostrarlo («responsabilidad proactiva»).

Artículo 6

Licitud del tratamiento

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a
petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o
por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea
un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas
en el ejercicio de sus funciones.

2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de
las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando
de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y
equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a) el Derecho de la Unión, o

b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se
refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones
específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que
rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados
afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de
la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento,
4.5.2016 ES Diario Oficial de la Unión Europea L 119/37

incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas
de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de
interés público y será proporcional al fin legítimo perseguido.

4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado
en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida
necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23,
apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el
fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento
ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los
interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de
conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el
artículo 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

Artículo 7

Condiciones para el consentimiento

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar
que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros
asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de
forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la
declaración que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no
afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el
interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de
si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al
tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

Artículo 8

Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la
información

1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la
sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como
mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento
lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior
a 13 años.
L 119/38 ES Diario Oficial de la Unión Europea 4.5.2016

2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue
dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las
normas relativas a la validez, formación o efectos de los contratos en relación con un niño.

Artículo 9

Tratamiento de categorías especiales de datos personales

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas,
las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos
dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual
o las orientación sexuales de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los
fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición
mencionada en el apartado 1 no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable
del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida
en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al
Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de
los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de
que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación,
una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o
sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos
o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos
personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales
actúen en ejercicio de su función judicial;

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los
Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la
protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales
del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del
trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los
sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros
o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas
en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente
a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la
asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los
Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del
interesado, en particular el secreto profesional,
4.5.2016 ES Diario Oficial de la Unión Europea L 119/39

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines
estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados
miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de
datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del
interesado.

3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h),
cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsa­
bilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los
organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo
con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales
competentes.

4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto
al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

Artículo 10

Tratamiento de datos personales relativos a condenas e infracciones penales

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la
base del artículo 6, apartado 1, sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo
autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y
libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las
autoridades públicas.

Artículo 11

Tratamiento que no requiere identificación

1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación
de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con
vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.

2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que
no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se
aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos
artículos, facilite información adicional que permita su identificación.

CAPÍTULO III

Derechos del interesado

S ec c ió n 1

Tr an s pa re nci a y m oda l ida de s

Artículo 12

Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del
interesado

1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada
en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al
tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular
cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios,
inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse
verbalmente siempre que se demuestre la identidad del interesado por otros medios.
L 119/40 ES Diario Oficial de la Unión Europea 4.5.2016

2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22.
En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado
con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en
condiciones de identificar al interesado.

3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una
solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la
solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el
número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a
partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por
medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado
solicite que se facilite de otro modo.

4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar
transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar
una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación
realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente
infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la
comunicación o realizar la actuación solicitada, o

b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la
solicitud.

6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en
relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar
que se facilite la información adicional necesaria para confirmar la identidad del interesado.

7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en
combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente
legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico
serán legibles mecánicamente.

8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la
información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados.

S ec ci ón 2

I n fo r m aci ón y a cc eso a lo s da to s p er so nal e s

Artículo 13

Información que deberá facilitarse cuando los datos personales se obtengan del interesado

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el
momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
4.5.2016 ES Diario Oficial de la Unión Europea L 119/41

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un
tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y
la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en
los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas
y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en
el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento
de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para
determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al
interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el
derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la
existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del
tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un
contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias
de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1
y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las
consecuencias previstas de dicho tratamiento para el interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea
aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información
sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya
disponga de la información.

Artículo 14

Información que deberá facilitarse cuando los datos personales no se hayan obtenido del
interesado

1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la
siguiente información:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d) las categorías de datos personales de que se trate;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
L 119/42 ES Diario Oficial de la Unión Europea 4.5.2016

f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u
organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de
las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las
garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan
prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la
siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:

a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para
determinar este plazo;

b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del
tratamiento o de un tercero;

c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al
interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el
derecho a la portabilidad de los datos;

d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la
existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del
tratamiento basada en el consentimiento antes de su retirada;

e) el derecho a presentar una reclamación ante una autoridad de control;

f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22,
apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:

a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida
cuenta de las circunstancias específicas en las que se traten dichos datos;

b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la
primera comunicación a dicho interesado, o

c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean
comunicados por primera vez.

4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no
sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre
ese otro fin y cualquier otra información pertinente indicada en el apartado 2.

5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:

a) el interesado ya disponga de la información;

b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para
el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos,
a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación
mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los
objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos,
libertades e intereses legítimos del interesado, inclusive haciendo pública la información;

c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros
que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses
legítimos del interesado, o

d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto
profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de
naturaleza estatutaria.
4.5.2016 ES Diario Oficial de la Unión Europea L 119/43

Artículo 15

Derecho de acceso del interesado

1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no
datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales,
en particular destinatarios en terceros u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados
para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del
tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22,
apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá
derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable
podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes adminis­
trativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de
otro modo, la información se facilitará en un formato electrónico de uso común.

4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de
otros.

Se cc i ón 3

Re cti f ic ac ió n y s up re s ió n

Artículo 16

Derecho de rectificación

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos
personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que
se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Artículo 17

Derecho de supresión («el derecho al olvido»)

1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los
datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando
concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro
modo;
L 119/44 ES Diario Oficial de la Unión Europea 4.5.2016

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1,
letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos
legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la
Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información
mencionados en el artículo 8, apartado 1.

2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a
suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su
aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén
tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o
cualquier copia o réplica de los mismos.

3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e información;

b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la
Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una
misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2,
letras h) e i), y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de
conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer
imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o

e) para la formulación, el ejercicio o la defensa de reclamaciones.

Artículo 18

Derecho a la limitación del tratamiento

1. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos
cuando se cumpla alguna de las condiciones siguientes:

a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la
exactitud de los mismos;

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la
limitación de su uso;

c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para
la formulación, el ejercicio o la defensa de reclamaciones;

d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos
legítimos del responsable prevalecen sobre los del interesado.

2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser
objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el
ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o
por razones de interés público importante de la Unión o de un determinado Estado miembro.
4.5.2016 ES Diario Oficial de la Unión Europea L 119/45

3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el
responsable antes del levantamiento de dicha limitación.

Artículo 19

Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación
del tratamiento

El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del
tratamiento efectuada con arreglo al artículo 16, al artículo 17, apartado 1, y al artículo 18 a cada uno de los destina­
tarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo despropor­
cionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.

Artículo 20

Derecho a la portabilidad de los datos

1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable
del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del
tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9,
apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y

b) el tratamiento se efectúe por medios automatizados.

2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a
que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del
artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.

S ecc i ón 4

De re ch o d e o p os ici ón y d ec isi one s ind ivid ua le s a u to ma tiz ad as

Artículo 21

Derecho de oposición

1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación
particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el
artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El
responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el
tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el
ejercicio o la defensa de reclamaciones.

2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho
a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de
perfiles en la medida en que esté relacionada con la citada mercadotecnia.

3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de
ser tratados para dichos fines.
L 119/46 ES Diario Oficial de la Unión Europea 4.5.2016

4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los
apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier
otra información.

5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la
Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especi­
ficaciones técnicas.

6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de
conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación
particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el
cumplimiento de una misión realizada por razones de interés público.

Artículo 22

Decisiones individuales automatizadas, incluida la elaboración de perfiles

1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento
automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de
modo similar.

2. El apartado 1 no se aplicará si la decisión:

a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;

b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento
y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del
interesado, o

c) se basa en el consentimiento explícito del interesado.

3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas
adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a
obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales
contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado
medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

S ecc ión 5

L im it a c ione s

Artículo 23

Limitaciones

1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento
podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los
artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con
los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los
derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para
salvaguardar:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;
4.5.2016 ES Diario Oficial de la Unión Europea L 119/47

d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales,
incluida la protección frente a amenazas a la seguridad pública y su prevención;

e) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés
económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal,
presupuestario y monetario, la sanidad pública y la seguridad social;

f) la protección de la independencia judicial y de los procedimientos judiciales;

g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las
profesiones reguladas;

h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la
autoridad pública en los casos contemplados en las letras a) a e) y g);

i) la protección del interesado o de los derechos y libertades de otros;

j) la ejecución de demandas civiles.

2. En particular, cualquier medida legislativa indicada en el apartado 1 contendrá como mínimo, en su caso, disposi­
ciones específicas relativas a:

a) la finalidad del tratamiento o de las categorías de tratamiento;

b) las categorías de datos personales de que se trate;

c) el alcance de las limitaciones establecidas;

d) las garantías para evitar accesos o transferencias ilícitos o abusivos;

e) la determinación del responsable o de categorías de responsables;

f) los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza alcance y objetivos del
tratamiento o las categorías de tratamiento;

g) los riesgos para los derechos y libertades de los interesados, y

h) el derecho de los interesados a ser informados sobre la limitación, salvo si puede ser perjudicial a los fines de esta.