prueba.docx

Full Transcript

**TEMA 1: REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD)**

**[1: MARCO GENERAL PARA EL TRATAMIENTO DE DATOS PERSONALES]**
==========================================================================

**Principales novedades del Reglamento General de Protección de Datos (RGPD).**
-------------------------------------------------------------------------------

Introducción

El Reglamento General de Protección de Datos (RGPD) es la más importante
de las normas a través de las que se ha producido la revisión del marco
legal de la protección de datos en la Unión Europea. Ello se debe a su
alcance general y a que, como dispone su artículo 1, su objeto es fijar
las normas relativas a la protección de las personas físicas en lo que
respecta al tratamiento de sus datos personales y también las normas
sobre la libre circulación de datos en la Unión.

Junto al RGPD se aprobó también una Directiva sobre protección de datos
en el ámbito policial y judicial penal (Directiva de Policía) Esta norma
tiene carácter sectorial y, si bien se basa en los principios, derechos
y garantías establecidos en el RGPD, contiene especialidades adecuadas a
las peculiaridades de los tratamientos de datos que se desarrollan en la
prevención y persecución de delitos.

Actualmente está en fase de tramitación legislativa una reforma de la
conocida como Directiva ePrivacy La norma que se está debatiendo es un
reglamento. Pese a ser también una norma limitada a un sector concreto,
sus efectos son transversales, ya que una parte significativa de los
tratamientos de datos que hoy día se realizan se apoya de una u otra
forma en comunicaciones electrónicas, al menos tal y como el proyecto de
reglamento las define. En todo caso, la propuesta de nuevo reglamento
ePrivacy presentada por la Comisión se remite en todo lo relativo a
protección de datos al RGPD, incluyendo el hecho de que prevé que las
autoridades de control de la aplicación de este reglamento serán las
mismas que supervisen la aplicación del RGPD.

Las tres normas mencionadas son el núcleo central del régimen europeo de
protección de datos. Hay también previsiones sobre protección de datos
en otras normas de la Unión, como pueden ser las relativas a prevención
del blanqueo de capitales o las que regulan agencias como Europol o
Eurojust. Pero en todos estos casos las regulaciones son muy específicas
para las actividades propias de cada uno de estos ámbitos y siempre se
remiten a alguna de las tres normas citadas.

Ya en el ámbito español, es obligatorio mencionar la aprobación de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (en adelante LOPD y GDD)

Una primera e importante novedad del RGPD tiene que ver con su
naturaleza jurídica.

Los reglamentos son normas que tienen efecto directo y se aplican
directamente en los Estados Miembro sin necesidad de que éstos adopten
ninguna norma de introducción en el derecho interno. No sucede como en
el caso de las Directivas, que requieren de normas nacionales de
trasposición.

La Comisión eligió este instrumento porque uno de los problemas que la
revisión del marco legal europeo pretendía resolver era la dispersión
normativa derivada de las trasposiciones llevadas a cabo por los Estados
Miembros.

Las Directivas son normas que fijan los fines y dejan a los Estados
Miembros un amplio margen de libertad para elegir los medios para
conseguirlos. Hay que señalar, sin embargo, que en los últimos años se
está asistiendo a una generalización de directivas muy precisas y
detalladas, en las que la capacidad de actuación de los Estados se ve
muy limitada.

En el caso de la Directiva 95/46, sus objetivos han sido interpretados
de maneras muy distintas por los Estados, lo que ha dado lugar a
soluciones diferentes que, en último extremo, suponen niveles de
protección también heterogéneos.

Un buen ejemplo podría ser el de la posición de las autoridades de
protección de datos. La Directiva se limitaba a señalar que debían
existir y ser independientes, asignándoles unas funciones mínimas que
todos los Estados deberían respetar. En la práctica, ello ha conducido a
que mientras en algunos Estados Miembros, como España, la autoridad de
control tiene potestades de investigación y sanción, en otros carece del
poder de imponer sanciones económicas y, en algunos casos, sólo puede
emitir recomendaciones o iniciar un proceso judicial si detecta una
infracción de la normativa.

Algo similar ocurre en otras materias, entre las que pueden citarse la
lista de datos objeto de especial protección, los datos sensibles, el
valor relativo de las bases jurídicas que legitiman los tratamientos de
datos o la presencia de figuras como el delegado de protección de datos.

La Comisión optó por enfrentar esta situación proponiendo como nueva
norma un reglamento, acto jurídico europeo que pretende lograr un
derecho único para toda la Unión al reemplazar a las leyes nacionales
existentes y no necesitar de trasposición mediante nuevas normas.

Los propósitos de la Comisión se han alcanzado, pero de forma relativa.

El carácter directamente aplicable de los reglamentos ha dado lugar a un
fenómeno completamente opuesto al que antes se describía para las
directivas. Los negociadores en el Consejo o el Parlamento Europeo son
conscientes de que lo que se decida en un reglamento se convierte en la
norma que se aplica

directamente en los Estados. No existe el margen de maniobra que permite
la trasposición de las directivas. Por ello, empieza a ser habitual que
cuando un reglamento trata sobre materias sensibles para los Estados en
los que es difícil llegar a entendimientos comunes los textos finales
dejen márgenes razonablemente amplios de desarrollo o aplicación a nivel
nacional.

Este fenómeno se ha dado también en el RGPD. Los Estados Miembros pueden
actuar normativamente en relación con una lista extensa de materias,
valiéndose de distintos tipos de habilitación que el RGPD les ofrece. Se
ha llegado a decir que se trata de una norma con cuerpo de reglamento y
alma de directiva.

Ante todo, hay disposiciones del RGPD que expresamente mandatan a los
Estados Miembros para que adopten normas de aplicación que las completen
o detallen. El ejemplo más claro de este tipo de disposiciones es el que
tiene que ver con las autoridades de supervisión. El RGPD define sus
características generales, pero pide a los Estados que adopten normas en
las que se precise cuál de las posibles opciones que ofrece eligen. Por
ejemplo, el RGPD señala que la autoridad de supervisión podrá ser
designada por el gobierno, el parlamento, el jefe del estado o un
organismo independiente encargado de esa tarea. Cada Estado Miembro
tendrá que decidir en su norma de aplicación, y siguiendo su tradición
jurídica o práctica establecida, por cuál de esas alternativas opta.

En segundo término, hay disposiciones en que la regulación estatal es
prácticamente condición indispensable para que el RGPD pueda aplicarse.
Es el caso, entre otros, de algunas de las excepciones que permiten el
tratamiento de los datos sensibles. El RGPD prevé que esos datos puedan
tratarse para determinadas finalidades (por ejemplo, con fines de
asistencia sanitaria, o de investigación científica) en los términos que
establezca la legislación nacional. Aunque no hay una obligación de que
los Estados adopten esta legislación, es obvio que si no lo hacen no
será posible el tratamiento de esos datos para esas finalidades.

Una tercera posibilidad es la de que los Estados Miembros hagan uso de
las autorizaciones para regular determinadas materias en el plano
nacional que ofrece el RGPD.

El ejemplo más llamativo puede ser el de la edad mínima a partir de la
cual los menores pueden otorgar consentimiento para que sus datos sean
tratados sin necesitar la autorización de sus padres o tutores. El RGPD
fija esa edad en 16 años. Sin embargo, permite a los Estados Miembros
que la reduzcan hasta un límite mínimo de 13. Los Estados pueden
acogerse o no a esa habilitación, pero lo cierto es que el Reglamento
abre una puerta a la diferenciación a nivel nacional en este punto. De
hecho, la LOPD y GDD dispone en su artículo 7 que el tratamiento de los
datos personales de un menor de edad únicamente podrá fundarse en su
consentimiento cuando sea mayor de catorce años.

Otro caso es el que se refiere a los tratamientos necesarios para
atender a obligaciones legales del responsable, la consecución de
intereses públicos o el ejercicio de poderes públicos. En todos estos
supuestos, el RGPD prevé que los Estados Miembros podrán establecer
condiciones específicas para esos tratamientos. Estos tratamientos son
los que habitualmente realizan las autoridades públicas y también los
que llevan a cabo empresas cuando la legislación les obligue a ello, lo
que puede dar una idea del alcance de esta previsión.

En resumen, aunque el RGPD contiene numerosas disposiciones que sí
producirán sus efectos y, como tales, serán aplicables directamente por
los operadores jurídicos en los Estados Miembros, también incluye otras
en que su regulación se verá precisada o complementada por normativa
nacional.

En España, algunos de estos desarrollos normativos se han incorporado a
la LOPD y GDD. Otros desarrollos se incluirán en normas sectoriales.

La sustitución de la anterior LOPD de1999 por una nueva norma general de
protección de datos, la LOPD y GDD, es consecuencia de que el derecho
europeo exige que los Estados Miembros, por razones de seguridad
jurídica, deroguen las disposiciones internas que contradigan lo
previsto en un reglamento. Una derogación caso por caso de las
disposiciones de la anterior LOPD habría constituido un ejercicio
complejo, que, en todo caso, habría supuesto también modificar
parcialmente algunas normas sectoriales. Por eso se ha optado, como en
general han hecho todos los Estados Miembros, por preparar un nuevo
texto que derogue íntegramente el anterior.

### **Ámbito de aplicación**

El RGPD distingue entre ámbito de aplicación material y territorial.

- Ámbito material.

El ámbito material del RGPD es sustancialmente coincidente con el de la
Directiva 95/46.

El RGPD se aplica a todos los tratamientos total o parcialmente
automatizados de datos y también a los tratamientos no automatizados de
datos contenidos o destinados a ser incluidos en un fichero. Esta
descripción del ámbito de aplicación es exactamente igual que la de la
Directiva del 95. No obstante, en nuestros días los tratamientos que
tienen un mayor impacto sobre los derechos de los ciudadanos son los
realizados por medios automáticos, mientras que los totalmente manuales
son relativamente raros. El hecho de que se haya mantenido la referencia
a estos últimos puede considerarse casi como una cláusula de estilo
destinada a evitar que algún tratamiento pueda eventualmente escapar de
la cobertura del RGPD.

El RGPD no distingue entre tratamientos llevados a cabo por empresas
privadas o por autoridades u organismos públicos en lo que a su
aplicabilidad se refiere, aunque sí que contiene algunas disposiciones
específicas para estos últimos.

Desde otro punto de vista, el RGPD en su Considerando 27 señala
expresamente que no será de aplicación a las personas fallecidas, sin
perjuicio de que los Estados Miembro puedan establecer normas aplicables
a los tratamientos de sus datos personales. Esa posibilidad ha sido
tenida en cuenta por la LOPD y GDD, que contiene varios artículos
destinados a regular cómo los herederos o allegados de la persona
fallecida o las personas que ésta haya designado podrán acceder y
disponer tanto sobre sus datos personales como sobre sus contenidos
digitales (art. 3 y art. 96).

- En el ejercicio de una actividad no comprendida en el ámbito de
aplicación del Derecho de la Unión. Un ejemplo de este tipo de
tratamientos sería el de los tratamientos de datos relacionados con
la seguridad nacional.

- Por parte de los Estados miembros cuando lleven a cabo actividades
comprendidas en el ámbito de aplicación del capítulo 2 del título V
del Tratado de la Unión Europea. Son tratamientos relacionados con
la Política Exterior y de Seguridad Común de la UE.

- Efectuado por una persona física en el ejercicio de actividades
exclusivamente personales o domésticas.

- Por parte de las autoridades competentes con fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales, o
de ejecución de sanciones penales, incluida la de protección frente
a amenazas a la seguridad pública y su prevención.

- Ámbito territorial.

- la oferta de bienes o servicios a dichos interesados en la Unión,
independientemente de si a estos se les requiere su pago, o

- el control de su comportamiento, en la medida en que este tenga
lugar en la Unión de datos de personas en la Unión.

En esta materia es presumible que sean de aplicación las
interpretaciones del Tribunal de Justicia de la UE sobre ley aplicable
en contratos transfronterizos. En varias sentencias, el Tribunal ha
identificado varios elementos como indicios para establecer si la oferta
se dirige a un país concreto. Entre esos elementos estaría el idioma en
que se presenta la página web, la moneda en que se pueden retribuir, en
su caso, los productos y servicios ofrecidos o el que se dé un teléfono
de contacto correspondiente al país en cuestión. En otro terreno, en la
ya citada Sentencia Google Spain el Tribunal concedió importancia al
hecho de que la publicidad que el motor de búsqueda ofrecía en España
estaba dirigida a usuarios españoles.

No es éste el lugar para profundizar en el modo en que se aplicará este
nuevo criterio, pero sí puede añadirse que el Reglamento pide a los
responsables y encargados que se encuentren en esta situación que
designen un representante en la Unión, que será el punto de contacto con
interesados y autoridades de supervisión y al que, sin perjuicio de las
acciones contra los representados, podrán dirigirse las medidas
correctivas que prevé el RGPD en casos de incumplimiento.

### **Definiciones**

El RGPD también da continuidad a la Directiva en la definición de los
conceptos que utiliza.

El artículo 4 del RGPD está dedicado en su totalidad a estas
definiciones. Se trata de un artículo largo, con veintiséis
definiciones, entre las que se contienen varias ya presentes en la
Directiva y otras que son propias de las novedades que se introducen en
el RGPD.

Entre las primeras pueden mencionarse las definiciones de dato personal,
tratamiento, fichero, responsable, encargado, destinatario, tercero, o
consentimiento del interesado.

Con todo, y a pesar de esta continuidad, algunas de estas definiciones
presentan matices respecto a la Directiva.

Así, se define dato personal como toda información sobre una persona
física identificada o identificable («el interesado»), pero el resto de
la definición de la Directiva se vincula en el Reglamento a ese
interesado, al establecerse que "se considerará persona física
identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por
ejemplo un nombre, un número de identificación, datos de localización,
un identificador en línea o uno o varios elementos propios de la
identidad física, fisiológica, genética, psíquica, económica, cultural o
social de dicha persona".

Es relevante también que el Considerando 30 considera que los
identificadores en línea que se proporcionan a los usuarios pueden ser
bajo ciertas condiciones considerados datos personales.

El responsable es descrito como "la persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento", es decir, como quien
decide que el tratamiento se lleve a cabo y la forma en que se
desarrollará. De nuevo se sigue la definición clásica contenida en la
Directiva.

La misma línea se sigue respecto al encargado de tratamiento, "la
persona física o jurídica, autoridad pública, servicio u otro organismo
que trate datos personales por cuenta del responsable del tratamiento".

En el caso del consentimiento, la definición del RGPD es también
idéntica a la Directiva en sus primeras frases. Sin embargo, el
Reglamento incorpora un elemento adicional, al señalar que la
manifestación de voluntad libre, específica, informada e inequívoca por
la que el interesado acepta el tratamiento de sus datos personales debe
prestarse "mediante una declaración o una clara acción afirmativa". Esta
precisión tiene gran calado, ya que excluye que el consentimiento pueda
otorgarse mediante la inacción, como puede suceder con algunas
modalidades en que el responsable informa al interesado de que procederá
a tratar sus datos si éste no manifiesta su disconformidad en un plazo
determinado Junto a estas definiciones, ya clásicas en el derecho
europeo, el RGPD contiene, como se ha señalado, otras que reflejan las
novedades que en él se incluyen, y que son:

- Seudonimización:

- Elaboración de perfiles:

- Datos genéticos:

- Datos biométricos.

La definición está tomada de la Directiva 2002/58, citada al principio
de este capítulo, ya que hasta ahora la notificación a autoridades de
control e interesados de las violaciones, o quiebras de seguridad, como
se denominan frecuentemente, sólo era obligatoria en el sector de las
comunicaciones electrónicas. El Reglamento hace esta obligación
aplicable a todo tipo de tratamientos.

Algunas de las nuevas definiciones del RGPD están directamente
vinculadas con el mecanismo de cooperación o "ventanilla única", se
desarrollarán con más detalle en otro módulo. Son definiciones de
conceptos como "tratamiento transfronterizo", "establecimiento
principal", "autoridad de control interesada" u "objeción pertinente y
motivada".

### **Principios**

Los principios del tratamiento constituyen el fundamento del sistema
europeo de protección de datos, tal y como se formulan, y son lo que le
diferencia de otros modelos de protección de datos o privacidad.

Los principios que el RGPD enuncia son en esencia los mismos que ya
enumera la Directiva 95/46, pero presenta, igual que sucedía con el
ámbito de aplicación o las definiciones, algunas novedades frente a esta
última. Es también una característica nueva en el RGPD que "pone nombre"
a los principios. La Directiva se limitaba a exponerlos, mientras que en
el RGPD cada principio tiene asignada una denominación propia que, en
general, se corresponde con el modo en que se han identificado
comúnmente en la doctrina, la jurisprudencia y la actuación de los
operadores y de las autoridades de protección.

Un primer principio es el de "licitud, transparencia y lealtad", que
consiste en que los datos deben ser tratados de manera lícita, leal y
transparente para el interesado.

La licitud en el tratamiento se relaciona con la necesidad de que esté
amparado en una de las bases jurídicas que establece el Reglamento. Los
datos no pueden ser tratados simplemente porque estén disponibles o
porque el responsable entienda que recopilándolos y procesándolos podrá
encontrarles alguna utilidad presente o futura. El principio reconoce
que el derecho a la protección de datos implica que los datos solo
pueden ser tratados con el consentimiento del interesado o cuando la ley
lo permita porque existan motivos que justifiquen que esa voluntad del
interesado deba ceder ante otros derechos o intereses.

Es preciso identificar un propósito para el tratamiento (esa
identificación se integra en el principio de "limitación de la
finalidad" del que luego se hablará) y que ese tratamiento, con esa
finalidad, sea necesario para conseguir alguno de los objetivos que el
artículo 6.1 del Reglamento considera que permiten legitimar un
tratamiento o que el interesado consienta en que éste se lleve a cabo.
Por ejemplo, el tratamiento de datos puede resultar necesario para la
ejecución de un contrato, o para que un organismo público pueda ejercer
sus poderes o satisfacer un interés público.

Al mismo tiempo, el principio excluye el que los datos sean tratados de
forma desleal para con el interesado o sin proporcionarle la información
necesaria para que entienda el objeto y fines del tratamiento, sus
consecuencias y posibles riesgos, y pueda, en su caso, decidir sobre él.
El principio impide, por ejemplo, que se oculte alguna finalidad del
tratamiento, o que esa finalidad se exprese de forma vaga y confusa.

También tiene una dimensión positiva, que obliga a los responsables a
buscar la mayor transparencia en sus relaciones con los interesados.

Este aspecto del principio de "licitud, lealtad y transparencia" tiene
su correlato en las disposiciones del RGPD que determinan qué
información debe proporcionarse al interesado, en qué forma y en qué
momentos, así como en las que regulan el modo en que debe responderse a
las solicitudes de ejercicio de derechos.

El segundo de los principios que formula el RGPD es el de "limitación de
la finalidad". En realidad, este principio tiene dos partes.

Por un lado, obliga a que los datos sean tratados con una o varias
finalidades determinadas, explícitas y legítimas. Este principio se
relaciona estrechamente con el anterior. La finalidad del tratamiento ha
de estar claramente definida. En ocasiones se encuentran finalidades del
tipo "sus datos serán tratados para mejorar su experiencia como
usuario". Estas definiciones no se ajustan al principio de finalidad. Es
posible que las finalidades sean descritas de un modo amplio, pero
siempre que una descripción de ese tipo permita al interesado o a las
autoridades de control conocer qué tipo de actividades se incluyen en
ella.

El principio tiene una doble lectura. Por un lado, confirma algo que
también estaba presente en la Directiva, como es que la responsabilidad
última por la forma en que se traten los datos atañe al responsable. Es
el responsable el que decide que se inicie un tratamiento, su finalidad,
los datos que van a ser tratados y cuáles son las actividades de
tratamiento que se van a realizar. Es, por tanto, el responsable, que
toma las decisiones que determinan la existencia del tratamiento, el que
debe ocuparse de que se lleve a cabo adecuadamente y asumir las
responsabilidades correspondientes en caso de que ello no suceda.

Aunque el RGPD, como se ha indicado, prevé también obligaciones y
responsabilidades para los encargados, esas previsiones no afectan a
este principio general, ya que se refieren a aspectos concretos dentro
del contexto general del tratamiento y no a su consideración como un
todo.

La segunda interpretación del artículo se refiere al modo en que el
responsable ha de afrontar su papel. El RGPD no se limita a situar la
responsabilidad sobre un responsable pasivo, que deberá hacer frente a
las consecuencias de posibles infracciones.

El RGPD adopta un enfoque proactivo, exigiendo que el responsable adopte
medidas preventivas dirigidas a reducir los riesgos de incumplimiento y,
además, que esté en condiciones de demostrar que ha implantado esas
medidas y que las mismas son las adecuadas para lograr la finalidad
perseguida.

**La legitimación para el tratamiento de datos personales**
-----------------------------------------------------------

**INTRODUCCIÓN**.

El punto de partida para el tratamiento de datos personales es
determinar la base jurídica que permite realizar lícitamente las
distintas operaciones de tratamiento definidas en el artículo 4.2 del
Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) que
recoge las siguientes:

-

Base jurídica que puede ser común o distinta para cada una de ellas.

En este punto la sistemática de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (LOPD) indujo a
una cierta distorsión al establecer como base jurídica general el
consentimiento de los afectados, configurando las restantes bases
jurídicas como excepciones a este principio general.

El RGPD parte de una sistemática distinta al enumerar en su artículo 6
las diversas bases jurídicas que legitiman el tratamiento de datos
personales en términos de igualdad. Su redacción es la siguiente:

"1. El tratamiento solo será lícito si se cumple al menos una de las
siguientes condiciones:

a. el interesado dio su consentimiento para el tratamiento de sus datos
personales para uno o varios fines específicos;

b. el tratamiento es necesario para la ejecución de un contrato en el
que el interesado es parte o para la aplicación a petición de este
de medidas precontractuales;el tratamiento es necesario para el
cumplimiento de una obligación legal aplicable al responsable del
tratamiento;

c. d. el tratamiento es necesario para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos
conferidos al responsable del tratamiento;

e. el tratamiento es necesario para la satisfacción de intereses
legítimos perseguidos por el responsable del tratamiento o por un
tercero, siempre que sobre dichos intereses no prevalezcan los
intereses o los derechos y libertades fundamentales del interesado
que requieran la protección de datos personales, en particular
cuando el interesado sea un niño"

Si bien el propio RGPD establece modulaciones sobre algunas de ellas,
como posteriormente se indicará.

A continuación se analiza cada una de ellas conforme a la sistemática
del precepto, si bien debe atenderse de forma específica a las letras c)
y e) que se tratarán conjuntamente por ser la base jurídica más habitual
para el tratamiento de datos por parte de las Administraciones públicas.

### **El consentimiento**

El RGPD define el consentimiento como una manifestación de voluntad
libre, específica, informada e inequívoca (art.7).

Manifestación de voluntad por la que el afectado acepta el tratamiento
mediante una declaración o una clara acción afirmativa.

Los considerandos del RGPD ofrecen algunas aclaraciones sobre la
prestación válida del consentimiento que se describen a continuación:

- - - - - - - La LOPD y GDD establece que cuando se
pretenda fundar el tratamiento de los datos en el consentimiento del
afectado para una pluralidad de finalidades será preciso que conste
de manera específica e inequívoca que dicho consentimiento se otorga
para todas ellas (art. 6.2). Asimismo la nueva Ley Orgánica
establece que no podrá supeditarse la ejecución del contrato a que
el afectado consienta el tratamiento de los datos personales para
finalidades que no guarden relación con el mantenimiento, desarrollo
o control de la relación contractual (art. 6.3).

El consentimiento es esencialmente revocable debiendo informarse al
afectado de esta posibilidad. La revocación del consentimiento debe
poder realizarse por procedimientos tan sencillos como los utilizados
para obtenerlo, pero no tiene efectos retroactivos, no afectando a la
licitud de los tratamientos realizados hasta ese momento.

### **La relación contractual**

En relación con esta base jurídica como legitimadora del tratamiento de
los datos personales el RGPD es particularmente escueto tanto en el
articulado como en los considerandos limitándose a establecer en su
artículo 6.1.b) que será lícito el tratamiento "necesario para la
ejecución de un contrato en el que el interesados es parte o para la
aplicación a petición de éste de medidas precontractuales".

### **La obligación legal, el interés público y el ejercicio de poderes públicos**

La base jurídica del tratamiento de datos personales por parte de las
administraciones públicas será, como regla general, la contemplada en el
artículo 6.1.c) y e) del RGPD.

Respecto de estas bases jurídicas el RGPD prevé que deben ser
establecidas por el derecho de la Unión o de los Estados miembro.

Adicionalmente señala que la finalidad del tratamiento para el
cumplimiento de una obligación legal debe quedar determinada en la norma
que la establezca. Y que la finalidad del tratamiento para el
cumplimiento de una misión de interés público o para el ejercicio de
poderes debe ser necesaria para el cumplimiento o ejercicio de los
mismos.

El Considerando 45 aclara que una misma norma puede ser suficiente como
base para varias operaciones de tratamiento.

Con el fin de garantizar adecuadamente el derecho a la protección de
datos conforme al RGPD la norma puede incluir disposiciones específicas
tales como las condiciones generales que rigen la licitud del
tratamiento, los tipos de datos objeto de tratamiento, los afectados,
las entidades a las que se pueden comunicar los datos y la finalidad de
la cesión, la limitación de la finalidad, los plazos de conservación de
los datos o las operaciones y procedimientos del tratamiento. En todo
caso, el tratamiento deberá ser proporcional a los objetivos de interés
público perseguidos.

Respecto de la norma que incorpora estas bases jurídicas, la LOPD y GDD
establece en su artículo 8 que deberá tener rango de ley.

Cuando el tratamiento se realice en el ejercicio de poderes públicos el
responsable del mismo debe ser una autoridad pública u otra persona
física o jurídica de interés público.

Y si se realiza para el cumplimiento de misiones de interés público el
responsable podrá ser también una persona de derecho privado
(Considerando 45).

El artículo 5.1.b) del Reglamento establece la regla general de que el
tratamiento de datos se realice para fines determinados, explícitos y
legítimos. No obstante, admite que puedan tratarse con fines que no sean
incompatibles con los iniciales y cita expresamente entre ellos
tratamientos que pueden ser propios de las administraciones públicas
como son los fines de archivo de interés público, así como los de
investigación científica e histórica o los estadísticos.

Ahora bien, el tratamiento de datos para estas finalidades deberá estar
sujeto a garantías adecuadas para garantizar los derechos y libertades
de los afectados conforme al Reglamento. Entre ellas deberán adoptarse
medidas técnicas y organizativas para respetar el principio de
minimización de los datos.

Entre estas medidas el artículo 89.1 del RGPD cita específicamente la
pseudonimización de los datos y, también, su anonimización siempre que
permita la consecución de estos fines.

En el caso de los tratamientos con fines de investigación científica o
histórica el RGPD prevé que una norma europea o nacional pueda
establecer excepciones a los derechos de acceso, rectificación,
limitación del tratamiento y oposición, cuando sea probable que
imposibiliten u obstaculicen gravemente el logro de los fines
mencionados y se establezcan garantías adecuadas en los términos
señalados anteriormente.

En cuanto al tratamiento con fines estadísticos podrán establecerse,
además de las mencionadas anteriormente, excepciones al derecho de que
el responsable del tratamiento comunique a los cesionarios de los datos
las rectificaciones o supresiones que haya realizado o la limitación del
tratamiento de los datos. Y al derecho a la portabilidad.

Sin embargo, cuando el tratamiento para los fines indicados pueda servir
también para otras finalidades, las excepciones a los derechos sólo
serán aplicables respecto de aquellos.

### **El interés vital**

El tratamiento de datos personales es lícito cuando sea necesario para
proteger intereses vitales del interesado o de otra persona física (art.
6.1.d).

El RGPD no recoge una definición de interés vital, si bien el
Considerando 46 parece apuntar a una interpretación restrictiva al
señalar que debe tratarse de "un interés esencial para la vida del
interesados o de otra persona".

El mismo considerando atribuye, además, a esta base jurídica para el
tratamiento un carácter que podría calificarse como subsidiario, al
indicar que la misma únicamente debe aplicarse cuando el tratamiento no
puede basarse en otra base jurídica distinta. En este sentido cita como
ejemplos el tratamiento con fines humanitarios, incluido el control de
epidemias y su propagación o las situaciones de emergencia humanitaria,
sobre todo en caso de catástrofes naturales o de origen humano.

### **El interés legítimo**

El RGPD, en términos similares a la Directiva 95/46/CE incluye el
interés legítimo del responsable o de un tercero como base jurídica para
el tratamiento de datos personales (art.6.1.f).

No obstante, para ello no basta con la concurrencia de un interés
legítimo sino que es necesario que prevalezca sobre los intereses,
derechos o libertades fundamentales del interesado.

Por tanto, será necesario realizar en cada caso concreto una ponderación
para poder determinar la prevalencia o no del interés legítimo.
Ponderación que deberá tener en cuenta no sólo la incidencia del
tratamiento en los derechos y libertades del afectado, sino también en
sus propios intereses. El RGPD exige que esa ponderación sea
especialmente cualificada cuando el afectado sea un menor.

El RGPD refuerza algunas de las garantías para el tratamiento de datos
personales cuando su base jurídica sea el interés legítimo. Así, en
relación con el deber de informar al interesado sobre el tratamiento de
los datos, exige no sólo que se indique el interés legítimo como base
jurídica del tratamiento de la que debe informarse en todo caso, sino
además que se especifiquen los intereses legítimos concretos del
responsable o del tercero que lo realizaran, tanto si los datos se han
obtenido del afectado como si no ha sido así (arts. 13.1.d y 14.2.b).

Adicionalmente, el RGPD refuerza el derecho a oponerse en cualquier
momento al tratamiento de datos personales por motivos relacionados con
su situación personal, cuando su base jurídica sea el interés legítimo,
estableciendo que el responsable dejará de tratar los datos personales
salvo que acredite "motivos legítimos imperiosos" que prevalezcan sobre
los intereses, derechos y libertades del afectado (art. 21.1).

Los considerandos 47 a 49 recogen algunas aclaraciones sobre esta base
jurídica. El Considerando 47 aclara que el interés legítimo puede ser
una base jurídica no sólo del responsable que trata los datos sino
también de un responsable del tratamiento al que se puedan comunicar los
datos personales.

Asimismo, establece un punto de partida sobre la ponderación, a la que
anteriormente se hizo referencia, al relacionarla con las expectativas
razonables de los afectados basadas en su relación con el responsable
del tratamiento, citando como ejemplos las situaciones en las que el
afectado es cliente o está al servicio del responsable.

No obstante, exige que se realice una evaluación meticulosa de la
ponderación, incluso si el afectado puede prever de forma razonable, en
el momento y en el contexto de la recogida de los datos personales, que
puede producirse un tratamiento para una determinada finalidad.

En particular, el Reglamento señala que cabe apreciar la prevalencia de
los intereses y derechos del afectado cuando se proceda al tratamiento
de sus datos en circunstancias en que no espere razonablemente que vaya
a realizarse un tratamiento ulterior (p.ej. cesiones ulteriores de los
datos).

Los citados considerandos recogen algunos ejemplos de intereses
legítimos, aunque sin considerarlos por sí mismos como prevalentes.

Entre ellos se citan los siguientes:

- - - -

Finalmente, el Reglamento establece que el interés legítimo no puede ser
una base jurídica aplicable a los tratamientos realizados por las
autoridades públicas en el ejercicio de sus funciones, al señalar que es
el propio legislador el que debe establecer por ley la base jurídica
para el tratamiento de datos por parte de las autoridades públicas, por
lo que el interés legítimo no debe aplicarse al tratamiento realizado
por ellos en el ejercicio de sus funciones.

**Tratamiento de categorías especiales de datos (datos especialmente protegidos)**
----------------------------------------------------------------------------------

El RGPD incluye en el concepto de categorías especiales de datos los
denominados datos especialmente protegidos que ya figuraban en la
derogada LOPD como son las opiniones políticas, las convicciones
religiosas o filosóficas, la afiliación sindical, los que revelen el
origen racial o étnico, y los relativos a la salud o a la vida u
orientación sexual de una persona.

Pero incorpora nuevas categorías de datos como son los datos genéticos y
los datos biométricos. El RGPD, como ya hemos visto al principio de este
módulo al referirnos a las definiciones, considera

como datos genéticos, los datos personales relativos a las
características genéticas heredadas o adquiridas de una persona física
que proporcionen una información única sobre la fisiología o la salud de
esa persona, obtenidos, en particular, del análisis de una muestra
biológica de tal persona. Y, como datos biométricos, los datos
personales obtenidos a partir de un tratamiento técnico específico,
relativos a las características físicas, fisiológicas o conductuales de
una persona física que permitan o confirmen la identificación única de
dicha persona, como imágenes faciales o datos dactiloscópicos.

a. "el interesado dio su consentimiento explícito para el tratamiento
de dichos datos personales con uno o más de los fines especificados,
excepto cuando el Derecho de la Unión o de los Estados miembros
establezca que la prohibición mencionada en el apartado 1 no puede
ser levantada por el interesado;

b. el tratamiento es necesario para el cumplimiento de obligaciones y
el ejercicio de derechos específicos del responsable del tratamiento
o del interesado en el ámbito del Derecho laboral y de la seguridad
y protección social, en la medida en que así lo autorice el Derecho
de la Unión de los Estados miembros o un convenio colectivo con
arreglo al Derecho de los Estados miembros que establezca garantías
adecuadas del respeto de los derechos fundamentales y de los
intereses del interesado;

c. el tratamiento es necesario para proteger intereses vitales del
interesado o de otra persona física, en el supuesto de que el
interesado no esté capacitado, física o jurídicamente, para dar su
consentimiento;

d. el tratamiento es efectuado, en el ámbito de sus actividades
legítimas y con las debidas garantías, por una fundación, una
asociación o cualquier otro organismo sin ánimo de lucro, cuya
finalidad sea política, filosófica, religiosa o sindical, siempre
que el tratamiento se refiera exclusivamente a los miembros actuales
o antiguos de tales organismos o a personas que mantengan contactos
regulares con ellos en relación con sus fines y siempre que los
datos personales no se comuniquen fuera de ellos sin el
consentimiento de los interesados;

e. el tratamiento se refiere a datos personales que el interesado ha
hecho manifiestamente públicos;

f. el tratamiento es necesario para la formulación, el ejercicio o la
defensa de reclamaciones o cuando los tribunales actúen en ejercicio
de su función judicial;

g. el tratamiento es necesario por razones de un interés público
esencial, sobre la base del Derecho de la Unión o de los Estados
miembros, que debe ser proporcional al objetivo perseguido, respetar
en lo esencial el derecho a la protección de datos y establecer
medidas adecuadas y específicas para proteger los intereses y
derechos fundamentales del interesado".

- "El tratamiento es necesario para fines de medicina preventiva o
laboral, evaluación de la capacidad laboral del trabajador,
diagnóstico médico, prestación de asistencia o tratamiento de tipo
sanitario o social, o gestión de los sistemas y servicios de
asistencia sanitaria y social".

- "El tratamiento es necesario por razones de interés público en el
ámbito de la salud pública, como la protección frente a amenazas
transfronterizas graves para la salud, o para garantizar elevados
niveles de calidad y de seguridad de la asistencia sanitaria y de
los medicamentos o productos sanitarios".

- "El tratamiento es necesario con fines de archivo en interés
público, fines de investigación científica o histórica o fines
estadísticos".

**[2: LOS DERECHOS DE LOS CIUDADANOS EN EL RGPD CUANDO LAS ADMINISTRACIONES PÚBLICAS TRATEN SUS DATOS PERSONALES]**
===============================================================================================================================

**Introducción**
----------------

Las principales obligaciones establecidas por la normativa de protección
de datos recaen sobre el responsable del tratamiento, que deberá
facilitar su cumplimiento y participar del mismo. Algunas de estas
obligaciones disponen de una vertiente activa al generar su
correspondiente acción de garantía y

defensa, convirtiéndose en verdaderos derechos de los ciudadanos en
relación con el tratamiento de su información de carácter personal.

A partir del 25 de mayo de 2018, con la aplicación práctica del RGPD, el
hasta ahora denominado "principio de información", se "reconfigura" como
un derecho del interesado y no --en sentido estricto- como una
obligación del responsable.

Por otra parte, el RGPD modifica el elenco de los derechos conocidos y
reconocidos -en materia de protección de datos- por la normativa
nacional y europea hasta su promulgación.

Así, se reconocen específicamente los derechos de rectificación y
supresión como derechos independientes y se regula detalladamente éste
último, realizando también una mención específica al "derecho al
olvido".

Finalmente, se reconocen nuevos derechos; en concreto, los derechos a la
"limitación del tratamiento" y el de "portabilidad".

En cuanto a las "condiciones generales" para el ejercicio y atención de
los derechos, se consolida la obligación de atender los derechos a menos
que se acredite la imposibilidad de identificar al interesado; se
establece el plazo de un mes prorrogable por dos más según la
complejidad y número de solicitudes para la atención de su ejercicio; se
plasma de manera definitiva la posible respuesta al ejercicio del
derecho por medios electrónicos si el mismo se ejercitó por dichos
medios, salvo que el interesado manifieste lo contrario; y, en fin, para
el supuesto de que el responsable decida no dar curso a la solicitud del
afectado,

se consolida la obligación de informar en el plazo de un mes acerca de
las razones de dicha negativa y sobre la posibilidad de acudir a la
autoridad de control o a los órganos judiciales en caso de desacuerdo.

A su vez, se refuerza la "gratuidad" en el ejercicio de los derechos,
salvo en el supuesto específico de solicitudes manifiestamente
infundadas o excesivas, especialmente debido a su carácter repetitivo,
en que será posible cobrar un canon razonable en función de los costes
administrativos afrontados para facilitar la información o la
comunicación, realizar la actuación solicitada, o, incluso, negarse a
actuar respecto de la solicitud. También se faculta al responsable del
tratamiento para solicitar información adicional que garantice
suficientemente la identificación del afectado.

1. La LOPD y GDD, al referirse al ejercicio de derechos por parte de
los titulares de los datos personales, utiliza el término
"afectado", mientras que el RGPD "interesado". No confundir este
término "interesado" con el que regula la Ley 39/2015, de 1 de
octubre, en relación con la tramitación de los procedimientos
administrativos.

**Disposiciones generales sobre el ejercicio de derechos**
----------------------------------------------------------

Para seguir una adecuada sistemática en esta exposición, debemos
comenzar por analizar las características comunes de los derechos a los
que se hará mención específica, esbozando los requisitos necesarios para
su ejercicio.

Como titular de sus datos de carácter personal, el interesado por el
tratamiento puede ejercitar ante el responsable, Administración u Órgano
administrativo que esté tratando dichos datos personales, sus derechos
de acceso, de rectificación, de supresión -incluida su variante de
derecho al olvido-, de portabilidad, de oposición, y de limitación del
tratamiento.

Con carácter preliminar, el Considerando (59) del RGPD, anticipa las
líneas generales de la protección dispensada a los derechos de los
ciudadanos en el articulado del propio Reglamento, al señalar

que "Deben arbitrarse fórmulas para facilitar al interesado el ejercicio
de sus derechos en virtud del presente Reglamento, incluidos los
mecanismos para solicitar y, en su caso, obtener de forma gratuita, en
particular, el acceso a los datos personales y su rectificación o
supresión, así como el ejercicio del derecho de oposición. El
responsable del tratamiento también debe proporcionar medios para que
las solicitudes se presenten por medios electrónicos, en particular
cuando los datos personales se tratan por medios electrónicos. El
responsable del tratamiento debe estar obligado a responder a las
solicitudes del interesado sin dilación indebida y a más tardar en el
plazo de un mes, y a explicar sus motivos en caso de que no fuera a
atenderlas."

Los referidos derechos, se regulan específicamente en los artículos 15 a
22 del RGPD. La LOPD y GDD dedica los artículos 12 a 18 al ejercicio de
los derechos. Las disposiciones generales sobre ejercicio de los
derechos se contienen en el artículo 12, disponiendo lo siguiente:

- - - - - - - -

Por su parte, el RGPD en su artículo 19 dispone que "el responsable del
tratamiento comunicará cualquier rectificación o supresión de datos
personales o limitación del tratamiento efectuada con arreglo al
artículo 16, al artículo 17, apartado 1, y al artículo 18 a cada uno de
los destinatarios a los que se hayan comunicado los datos personales,
salvo que sea imposible o exija un esfuerzo desproporcionado. El
responsable informará al interesado acerca de dichos destinatarios, si
este así lo solicita."

Por último, en el plano protector y reactivo que corresponde a las
autoridades de control, la letra a) del apartado 1 del artículo 58 del
RGPD, confiere una serie de poderes a las Autoridades de Control de
Protección de Datos cuando los responsables, o en su caso, encargados,
no cumplen con estos derechos, que analizaremos en el módulo 5 de este
curso.

**Derecho de información en la recogida de datos**
--------------------------------------------------

1. Antecedentes: el derecho de información en la LOPD

Las Administraciones públicas u Órganos administrativos -responsables
del tratamiento- deberán facilitar a los interesados toda la información
que precisen en relación con el tratamiento de sus datos personales. La
información se refiere a su actividad propia en la medida en que
realicen tratamientos de datos personales, pudiendo afectar a un amplio
espectro de actividades, funciones, acciones, prestación de servicios,
contratación de obras, bienes y/o servicios, y a un amplio etcétera.

Una primera tarea en orden al cumplimiento de esta obligación de
información consiste en la correcta cumplimentación por parte de los
responsables de los tratamientos de los registros y/o fichas relativas a
sus actividades de tratamiento.

Sin embargo, la más importante obligación de las Administraciones u
Órganos responsables de los tratamientos en relación con los derechos en
materia de protección de datos, es su deber de informar a todos los
interesados -de manera expresa e inequívoca-, de la existencia de dicho
tratamiento de datos personales, de la identidad y dirección del
responsable del tratamiento, de su finalidad, de los destinatarios, de
la posible obligatoriedad de las respuestas, y de la posibilidad de
ejercer sus derechos.

En función de las circunstancias y categorías de los datos sometidos a
tratamiento, dicha información podrá constar en diferentes tipos de
formatos; así, entre otros, en formularios, cupones, cláusulas
informativas, carteles, o avisos en páginas web, pudiéndose utilizar,
según los casos, medios tradicionales y/o electrónicos para la recogida
de información personal de los afectados.

Como punto de partida de este derecho de información, debemos referirnos
que con la anterior LOPD (artículo 5.1), cuando una Administración
pública, o un órgano administrativo competente por razón de la materia,
recababa datos de carácter personal, debía informar a los afectados por
el tratamiento de lo siguiente:

- - - - -

Un ejemplo de cláusula informativa, siguiendo lo dispuesto en la
anterior LOPD, que podría utilizar una Administración pública o un
Órgano administrativo al recabar datos de carácter personal era la
siguiente:

Con carácter general, debían utilizarse leyendas informativas en todos
los documentos e impresos a través de los cuales la Administración u
Órgano administrativo --responsables del tratamiento- recogía datos de
carácter personal. Igualmente, cuando el procedimiento de recogida de la
información era telemático, debía garantizarse también el derecho del
afectado a la información en la recogida de su información personal.

- Visualmente mediante señales o carteles informativos. Es la forma
utilizada en la captación de imágenes mediante cámaras de
videovigilancia.

- Verbalmente. Por ejemplo, en procesos de atención al ciudadano,
gestión de servicios o contratación telefónica. En estos casos, la
información se prestará también verbalmente.

- A través de formularios electrónicos. Se suele identificar con
títulos del tipo "información LOPD", "protección de datos
personales", o "políticas de privacidad".

2.

- Identidad y datos de contacto del responsable y, en su caso, de su
representante;

- Datos de contacto del delegado de protección de datos;

- Fines y base jurídica del tratamiento;

- Intereses legítimos del responsable o de un tercero;

- Destinatarios o las categorías de destinatarios de los datos
personales;

- Transferencias internacionales previstas;

- Plazo de conservación;

- Derechos de acceso, rectificación o supresión, limitación del
tratamiento, oposición y portabilidad;

- Posibilidad de revocación del consentimiento;

- Derecho a presentar una reclamación ante una autoridad de control;

- En el supuesto de que la comunicación de datos personales sea
obligatoria, se deberá informar de las posibles consecuencias de no
facilitar los datos;

- Información sobre la posible existencia de decisiones automatizas,
incluida la elaboración de perfiles, la lógica aplicada y las
consecuencias previstas.

- La información que se facilite ha de ser concisa, transparente,
inteligible, accesible, fácil de entender y presentarse en un
lenguaje claro y sencillo, en especial la dirigida específicamente a
los niños.

- La información será facilitada por escrito u otros medios, incluso
electrónicos, si procede.

-

No obstante todo lo anterior, el RGPD establece excepciones específicas
al deber de información, recogidas en sus artículos 13.4 y 14.5, de
forma que no se aplicará lo anteriormente expuesto:

-

-

- Cuando el interesado ya disponga de la información.

- En los supuestos de esfuerzo desproporcionado. En el RGPD se
establecen las pautas que deben servir para ponderar la concurrencia
de un esfuerzo desproporcionado en caso de tratamiento con fines de
archivo, estadísticos o de investigación científica o histórica.

- En los supuestos de existencia de una previsión legal expresa de
tratamiento o revelación, con medidas oportunas de protección.

- En los supuestos de existencia de una obligación de secreto legal o
profesional.

Como consecuencia de las novedades normativas derivadas de la aplicación
práctica del RGPD, las cláusulas, cupones, fichas, cuestionarios o
formularios (incluyendo los utilizados en las páginas web), deberán
adaptarse a los requisitos a los que se ha hecho mención, comprendiendo
en todo caso información concisa, transparente, inteligible, clara y
sencilla en relación con el tratamiento de los datos que pretenda
realizar el responsable.

La LOPD y GDD regula en el artículo 11 la transparencia e información al
afectado disponiendo que la información básica a suministrar debe
contener al menos: la identidad del responsable del tratamiento y de su
representante, en su caso, la finalidad del tratamiento y la posibilidad
de ejercer los derechos establecidos en los artículos 15 a 22 del RGPD.
Cuando los datos no se hubieran obtenido del afectado, la información
básica incluirá también las categorías de datos objeto de tratamiento y
las fuentes de las que proceden los datos.

**Derecho de acceso**
---------------------

A través del ejercicio de este derecho, los interesados por los
tratamientos pueden conocer si sus datos de carácter personal están
siendo tratados por parte de la Administración pública o del Órgano
administrativo responsable del tratamiento, qué datos son objeto de
dicho tratamiento, la finalidad del mismo, el origen de los citados
datos y si se han comunicado o se van a comunicar a un tercero.

A su vez, con la aplicación del RGPD, en su artículo 15 -bajo la rúbrica
"Derecho de acceso del interesado"-, se amplía la posibilidad de
conocimiento de las diversas circunstancias relativas al tratamiento de
los datos personales realizado por el responsable.

De acuerdo con dicho precepto:

"1. El interesado tendrá derecho a obtener del responsable del
tratamiento confirmación de si se están tratando o no datos personales
que le conciernen y, en tal caso, derecho de acceso a los datos
personales y a la siguiente información:

a. los fines del tratamiento;

b. las categorías de datos personales de que se trate;

c. los destinatarios o las categorías de destinatarios a los que se
comunicaron o serán comunicados los datos personales, en particular
destinatarios en terceros u organizaciones internacionales;

d. e. f. g.

2. Cuando se transfieran datos personales a un tercer país o a una
organización internacional, el interesado tendrá derecho a ser
informado de las garantías adecuadas en virtud del artículo 46
relativas a la transferencia.

3. El responsable del tratamiento facilitará una copia de los datos
personales objeto de tratamiento. El responsable podrá percibir por
cualquier otra copia solicitada por el interesado un canon razonable
basado en los costes administrativos. Cuando el interesado presente
la solicitud por medios electrónicos, y a menos que este solicite
que se facilite de otro modo, la información se facilitará en un
formato electrónico de uso común.

4. El derecho a obtener copia -mencionado en el apartado 3- no afectará
negativamente a los derechos y libertades de otros."

- Cuando la Administración pública responsable trate una gran cantidad
de información relativa al interesado y éste ejercite su derecho de
acceso sin especificar si se refiere a todos o a una parte de los
datos, el responsable podrá solicitar, antes de facilitar la
información, que especifique los datos o actividades de tratamiento
a los que se refiere su solicitud.

- El derecho de acceso se entenderá otorgado si la Administración u
Órgano responsable del tratamiento facilita al interesado un sistema
de acceso remoto, directo y seguro a los datos personales que
garantice, de modo permanente, el acceso a su totalidad.

- Cuando el interesado elija un medio distinto al que se le ofrece,
asumirá los riesgos y los costes desproporcionados que su elección
comporte.

- Se podrá considerar repetitivo el ejercicio del derecho de acceso en
más de una ocasión durante el plazo de seis meses, a menos que
exista causa legítima.

**Derecho de rectificación**
----------------------------

Supone la posibilidad de que -mediante su ejercicio ante el responsable
del tratamiento-, el titular de dichos datos obtenga la modificación de
sus datos personales inexactos o incompletos, debiendo en la solicitud
de rectificación indicar qué datos desea que se modifiquen o corrijan. A
dicha solicitud, el titular de los datos - solicitante de la
rectificación-, deberá acompañar la documentación justificativa en la
que base su pretensión.

El RGPD reconoce específicamente tanto el derecho de rectificación como
el de supresión de los datos de carácter personal, regulándolos como
derechos independientes.

De acuerdo con el artículo 16 del RGPD, el interesado tendrá derecho a
obtener sin dilación indebida del responsable del tratamiento la
rectificación de los datos personales inexactos que le conciernan.
Teniendo en cuenta los fines del tratamiento, el interesado tendrá
derecho a que se completen los datos personales que sean incompletos,
incluso mediante una declaración adicional.

En la LOPD y GDD, se reconoce igualmente el derecho de rectificación en
materia de protección de datos, señalándose que al ejercer dicho
derecho, el afectado debe indicar a qué datos se refiere y la corrección
que haya de realizarse. Asimismo, se prevé que el solicitante acompañe,
cuando sea preciso, la documentación justificativa de la inexactitud o
carácter incompleto de los datos objeto de tratamiento.

Así, por ejemplo, cuando el titular de los datos cambia de domicilio y
la dirección que posee la Administración pública -responsable del
tratamiento-, es la anterior, a través del ejercicio de este derecho
dicho titular puede comunicar la nueva dirección, instando la
rectificación de sus anteriores datos personales.

Además, dentro del Título X \"garantía de los derechos digitales\" se
regula el derecho de rectificación en Internet\", estableciendo el
artículo 85 la obligación de los responsables de redes sociales y
servicios equivalentes de posibilitar el ejercicio del derecho de
rectificación ante los usuarios que difundan contenidos que atenten
contra el derecho al honor, intimidad personal y familiar y el derecho a
comunicar o recibir libremente información veraz. Cuando los medios de
comunicación digitales deban atender la solicitud de rectificación,
deberán publicar en sus archivos digitales un aviso aclaratorio que
ponga de manifiesto que la noticia original no refleja la situación
actual del individuo.

Por último, la Disposición final Tercera de la LOPD y GDD modifica la
Ley Orgánica del Régimen Electoral General, concretamente el artículo
39.3 disponiendo que cualquier persona podrá formular reclamación
dirigida a la Delegación Provincial de la Oficina del Censo Electoral
sobre sus datos censales, si bien solo podrán ser tenidas en cuenta las
que se refieran a la rectificación de errores en los datos personales.

**Derecho de supresión ("el derecho al olvido")**
-------------------------------------------------

Tal y como queda expuesto, el RGPD reconoce específicamente los derechos
de rectificación y supresión como derechos independientes.

El derecho de supresión tiene por objeto la eliminación --sin dilación
indebida- de los datos personales cuando concurra alguno de los
supuestos a los que se hará mención. Los ejemplos más típicos se
vinculan al tratamiento ilícito de datos, o a la desaparición de la
finalidad que motivó el tratamiento para el que fueron recogidos.

1. "El interesado tendrá derecho a obtener sin dilación indebida del
responsable del tratamiento la supresión de los datos personales que
le conciernan, el cual estará obligado a suprimir sin dilación
indebida los datos personales cuando concurra alguna de las
circunstancias siguientes:

a. los datos personales ya no sean necesarios en relación con los
fines para los que fueron recogidos o tratados de otro modo;

b. el interesado retire el consentimiento en que se basa el
tratamiento de conformidad con el artículo 6, apartado 1, letra
a), o el artículo 9, apartado 2, letra a), y este no se base en
otro fundamento jurídico;

c. el interesado se oponga al tratamiento con arreglo al artículo
21, apartado 1, y no prevalezcan otros motivos legítimos para el
tratamiento, o el interesado se oponga al tratamiento con
arreglo al artículo 21, apartado 2;

d. los datos personales hayan sido tratados ilícitamente;

e. los datos personales deban suprimirse para el cumplimiento de
una obligación legal establecida en el Derecho de la Unión o de
los Estados miembros que se aplique al responsable del
tratamiento;

f. los datos personales se hayan obtenido en relación con la oferta
de servicios de la sociedad de la información mencionados en el
artículo 8, apartado 1.

2. Cuando haya hecho públicos los datos personales y esté obligado, en
virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el
responsable del tratamiento, teniendo en cuenta la tecnología
disponible y el coste de su aplicación, adoptará medidas razonables,
incluidas medidas técnicas, con miras a informar a los responsables
que estén tratando los datos personales de la solicitud del
interesado de supresión de cualquier enlace a esos datos personales,
o cualquier copia o réplica de los mismos.

3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea
necesario:

g. para ejercer el derecho a la libertad de expresión e
información;

h. para el cumplimiento de una obligación legal que requiera el
tratamiento de datos impuesta por el Derecho de la Unión o de
los Estados miembros que se aplique al responsable del
tratamiento, o para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos
al responsable;

i. por razones de interés público en el ámbito de la salud pública
de conformidad con el artículo 9, apartado 2, letras h) e i), y
apartado 3;

j. con fines de archivo en interés público, fines de investigación
científica o histórica o fines estadísticos, de conformidad con
el artículo 89, apartado 1, en la medida en que el derecho
indicado en el apartado 1 pudiera hacer imposible u obstaculizar
gravemente el logro de los objetivos de dicho tratamiento, o

k. para la formulación, el ejercicio o la defensa de
reclamaciones."

- La aplicación de los derechos de supresión y oposición a los
buscadores de internet para impedir la difusión de la información
cuando ésta es obsoleta o no tiene relevancia ni interés público.

- Si se estima la pretensión del interesado, la información no
aparecerá en los resultados de búsquedas, pero --salvo que el
"editor" (fuente original) adopte medidas al respecto- se seguirá
publicado en la fuente original.

- El ejercicio de este derecho, y su eventual atención, se deben
valorar caso a caso para lograr un equilibrio entre los diferentes
derechos e intereses en juego.

- Si los responsables de los buscadores de internet deniegan la
pretensión de un interesado, éste puede presentar una reclamación
ante la Agencia.

- Los principales buscadores de internet han habilitado formularios
para facilitar su ejercicio. También pueden obtenerse dichos
formularios y/o enlaces en la sección web de la Agencia dedicada al
"derecho al olvido".

- El interesado puede ejercitar este derecho ante los buscadores sin
necesidad de acudir a la fuente original de publicación.

**Derecho a la limitación del tratamiento**
-------------------------------------------

El RGPD reconoce en su artículo 18 este nuevo derecho --a la "limitación
del tratamiento"-, que puede ejercerse cuando se cumpla alguna de las
condiciones siguientes:

a. "el interesado impugne la exactitud de los datos personales, durante
un plazo que permita al responsable verificar la exactitud de los
mismos.

b. el tratamiento sea ilícito y el interesado se oponga a la supresión
de los datos personales y solicite en su lugar la limitación de su
uso.

c. el responsable ya no necesite los datos personales para los fines
del tratamiento, pero el interesado los necesite para la
formulación, el ejercicio o la defensa de reclamaciones.

d. el interesado se haya opuesto al tratamiento en virtud del artículo
21.1, mientras se verifica si los motivos legítimos del responsable
prevalecen sobre los del interesado."

El apartado 2 del propio artículo 18 dispone que "cuando el tratamiento
de datos personales se haya limitado en virtud del apartado 1, dichos
datos solo podrán ser objeto de tratamiento, con excepción de su
conservación, con el consentimiento del interesado o para la
formulación, el ejercicio o la defensa de reclamaciones, o con miras a
la protección de los derechos de otra persona física o jurídica o por
razones de interés público importante de la Unión o de un determinado
Estado miembro".

Finalmente, de acuerdo con su apartado 3, "todo interesado que haya
obtenido la limitación del tratamiento con arreglo al apartado 1 será
informado por el responsable antes del levantamiento de dicha
limitación."

En el artículo 16 de la LOPD y GDD se plasma también el reconocimiento
de este derecho por vía de remisión al propio RGPD. A su vez, se dispone
que el hecho de que el tratamiento de los datos personales esté limitado
debe constar claramente en los sistemas de información del responsable.

**Derecho de portabilidad de los datos**
----------------------------------------

El RGPD reconoce este nuevo derecho que -en la práctica- supone que los
interesados por los tratamientos puedan solicitar la recuperación de los
datos personales que estén siendo tratados de forma automatizada por un
determinado responsable a fin de trasladarlos a otro responsable de su
elección.

En consecuencia, el derecho a la portabilidad de los datos (art. 20 del
RGPD), implica el derecho a recibir los datos personales facilitados en
un formato estructurado, de uso común y lectura mecánica, y poder
transmitirlos a otro responsable del tratamiento, sin que lo impida el
responsable al que se los hubiera facilitado, siempre que sea
técnicamente posible.

Este derecho tiene cabida cuando el tratamiento se basa en el
consentimiento con arreglo al artículo 6, apartado 1, letra a), o el
artículo 9, apartado 2, letra a), o en un contrato con arreglo al
artículo 6, apartado 1, letra b), y --además- el tratamiento se efectúa
por medios automatizados.

El interesado tendrá derecho a que los datos personales se transmitan
directamente de responsable a responsable cuando sea técnicamente
posible, y su reconocimiento y efectos no obstan al ejercicio del
derecho de supresión. A su vez, el derecho de portabilidad de los datos
no se aplica al tratamiento que sea necesario para el cumplimiento de
una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al responsable del tratamiento, no pudiendo afectar
negativamente a los derechos y libertades de otras personas.

En el artículo 17 de la LOPD y GDD, se plasma también el reconocimiento
de este derecho por vía de remisión al propio RGPD.

**Derecho de oposición y decisiones individualizadas**
------------------------------------------------------

La mayor parte de los tratamientos de datos requiere el consentimiento
del titular salvo que concurran las excepciones previstas en la
normativa aplicable. Además, existen determinados supuestos en los que
el interesado por el tratamiento -sin perjuicio de la licitud de dicho
tratamiento-, puede ejercitar su "derecho de oposición", en relación con
el mismo.

De acuerdo con el artículo 21 del RGPD, el derecho de oposición puede
ejercerse en cualquier momento, por motivos relacionados con la
situación particular del interesado, debiendo cesar el tratamiento de
los datos realizado por el responsable, salvo que se acredite un interés
legítimo o sea necesario para el ejercicio o defensa de reclamaciones.
Asimismo, puede ejercerse cuando el tratamiento tenga por objeto la
mercadotecnia directa.

El interesado tiene derecho a oponerse en cualquier momento, por motivos
relacionados con su situación particular, a que determinados datos
personales que le conciernan sean objeto de un tratamiento basado en "el
cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del
tratamiento", o bien cuando "el tratamiento es necesario para la
satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en
particular cuando el interesado sea un niño", incluida la elaboración de
perfiles.

En estos supuestos, el responsable del tratamiento dejará de tratar los
datos personales, salvo que acredite motivos legítimos imperiosos para
el tratamiento que prevalezcan sobre los intereses, los derechos y las
libertades del interesado, o para la formulación, el ejercicio o la
defensa de reclamaciones.

Cuando el tratamiento de datos personales tenga por objeto la
mercadotecnia directa, el interesado tendrá derecho a oponerse en todo
momento al tratamiento de los datos personales que le conciernan,
incluida la elaboración de perfiles en la medida en que esté relacionada
con la citada mercadotecnia.

Cuando el interesado se oponga al tratamiento con fines de mercadotecnia
directa, los datos personales dejarán de ser tratados para dichos fines.

A más tardar en el momento de la primera comunicación con el interesado,
la atención del derecho de oposición será informada explícitamente al
interesado y será presentada claramente y al margen de cualquier otra
información.

En el contexto de la utilización de servicios de la sociedad de la
información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el
interesado podrá ejercer su derecho a oponerse por medios automatizados
que apliquen especificaciones técnicas.

Cuando los datos personales se traten con fines de investigación
científica o histórica o fines estadísticos, el interesado tendrá
derecho, por motivos relacionados con su situación particular, a
oponerse al tratamiento de datos personales que le conciernan, salvo que
sea necesario para el cumplimiento de una misión realizada por razones
de interés público.

En el artículo 18 de la LOPD y GDD, se plasma también el reconocimiento
de este derecho por vía de remisión al propio RGPD.

Por ejemplo, en un procedimiento selectivo de acceso a la Administración
pública, un aspirante que ha sido víctima de violencia de género puede
instar la no publicación de sus datos personales, pudiendo constar
únicamente las iniciales de su nombre y apellidos y el número de su DNI,
y adoptándose las medidas técnicas para que esa información no sea
indexada por los buscadores.

Por otra parte, en el supuesto de "publicidad institucional" remitida
por una Administración pública u Órgano administrativo, sería también
posible el ejercicio del derecho de oposición al tratamiento, sin
necesidad de que el ciudadano afectado especificara ningún motivo
concreto.

Finalmente, en caso de ejercicio del derecho de oposición por un
afectado al tratamiento de sus datos personales con fines de
investigación y estadísticos, la excepción al mismo sólo puede basarse
en claras razones de interés público. \[2\]

Por su parte, el derecho a no ser objeto de decisiones individualizadas
basadas únicamente en tratamientos automatizados, se recoge en el
artículo 22 del RGPD.

Todo interesado tiene derecho a no ser objeto de una decisión basada
únicamente en el tratamiento automatizado de su información de carácter
personal, incluida la elaboración de perfiles, que produzca efectos
jurídicos en él o le afecte significativamente de modo similar.

Las excepciones a este derecho se concretan en los supuestos en que
dicho tratamiento sea necesario para la celebración o ejecución de un
contrato, esté permitido por el Derecho de la UE o de los Estados
miembros -con medidas adecuadas para salvaguardar los derechos y
libertades del titular de los datos-, o bien exista consentimiento
explícito del titular de los datos.

En estos casos, la Administración pública responsable del tratamiento
debe adoptar las medidas adecuadas para salvaguardar los derechos y
libertades y los intereses legítimos del interesado, y, como mínimo, el
derecho a obtener intervención humana por parte del responsable, a
expresar su punto de vista y a impugnar la decisión.

Las decisiones a las que se refieren las "excepciones" no pueden basarse
en las categorías especiales de datos personales, salvo en los supuestos
expresamente tasados en el artículo 9, apartado 2, letra a) o g) del
RGPD, requiriendo --en todo caso- que se adopten las medidas adecuadas
para salvaguardar los derechos y libertades y los intereses legítimos
del interesado

Un ejemplo de tratamiento -que tiene como fin la adopción de una
decisión referida a un ciudadano basada únicamente en un tratamiento
automatizado de sus datos personales-, concurre cuando un programa
informático propone una decisión que afecta al ciudadano, realizando un
análisis de sus datos de carácter personal a fin de evaluar su capacidad
económica, su modo de vida, su rendimiento laboral, o su capacidad de
crédito.

Otro ejemplo es el ejercicio del derecho de oposición a la publicación
de los datos personales del afectado en Boletines o Diarios oficiales,
así como en sitios web institucionales y en otros canales electrónicos o
telemáticos administrativos, que podrá fundamentarse en la concurrencia
de un motivo legítimo y fundado, referido a la concreta situación
personal de dicho afectado y basado en:).

10.

En el RGPD se establece una serie de limitaciones del ejercicio de los
derechos de los interesados, cuyo alcance se concreta -en la práctica-,
en una serie de excepciones al ejercicio de los derechos del Capítulo
III del propio RGPD, y de los principios recogidos en su artículo 5
--dentro del Capítulo 2-, en cuanto se vinculen a dichos derechos.

En su artículo 23, el RGPD ofrece un catálogo de los supuestos que
justifican las limitaciones del ejercicio de derechos, que --en esencia-
responden a los supuestos que se recogían en la Directiva 95/46/CE
europea --artículo 13.1-.

Como novedades destacables, se realiza una referencia a los "objetivos
importantes de interés público general" y no sólo a los de carácter
económico o financiero, así como a la protección de la independencia
judicial, y a la ejecución de sentencias (si bien se indica --de
demandas civiles-).

La existencia de estas limitaciones requiere su formulación por Ley, que
respete los derechos y libertades fundamentales. Asimismo, se exige que
se trate de una medida necesaria y proporcionada en una sociedad
democrática para el logro de los objetivos, fijándose expresamente --en
el apartado 2 del propio artículo 23 RGPD-, el contenido mínimo de dicha
disposición para asegurar el establecimiento de las garantías adecuadas.

"Artículo 23 Limitaciones (RGPD)

4.

l. m. n. o. p. q. r. s. t. u.

5.

a. la finalidad del tratamiento o de las categorías de tratamiento;

b. las categorías de datos personales de que se trate;

c. el alcance de las limitaciones establecidas;

d. las garantías para evitar accesos o transferencias ilícitos o
abusivos;

e. la determinación del responsable o de categorías de responsables;

f. los plazos de conservación y las garantías aplicables habida cuenta
de la naturaleza alcance y objetivos del tratamiento o las
categorías de tratamiento;

g. los riesgos para los derechos y libertades de los interesados, y

h. el derecho de los interesados a ser informados sobre la limitación,
salvo si puede ser perjudicial a los fines de esta."

**[3: LAS ADMINISTRACIONES PÚBLICAS COMO RESPONSABLES EN EL RGPD. RELACIONES CON SUS ENCARGADOS DE TRATAMIENTOS]**
==============================================================================================================================

**El principio de responsabilidad activa.**
-------------------------------------------

- La implementación del principio de transparencia del responsable
hacia el sujeto de los datos en relación al conjunto de tratamientos
realizados y los datos recogidos, especialmente en el caso de
enriquecimiento de datos y las subcontrataciones realizadas,
incluyendo las transferencias internacionales.

- El ejercicio de los derechos reconocidos a los sujetos de los datos,
en particular los derechos de acceso a los datos almacenados por el
responsable, rectificación de los datos erróneos y cancelación de
los datos no necesarios.

- La obligación de tener un delegado de protección de datos que
canalice dicha información tanto a las autoridades de control como a
los sujetos de los datos que se dirijan a la entidad.

- La obligación de tener un listado de tratamientos, obligación que
sustituye a la de la notificación de ficheros a la Autoridad de
Control, y que dicho listado esté disponible tanto para la autoridad
como para todos aquellos ciudadanos que lo requieran, aunque sus
datos no se encuentren bajo tratamiento.

- La obligación de realizar los análisis de impacto a la privacidad,
que es un análisis crítico del tratamiento de los datos personales
que se llevan a cabo en un proceso, servicio o negocio. Está
orientado a identificar tanto los efectos directos y previstos en el
objeto de dicho tratamiento, como los efectos secundarios, laterales
o indeseados que el mismo puede ocasionar a la privacidad, intimida
y libertad tanto de los clientes, usuarios o terceros. Es un estudio
que trasciende el marco local de las actividades de la propia
organización, o los propósitos originales del tratamiento, y ha de
adoptar una visión global cuyo objetivo es la protección de los
derechos humanos y las libertadas fundamentales tal y como se
desarrollan en el RGPD. Y lo más importante, ha de ponerse a
disposición de las Autoridades de Control en caso de que se tengan
dudas sobre el riesgo que sobre la libertad de los tratamientos
puedan acarrear dichos productos o servicios o en el caso de que se
ha puesto en duda la legitimidad del tratamiento debido, por
ejemplo, a una denuncia de un sujeto de los datos.

- Los resultados obtenidos en dicho análisis son aquellos que se
tienen que utilizar como entrada en tres de los procesos definidos
en el RGP: los análisis de riesgos de seguridad, los requisitos de
privacidad desde el diseño y los de privacidad por defecto.

- La implementación de las medidas de seguridad identificadas como
resultado del análisis de riesgo, lo que implica el mantenimiento de
las mismas y la definición de un ciclo de vida implementado de forma
"traceable" para realizar su seguimiento en el tiempo.

- En relación a la implementación de medidas de seguridad, y en
general de los procesos que tratan datos de carácter personal, la
obtención de certificados y de sellos de privacidad, lo que supone
pasar procesos de certificación supervisados por terceros.

- -

De los párrafos anteriores se puede deducir una importante conclusión y
es que la responsabilidad proactiva se refiere a la configuración de la
organización desde la perspectiva de protección de datos. Una
configuración que permite articular coherentemente cada una de las
medidas enumeradas anteriormente, y establecidas en el Reglamento, para
que actúen de forman coordinada ofreciendo una efectiva protección a los
derechos de los ciudadanos. Es decir, responsabilidad proactiva supone
introducir una cultura de protección de datos en la organización.

No se encuentra otra referencia a la responsabilidad proactiva en el
texto del articulado. En cambio, sí se encuentra en uno de los
considerandos: el Considerando 85. Dicha referencia se realiza en
relación a la comunicación de brechas de seguridad y, en particular, a
la excepción de la informar a las autoridades de control sobre la
existencia de un incidente de seguridad que afecte a los datos de
carácter personal cuando, atendiendo al principio de responsabilidad
proactiva, el responsable pueda demostrar la improbabilidad de que la
violación de la seguridad de los datos personales entrañe un riesgo para
los derechos y las libertades de las personas físicas.

Este Considerando no establece, pero sí sugiere, una interpretación en
relación a la seguridad jurídica que una decisión de la organización en
relación a una brecha de seguridad sea contraria a realizar una
notificación de brecha de seguridad. La organización se encontrará
protegida porque tiene conocimiento que el impacto de la misma es
mínimo. La seguridad de ese conocimiento se fundamenta en el control
efectivo y real de los procesos de datos personales.

**Privacidad desde el diseño y por defecto**
--------------------------------------------

INTRODUCCIÓN.

En el texto del RGPD se hace referencia a dos principios para la
implementación efectiva de la responsabilidad proactiva como son los de
protección de datos desde el diseño y protección de datos por defecto.
Dichas referencias se centran en los Considerandos 78 y 108 y en el
artículo 25, titulado "Protección de datos desde el diseño y por
defecto", donde se configuran y desarrollan estos principios.

Si se repasa el artículo 4 "Definiciones" no se encontrará una
definición precisa y limitada de ambos principios, por lo que hay que
remitirse al texto del citado artículo 25 para determinar que se
pretende con ellos.

### **Protección de datos desde el diseño**

De conformidad con el apartado 1 del artículo 25, se puede establecer
que el principio de protección de datos desde el diseño tiene como
objetivo cumplir los requisitos definidos en el RGPD y por tanto, los
derechos de los interesados. La palabra "requisito" utilizada en el
artículo es de capital importancia, ya que implica que lo establecido en
el RGPD ha de servir como entrada al conjunto de requisitos que se
utilizarán para definir, es su estado inicial, la funcionalidad de un
producto, servicio o aplicación de tratamiento de datos. La protección
de datos ha de estar presente en las primeras fases de concepción de un
proyecto y formar parte de la lista de elementos a considerar antes de
iniciar sucesivas etapas de desarrollo.

De esta forma, la protección de datos no es algo a considerar una vez se
tiene el producto encima de la mesa, sino que se ha de plantear incluso
antes de que éste este en el tablero de diseño. Las medidas que permiten
garantizar la protección de datos no son una capa añadida al
tratamiento, un envoltorio o una funcionalidad posterior, sino que están
íntimamente incluidas en el mismo, formando parte integral del espíritu
de su diseño, de forma que no es un elemento identificable que se pueda
quitar o poner, sino que está impregnando toda su estructura.

Por supuesto, estos requisitos se van a traducir en medidas técnicas y
organizativas con el objeto aplicar

de forma efectiva los principios de protección de datos e integrar las
garantías necesarias en el tratamiento.

Es importante recalcar que la implementación de un tratamiento no
descansa únicamente en un conjunto de productos hardware o software,
sino que un tratamiento es un sistema formado por máquinas, personas, la
interacción entre ambas y los modos de utilización y de uso. Estos tres
últimos elementos se definen en las medidas organizativas.

Un ejemplo de dichas medidas, que se establece de forma expresa en el
RGPD, es que el propio tratamiento incorpore medidas para la
seudoanonimización temprana de los datos personales o la minimización de
datos.

La seudoanonimización se define en el apartado 5 del artículo 4 como el
tratamiento de datos personales de manera tal que ya no puedan
atribuirse a un interesado sin utilizar información adicional, y siempre
que dicha información adicional figure por separado y esté sujeta a
medidas técnicas y organizativas destinadas a garantizar que los datos
personales no se atribuyan a una persona física identificada o
identificable.

La minimización de datos no se encuentra explícitamente definida en el
RGPD, pero se interpreta en el sentido de que los datos personales
objeto de tratamiento deben ser adecuados, relevantes y limitados a los
que sean necesarios en relación con la finalidad del tratamiento. Ambas
medidas han de incorporarse en la implementación de los tratamientos, de
forma que la disociación de los datos identificativos del resto de datos
forme para en sí del proceso.

No hay que olvidar que muchos tratamientos se siguen realizando en
papel, parte de ellos realizando copias o utilizando el soporte de
impresión como copias temporales de trabajo, y que dicha forma de
trabajo ha de contemplarse a la hora de diseñar el proceso global.

La obligación de que se adopten los principios de privacidad desde el
diseño recae en el responsable del tratamiento. El responsable del
tratamiento podrá subcontratar tanto el desarrollo como la
implementación de una parte o de la totalidad del tratamiento. En ese
caso, haciendo ejercicio de sus obligaciones, debe reflejar
contractualmente los requisitos que garanticen la protección de los
derechos de los sujetos de los datos y hacer seguimiento de que dichos
requisitos han sido efectivamente traducidos a decisiones de diseño y
que son funcionales. En el caso de adquisición de productos o
contratación de servicios que sean utilizados para la implementación de
un tratamiento, entre los elementos que se utilizarán para determinación
de la elección entre los disponibles en el mercado ha de figurar, con un
peso significativo, sino crítico, el hecho de que se pueda demostrar que
en su desarrollo se han implementado los principios de privacidad desde
el diseño.

Sea cual sea la forma de subcontratación o adquisición, el responsable
nunca podrá delegar completamente sus obligaciones de aplicación de este
principio, ya que siempre quedará bajo su poder de decisión al menos
aquellas medidas organizativas que le compete tomar para interaccionar
con el servicio subcontratado.

La selección de las medidas serán resultado de un análisis de riesgos en
relación a la probabilidad y gravedad de que afecten a los derechos y
libertades de las personas físicas y se aplicarán teniendo en cuenta el
estado de la técnica, el coste de aplicación y la naturaleza, ámbito,
contexto y fines del tratamiento.

### **Privacidad por defecto**

El concepto de privacidad por defecto se desarrolla en el apartado 2 del
mismo artículo 25. La idea principal estriba en que sólo sean objeto de
tratamiento los datos personales que sean estrictamente necesarios para
cada uno de los fines de tratamiento. Es decir, independientemente del
conjunto de datos recogidos por el responsable con el objeto de
implementar los distintos servicios que se proporcionan al sujeto de los
datos, el responsable ha de compartimentar el uso del conjunto de datos
entre los distintos tratamientos, de tal forma que no todos los
tratamientos accedan a todos los datos, sino que actúen solo sobre
aquellos que sean necesarios y en los momentos en que sea estrictamente
necesario. Si fuera posible por la naturaleza del proceso, llegar
incluso a que no se traten datos de carácter personal.

En particular, se destaca como uno de los principios dentro de la
privacidad por defecto el que los datos personales no sean accesibles a
un número indeterminado de personas físicas, sin la intervención del
sujeto de los datos. Hay que tener en cuenta que el Reglamento señala
"personas físicas", no entidades, ya que se está refiriendo a la
aplicación del conocido principio de seguridad denominado
"need-to-know",como a una nueva extensión de ese principio que podríamos
denominar el "need-to-disclosure".

El principio de "need-to-know" o "necesidad de conocer" establece que en
una organización las personas han de tener acceso sólo a la información
precisa para ejecutar sus tareas. El principio se aplica a la protección
de datos de carácter personal en la medida que significa que los
empleados de la empresa sólo han de tener acceso a los datos de carácter
personal que son estrictamente necesarios para realizar

su trabajo o proporcionar un servicio. El principio de
"need-to-disclosure" tiene el mismo fundamento, pero extendido a
terceros que de alguna forma están relacionados con el producto o
servicio solicitado, como podría ser el caso de usuarios que han
utilizado el mismo servicio, han estado en el mismo sitio o se
encuentran en una misma situación.

Cuatro estrategias básicas permiten implementar la privacidad por
defecto:

- - - -

Como en el caso de la privacidad desde el diseño, estos requisitos se
van a traducir en medidas tanto técnicas como organizativas, y en el
caso de la privacidad por defecto, es necesario prestar incluso más
atención a estas últimas. Incluso, se señala la oportunidad de dar
transparencia a la implementación de dichos tratamientos, permitiendo a
los interesados supervisar el proceso de sus datos y al responsable del
tratamiento crear y mejorar elementos de seguridad.

### **Exigibilidad de la aplicación de estos principios**

En caso de transferencia de datos a un tercer país en que no haya una
decisión que constate la adecuación de la protección de los datos, el
considerando 108 establece que el responsable, o el encargado del
tratamiento, debe tomar medidas para compensar dicha situación. Esas
garantías deben asegurar la observancia de requisitos de protección de
datos y derechos de los interesados adecuados al tratamiento dentro de
la Unión, en particular, deben referirse al cumplimiento de los
principios de la protección de datos desde el diseño y por defecto.

**Del registro de ficheros al registro de actividades del tratamiento**
-----------------------------------------------------------------------

El 25 de mayo de 2018, fecha en que el RGPD entró en vigor, desapareció
la primera de las obligaciones a realizar por parte del responsable que
trata datos de carácter personal con la ahora derogada LOPD: la
notificación de ficheros ante el Registro General de Protección de
Datos.

Las dos normas de aplicación en España en materia de protección de datos
de carácter personal desde 1992, la LORTAD y la LOPD, habían previsto
como primera obligación del responsable la comunicación a la Agencia de
los ficheros que emplea en su actividad y que contengan datos de
carácter personal, informando, de acuerdo al artículo 26 de la LOPD,
sobre el responsable del fichero, la finalidad del mismo, su ubicación,
el tipo de datos de carácter personal que contiene, las medidas de
seguridad, con indicación del nivel básico, medio o alto exigible y las
cesiones de datos de carácter personal que se prevean realizar y, en su
caso, las transferencias de datos que se prevean a países fuera del
Espacio Económico Europeo.

1. Cada responsable y, en su caso, su representante llevarán un
registro de las actividades de tratamiento efectuadas bajo su
responsabilidad. Dicho registro deberá contener toda la información
indicada a continuación:

a. el nombre y los datos de contacto del responsable y, en su caso,
del corresponsable, del representante del responsable, y del
delegado de protección de datos;

b. c. d. las categorías de destinatarios a quienes se comunicaron
o comunicarán los datos personales, incluidos los destinatarios
en terceros países u organizaciones internacionales;

e. en su caso, las transferencias de datos personales a un tercer
país o una organización internacional, incluida la
identificación de dicho tercer país u organización internacional
y, en el caso de las transferencias indicadas en el artículo 49,
apartado 1, párrafo segundo\[2\], la documentación de garantías
adecuadas;

f. cuando sea posible, los plazos previstos para la supresión de
las diferentes categorías de datos;

g. cuando sea posible, una descripción general de las medidas
técnicas y organizativas de seguridad a que se refiere el
artículo 32, apartado 1

2. Cada encargado y, en su caso, el representante del encargado,
llevará un registro de todas las categorías de actividades de
tratamiento efectuadas por cuenta de un responsable que contenga:

h. el nombre y los datos de contacto del encargado o encargados y
de cada responsable por cuenta del cual actúe el encargado, y,
en su caso, del representante del responsable o del encargado, y
del delegado de protección de datos;

i. j. en su caso, las transferencias de datos personales a un
tercer país u organización internacional, incluida la
identificación de dicho tercer país u organización internacional
y, en el caso de las transferencias indicadas en el artículo 49,
apartado 1, párrafo segundo, la documentación de garantías
adecuadas;

k. cuando sea posible, una descripción general de las medidas
técnicas y organizativas de seguridad a que se refiere el
artículo 30, apartado 1.

3. Los registros a que se refieren los apartados 1 y 2 constarán por
escrito, inclusive en formato electrónico.

4. El responsable o el encargado del tratamiento y, en su caso, el
representante del responsable o del encargado pondrán el registro a
disposición de la autoridad de control que lo solicite.

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a
ninguna empresa ni organización que emplee a menos de 250 personas,
a menos que el tratamiento que realice pueda entrañar un riesgo para
los derechos y libertades de los interesados, no sea ocasional, o
incluya categorías especiales de datos personales indicadas en el
artículo 9, apartado 1, o datos personales relativos a condenas e
infracciones penales a que se refiere el artículo 10.

**La seguridad en el RGPD**
---------------------------

INTRODUCCIÓN.

La protección de datos se articula en un conjunto de principios básicos
entre los que se encuentran las obligaciones de los responsables de
proteger la información. Las medidas de seguridad son herramientas que
permiten alcanzar este objetivo de proteger la información, pero tenemos
que ser conscientes que todos manejamos diariamente nuestros datos y
nuestra información personal y la seguridad de los datos personales no
puede articularse exclusivamente desde el punto de vista de los
responsables. La seguridad de los datos personales tiene, al menos, dos
enfoques: uno el que corresponde a los responsables de los tratamientos
y otro el que corresponde a los propios interesados e interesadas.

Diariamente manejamos nuestra información personal, navegamos por
internet, instalamos apps en nuestros dispositivos móviles, accedemos a
redes sociales, realizamos compras online, dejamos nuestras opiniones en
foros y blogs, utilizamos el correo electrónico, utilizamos programas de
mensajería instantánea, etc. Cada día son más los servicios electrónicos
de los que disponemos y cada vez es más fácil su utilización y en cada
uno de estos servicios dejamos información personal que suele ser
utilizada con fines publicitarios.

Toda la información que dejamos online forma parte de lo que llamamos
nuestra huella digital, que habla de nosotros y marca nuestra reputación
digital que no es más que una parte de nuestra reputación social.

Nuestra huella digital se asocia a nuestra persona y es necesario ser
conscientes de los riesgos que esto puede implicar hacia nosotros y, en
general, para nuestros derechos y libertades.

Los servicios online forman parte de nuestra vida ya que, para cualquier
actividad o información que necesitemos, la realidad digital nos otorga
libertad para elegir e informarnos de forma global, pero es preciso
conocer la existencia de riesgos para nuestra información personal y
entender cómo evitarlos. El mundo digital no es muy distinto del mundo
real, los engaños también están presentes y con frecuencia su objetivo
es la obtención de nuestra información personal.

Por ejemplo, el uso del Smartphone está generalizado y es un dispositivo
en el que se almacena gran cantidad de información personal, es la
puerta de entrada a la mayoría de servicios digitales de los que somos
usuarios y se convierte en uno de los puntos más importantes a la hora
de proteger nuestra información personal.

Por estas razones la AEPD, en colaboración con INCIBE (Instituto
Nacional de Ciberseguridad) y con la AVPD, ha desarrollado una serie de
fichas temáticas agrupadas en la "[Guía de Privacidad y Seguridad
en] [Internet]" con el objetivo de dar a conocer
los riesgos más frecuentes para nuestra información personal y la forma
de evitarlos en la medida posible.

En esta guía se facilitan orientaciones para proteger la información que
almacenamos en nuestros dispositivos, ayudas para gestionar nuestras
contraseñas, recomendaciones para evitar utilizar páginas que suplantan
la identidad de un sitio web, explicamos la forma de eliminar nuestros
datos personales de los buscadores de internet, cómo evitar timos y
engaños en internet como por ejemplo el "phising" o el "ransomware".

Por otra parte, la educación digital y la concienciación del menor son
uno de los factores más importantes para garantizar la seguridad de su
información personal, en el mundo digital y de la información personal
que ellos manejan de otras personas cuando comparten información en la
red (videos, fotos, etc.). La concienciación del menor es fundamental de
cara a proteger su privacidad e incluso su seguridad. En buena parte de
los delitos en los que puede verse implicado un menor como víctima o
como responsable existe con frecuencia un denominador común: la
información personal. Ciberbulliying, ciberbaiting, sexting y grooming
son algunos ejemplos.

En el sitio web
[[www.tudecideseninternet.es]](http://www.tudecideseninternet.es/)
se ponen a disposición del menor recursos que pueden ser útiles para la
labor de concienciación y educación digital y recursos para el personal
próximo al menor como educadores o familiares. También dispone de