Tema 16: La Protección de Datos Personales - NOVA Centro de Estudios - PDF

Summary

Este documento es un esquema de examen sobre la protección de datos personales. Contiene una lista de los principios, derechos, y la Agencia Española de Protección de Datos. Es un examen para el tema 16 del NOVA Centro de Estudios.

Full Transcript

TEMA 16 TÉCNICO DE
ORIENTACIÓN
La Protección de datos personales: principios. LABORAL

Derechos de la persona.
PARTE
La Agencia Española de Protección de Datos. ESPECÍFICA
Normativa de referencia: regulación jurídica de la
protección de datos de carácter personal.

NOVA
CENTRO DE ESTUDIOS
ESQUEMA EXAMEN DESARROLLO
1. LA PROTECCIÓN DE DATOS
▪ Derecho fundamental (CE)
▪ Referencia histórica
▪ Régimen jurídico

2. OBJETO

3. ÁMBITO DE APLICACIÓN
▪ Material (exclusión LOPD art. 3)
▪ Territorial

4. SUJETOS INTERVINIENTES EN LA PROTECCIÓN DE LOS DATOS.
▪ Responsable del tratamiento
▪ Encargado del tratamiento
▪ Representante
▪ Delegado de protección de datos

5. PRINCIPIOS
▪ Principios relativos al tratamiento
− Licitud, lealtad y transparencia
− Minimización de datos
− Exactitud (LO)
− Limitación del plazo de conservación
− Integridad y confidencialidad
− Responsabilidad Proactiva
▪ Licitud del tratamiento
▪ Consentimiento
− Consentimiento del niño
− Categorías especiales de datos
▪ Datos relativos a condenas e infracciones penales

6. DERECHOS
▪ Transparencia e información
− Información que deberá facilitarse cuando los datos personales se obtengan del interesado
− Información que deberá facilitarse cuando los datos personales NO se obtengan del
interesado
▪ Derecho de acceso
▪ Derecho de rectificación
▪ Derecho de supresión “derecho al olvido”
▪ Derecho a la limitación del tratamiento
▪ Derecho a la portabilidad de los datos
▪ Derecho de oposición
▪ Decisiones individuales automatizadas, incluida la elaboración de perfiles
▪ Limitaciones

Página 2 de 16
7. DERECHOS DIGITALES, LEY 3/2018

Título X de la Ley 3/2018
− Derechos generales en el marco de Internet y redes sociales
− Derechos específicos para los menores
− Derechos digitales en el ámbito laboral

Carta de Derechos Digitales

8. AUTORIDADES DE PROTECCIÓN DE DATOS

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
▪ Estructura orgánica
▪ Funciones y potestades

Página 3 de 16
1. LA PROTECCIÓN DE DATOS
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho
fundamental protegido por el artículo 18.4 de la Constitución española. De esta manera, nuestra
Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos de carácter
personal cuando dispuso que «la ley limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Se hacía así eco de los trabajos
desarrollados desde finales de la década de 1960 en el Consejo de Europa y de las pocas disposiciones legales
adoptadas en países de nuestro entorno. Nuestros constituyentes tomaron, en este caso, el ejemplo de la
Constitución portuguesa, solo 2 años anterior a la española.

La jurisprudencia señala que nos encontramos ante un derecho fundamental a la protección de datos
por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales y sobre su uso
y destino para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados;
de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para
oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su
obtención.

A nivel de la Unión Europea, el derecho a la protección de datos de carácter personal se recoge en el
artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16.1 del Tratado de
Funcionamiento de la Unión Europea.

REFERENCIA HISTÓRICA

Anteriormente, a nivel europeo, se había adoptado la Directiva 95/46/CE, cuyo objeto era procurar que
la garantía del derecho a la protección de datos de carácter personal no supusiese un obstáculo a la libre
circulación de los datos en el seno de la Unión, estableciendo así un espacio común de garantía del derecho
que, al propio tiempo, asegurase que, en caso de transferencia internacional de los datos, su tratamiento en
el país de destino estuviese protegido por salvaguardas adecuadas a las previstas en la propia directiva.
Posteriormente, se aprobó la Directiva 97/63/CE de protección de datos personales en las comunicaciones
electrónicas.

El último hito en esta evolución tuvo lugar con la adopción del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas
en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (Reglamento
general de protección de datos, en adelante RGPD)

El RGPD entró en vigor el 25 de mayo de 2016, no obstante, la aplicación del mismo se produjo a partir
del 25 de mayo de 2018.

En España, la concreción y desarrollo del derecho fundamental de protección de las personas físicas en
relación con el tratamiento de datos personales tuvo lugar en sus orígenes mediante la aprobación de la Ley
orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos de carácter personal,
conocida como «LORTAD». Esta norma fue reemplazada por la Ley orgánica 15/1999, de 5 de diciembre, de
protección de datos de carácter personal, a fin de trasponer a nuestro ordenamiento jurídico la Directiva
95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos,
mencionada anteriormente.

No obstante, y al objeto de adaptar la normativa interna al RGPD, ha tenido lugar la reciente aprobación
de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos
digitales.

Página 4 de 16
RÉGIMEN JURÍDICO

Desde el 25 de mayo de 2018, la normativa aplicable en materia de protección de datos es directamente
el RGPD, al no requerir transposición alguna.

La adaptación al RGPD en el ámbito nacional ha requerido la elaboración de una nueva ley orgánica,
respondiendo a esta necesidad la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales
y garantía de los derechos digitales.

Con esta nueva Ley orgánica 3/2018 se adapta el ordenamiento jurídico español al RGPD y se completan
algunas de sus disposiciones. Además, esta nueva norma tiene como objeto garantizar los derechos digitales
de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución, citado al inicio del
tema.

Por su parte y de acuerdo con lo establecido en la disposición derogatoria única de la Ley orgánica 3/2018,
queda derogada la Ley orgánica 15/1999, a excepción de los artículos 23 y 24 (excepciones al ejercicio de
derechos por parte del interesado), que siguen vigentes en tanto no sean expresamente modificados,
sustituidos o derogados. También queda derogado el Real Decreto-Ley 5/2018, de 27 de julio, de medidas
urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección
de datos.

Por tanto, el régimen jurídico actual en materia de protección de datos va a venir marcado por el RGPD
y la adecuación de nuestro ordenamiento al reglamento europeo con la reciente aprobación de la Ley
orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

Pese a que los reglamentos europeos gozan de aplicabilidad directa, se concedió a los Estados Miembros
un periodo de 2 años para su aplicación debido a su complejidad. Así, el RGPD, que entró en vigor el 25 de
mayo de 2016, no fue de aplicación directa hasta el 25 de mayo de 2018.

A continuación, se relacionan algunas de las características del régimen jurídico previsto en este
reglamento y la adecuación del mismo, que se hace a nivel nacional, en la Ley orgánica 3/2018, de 5 de
diciembre, de protección de datos personales y garantía de los derechos digitales.

2. OBJETO
El RGPD establece las normas relativas a la protección de los derechos y libertades fundamentales de las
personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre
circulación de tales datos que no podrá ser restringida ni prohibida por motivos relacionados con la protección
de las personas físicas en lo que respecta al tratamiento de datos personales.

La Ley orgánica 3/2018, adapta el ordenamiento jurídico español al RGPD y se completan algunas de sus
disposiciones. Además, esta nueva norma tiene como objeto garantizar los derechos digitales de la ciudadanía
conforme al mandato establecido en el artículo 18.4 de la Constitución, citado al inicio del tema.

Página 5 de 16
3. ÁMBITO
El RGPD establece un ÁMBITO DE APLICACIÓN MATERIAL al tratamiento tanto automatizado como no
automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

De este ámbito queda excluido el tratamiento de datos personales de actividades no comprendidas en
el ámbito de aplicación del derecho de la Unión o las que estén comprendidas en el ámbito de aplicación
del capítulo 2 del título V del TUE en relación con la seguridad exterior. También se excluye el tratamiento
de las personas físicas en el ejercicio de actividades exclusivamente personales o domésticas y cuando
el tratamiento se realice por parte de las autoridades competentes en enjuiciamiento de infracciones o
sanciones penales o protección y prevención de amenazas a la seguridad pública.

Si hacemos referencia a la Ley orgánica 3/2018, excluye de su ámbito de aplicación, además de los
tratamientos anteriormente citados, los sometidos a la normativa sobre protección de materias
clasificadas y los tratamientos de datos de personas fallecidas, reflejado en su artículo 3.

No obstante, las personas vinculadas al fallecido por razones familiares o de hecho, así como sus
herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a
los datos personales de aquella y, en su caso, su rectificación o supresión, excepto cuando la persona
fallecida lo hubiese prohibido expresamente o así lo establezca una ley. No afectará al derecho de los
herederos a acceder a los datos de carácter patrimonial del causante.

En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes
legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a
instancia de cualquier persona física o jurídica interesada. Y en caso de fallecimiento de personas con
discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo
anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales
facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

El RGPD también establece un ÁMBITO DE APLICACIÓN TERRITORIAL que afectará al tratamiento de datos
personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la
Unión, independientemente de que el tratamiento tenga lugar en la Unión o no y de los que residentes en la
Unión por parte de un responsable o encargado no establecido en la Unión, o en aquellos lugares donde sea
de Aplicación el derecho de la Unión Europea en virtud del derecho internacional público.

4. SUJETOS INTERVINIENTES EN LA PROTECCIÓN DE LOS DATOS.

▪ RESPONSABLE DEL TRATAMIENTO

Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento.

El responsable del tratamiento aplicará, tanto en el momento de determinar los medios de
tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas
apropiadas, como la seudonimización, (que se define como el tratamiento de datos personales de
manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional), concebidas
para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos,

Página 6 de 16
 e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente
Reglamento y proteger los derechos de los interesados.

Pueden existir dos o más corresponsables del tratamiento.

▪ ENCARGADO DEL TRATAMIENTO

Se define como encargado del tratamiento a la persona física o jurídica, autoridad pública, servicio u
otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá
únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y
organizativas apropiados.

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al derecho
de la Unión o de los Estados miembros.

▪ REPRESENTANTE

Cuando el responsable o encargado no estén establecidos en la Unión designará por escrito un
representante en la Unión.

▪ DELEGADO DE PROTECCIÓN DE DATOS

El Delegado de Protección de Datos, también conocido por sus siglas en inglés (DPO), actuará de
forma independiente, con una serie de funciones entre las que destacan informar y asesorar, así como
supervisar el cumplimiento del RGDP por parte del responsable o encargado. El delegado de
protección de datos podrá ser interno o externo, persona física o jurídica, especializada en esta
materia.

La designación de un Delegado de Protección de datos por el responsable y el encargado será
obligatoria cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los
tribunales que actúen en ejercicio de su función judicial o que el tratamiento requiera una
observación habitual y sistemática de interesados a gran escala de categorías especiales de datos
personales.

Según la Ley orgánica 3/2018, también deberán designar delegado de protección de datos, entre
otras, entidades como los colegios profesionales, los centros docentes, los establecimientos
financieros de crédito o las entidades aseguradoras y reaseguradoras, y otros.

Los responsables y encargados del tratamiento comunicarán en el plazo de 10 días a la AEPD o a las
autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los
delegados de protección de datos.

Página 7 de 16
5. PRINCIPIOS en el REGLAMENTO (UE) 2016/679, y su correspondencia con la Ley
Orgánica 3/2018

En los artículos 5 a 11 del RGPD se precisan los principios o reglas a los que debe ser sometido el
tratamiento, recogida y el contenido de los datos personales, los cuales tienen correspondencia con el Título
II de la Ley Orgánica 3/2018.

PRINCIPIOS RELATIVOS AL TRATAMIENTO

En virtud de este principio, los datos personales serán tratados de manera lícita, leal y transparente en
relación con el interesado («licitud, lealtad y transparencia»).

Los datos serán recogidos con fines determinados, explícitos y legítimos y no serán tratados ulteriormente
de manera incompatible con dichos fines, siendo adecuados, pertinentes y limitados a lo necesario en
relación con los fines para los que son tratados («minimización de datos»).

En relación con el principio de Exactitud, recogido también en la Ley Orgánica 3/2018 los datos deberán ser
exactos y si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman
o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se
tratan («exactitud»).

En este sentido, la Ley orgánica 3/2018 también apunta que no será imputable al responsable del
tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o
rectifiquen sin dilación, la inexactitud de los datos personales, con respecto a los fines para los que se tratan,
cuando los datos inexactos hubiesen sido obtenidos por el responsable directamente del afectado, cuando
hubiesen sido obtenidos por el responsable de un mediador o intermediario, si fuesen sometidos a
tratamiento por el responsable por haberlos recibido de otro responsable o, por último, si fuesen obtenidos
de un registro público por el responsable.

Los datos serán mantenidos de forma que se permita la identificación de los interesados durante no más
tiempo del necesario para los fines del tratamiento de los datos personales. («limitación del plazo de
conservación»).

Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la
protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental,
mediante la aplicación de medidas técnicas u organizativas («integridad y confidencialidad»).

El responsable del tratamiento será responsable del cumplimiento de los principios relativos al
tratamiento y capaz de demostrarlo («responsabilidad proactiva»).

LICITUD DEL TRATAMIENTO

El tratamiento solo será lícito si el interesado ha dado su consentimiento o es necesario para otros fines
de interés público, el cumplimiento de una obligación legal o la ejecución de un contrato.

El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos
y libertades fundamentales del interesado que requieran la protección de datos personales, en particular
cuando el interesado sea un niño. Lo dispuesto en este apartado no será de aplicación al tratamiento realizado
por las autoridades públicas en el ejercicio de sus funciones.

Página 8 de 16
 CONDICIONES PARA EL CONSENTIMIENTO

El RGPD define el consentimiento del interesado como toda manifestación de voluntad, libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de los datos personales que le conciernen.

Cuando el tratamiento se base en el consentimiento del interesado, el responsable debe ser capaz de
demostrar que aquel consintió el tratamiento de sus datos personales.

Si el consentimiento se da en el contexto de una declaración escrita que también se refiera a otros
asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás
asuntos.

El consentimiento podrá ser revocado por el interesado sin que tenga efectos retroactivos.

CONSENTIMIENTO DEL NIÑO EN RELACIÓN CON LOS SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

En relación con la oferta directa de servicios de la sociedad de la información a menores, el tratamiento
de los datos personales se considerará lícito si el menor que presta el consentimiento tiene como mínimo 16
años. Si fuese menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio
o autorizó el titular de la patria potestad o tutela sobre el niño y solo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea
inferior a 13 años.

En España, la Ley orgánica 3/2018 establece que el tratamiento de los datos personales de un menor de
edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años. El tratamiento de los
datos de los menores de 14 años, fundado en el consentimiento, solo será lícito si consta el del titular de la
patria potestad o tutela.

TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS PERSONALES

Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones
políticas, las convicciones religiosas o filosóficas o la afiliación sindical y el tratamiento de datos genéticos,
datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o
datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

No obstante, el RGPD contempla varias excepciones, así, será posible el tratamiento de estos datos
cuando concurran diferentes circunstancias recogidas en el artículo 9, entre ellas el caso de que el interesado
de su consentimiento explícito, salvo que una norma lo prohíba. La Ley orgánica 3/18 es más estricta, ya que
a fin de evitar situaciones discriminatorias recoge que el solo consentimiento NO bastará para levantar la
prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical,
religión, orientación sexual, creencias u origen racial o étnico.

Otros casos que quedan fuera de la prohibición son si el tratamiento es preciso por razones de un interés
público esencial o el interesado ha hecho públicos los datos intencionadamente.

TRATAMIENTO DE DATOS PERSONALES RELATIVOS A CONDENAS E INFRACCIONES PENALES

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad
solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas. En España, el registro completo de
los datos referidos a condenas e infracciones penales podrá realizarse conforme con lo establecido en la
regulación del Sistema de Registros Administrativos de Apoyo a la Administración de Justicia.

Página 9 de 16
6. DERECHOS DEL INTERESADO EN EL REGLAMENTO (UE) 2016/679 y la Ley 3/2018
El RGPD consagra su capítulo III (arts. 12 a 23) a la regulación de los derechos de los interesados
correspondiendo con el Título III de la Ley Orgánica 3/2018.

TRANSPARENCIA E INFORMACIÓN AL INTERESADO
Existe un conjunto de obligaciones que deberá observar el responsable del tratamiento en lo relativo a
la información y comunicaciones dirigidas al interesado, se exige al responsable que adopte las medidas
oportunas para garantizar que sea concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y
sencillo, en particular cualquier información dirigida específicamente a un niño.

La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios
electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se
demuestre la identidad del interesado por otros medios.

En lo relativo al ejercicio de los derechos el responsable deberá facilitar la información relativa a sus
actuaciones en el plazo de 1 mes a partir de la recepción de la solicitud. Este plazo podrá prorrogase 2 meses
más en atención a la complejidad y número de solicitudes. Cuando el interesado presente la solicitud por
medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el
interesado solicite que se facilite de otro modo.

La información facilitada así como toda comunicación y cualquier actuación realizada en virtud de los
derechos serán a título gratuito. Ahora bien, cuando las solicitudes sean manifiestamente infundadas o
excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá cobrar un
canon o negarse a actuar respecto a la solicitud. El responsable del tratamiento soportará la carga de
demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

- Datos obtenidos del afectado (13 RGPD), se facilitará la información básica y se indicará una dirección
electrónica o medio para acceder a la restante información.
Información básica:
Identidad del responsable de tratamiento (y su representante)
Finalidad del tratamiento
Posibilidad de ejercer los derechos (15 al 22 RGPD)
Si los datos serán usados para elaboración de perfiles, se informará de derecho de oposición a la
adopción de decisiones individualizadas que le afecten (22 RGPD)

- Datos no obtenidos del afectado, el responsable deberá informar (14 RGPD) y la información básica
incluirá también:
Las categorías de datos objeto de tratamiento
Las fuentes de las procedieran los datos

Página 10 de 16
 DERECHO DE ACCESO DEL INTERESADO
El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están
tratando o no datos personales que le conciernen y, en tal caso, tendrá derecho de acceso a los datos
personales -copia de los datos personales objeto de tratamiento- y a la siguiente información:

− Los fines del tratamiento; categorías de datos personales de que se traten y de las posibles
comunicaciones de datos y sus destinatarios (en particular, destinatarios en terceros países u
organizaciones internacionales); el plazo de conservación de los datos; existencia del derecho a
solicitar la rectificación, supresión, limitación u oposición.

Al efecto del ejercicio de este derecho, la Ley orgánica 3/2018 completa algunas cuestiones tales como
que el derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un
sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el
acceso a su totalidad.

A los efectos establecidos en el artículo 12.5 (UE) se podrá considerar repetitivo el ejercicio del derecho de
acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.

DERECHO DE RECTIFICACIÓN
En el ejercicio de este derecho, el interesado tendrá derecho a obtener lo antes posible la rectificación
de los datos personales inexactos que le conciernan o a que se completen.

En cuanto a la forma de ejercer el derecho, la Ley orgánica 3/2018 recoge que el afectado deberá indicar
en su solicitud a qué datos se refiere y la corrección que haya de realizarse, debiendo acompañar, cuando sea
preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de
tratamiento.

DERECHO DE SUPRESIÓN: EL «DERECHO AL OLVIDO»
Este derecho es una novedad introducida por el RGPD, si bien supone la evolución y adaptación del
derecho de cancelación recogido en la normativa anterior.

El interesado tendrá derecho a obtener sin dilación indebida del responsable la supresión de los datos
cuando los datos ya no sean necesarios para los fines que fueron recogidos o el interesado retire el
consentimiento o se oponga al mismo.

También puede ejercerse este derecho si los datos personales hayan sido tratados ilícitamente o deban
suprimirse para el cumplimiento de una obligación legal.

No se aplicará cuando el tratamiento sea necesario para ejercer el derecho a la libertad de expresión e
información o cumplir una misión de interés público.

Página 11 de 16
 DERECHO A LA LIMITACIÓN DEL TRATAMIENTO
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de
los datos cuando se cumpla alguna de las condiciones siguientes:

- el interesado impugne la exactitud de los datos personales
- el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su
lugar la limitación de su uso;
- el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los
necesite para reclamaciones;
- el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica
si los motivos legítimos del responsable prevalecen sobre los del interesado.

El interesado será informado por el responsable antes del levantamiento de la limitación. Además, en la
Ley orgánica 3/2018 se establece que cuando el tratamiento de los datos personales esté limitado deberá
constar claramente en los sistemas de información del responsable.

DERECHO A LA PORTABILIDAD DE LOS DATOS
Junto con el derecho al olvido, es otra de las novedades más importantes, en lo relativo a los derechos
de los interesados, introducidas por el RGPD.

El mismo implica que el interesado tendrá derecho a recibir los datos personales que le incumban, que
haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura
mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los
hubiera facilitado cuando el tratamiento esté basado en el consentimiento o en un contrato o se efectúe por
medios automatizados.

El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a
responsable cuando sea técnicamente posible.

DERECHO DE OPOSICIÓN
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su
situación particular, a que datos personales que le conciernan sean objeto de un tratamiento incluida la
elaboración de perfiles.

El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos
imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del
interesado o para la formulación, el ejercicio o la defensa de reclamaciones.

Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa (convencer al
cliente para el consumo), el interesado tendrá derecho a oponerse en todo momento al tratamiento de los
datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada
con la citada mercadotecnia. En este caso, ejercido el derecho de oposición por el interesado, los datos
personales dejarán de ser tratados para dichos fines.

Página 12 de 16
 Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos
de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con
su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea
necesario para el cumplimiento de una misión realizada por razones de interés público.

DECISIONES INDIVIDUALES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES
Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento
automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte
significativamente de modo similar.

No será posible el ejercicio de ese derecho si la decisión:

a) Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable
del tratamiento.
b) Está autorizada por el derecho de la Unión o de los Estados miembros que se aplique al responsable
del tratamiento y que establezca, asimismo, medidas adecuadas para salvaguardar los derechos y
libertades y los intereses legítimos del interesado.
c) Se basa en el consentimiento explícito del interesado.

LIMITACIONES
El derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del
tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos
establecidos en los artículos 12 a 22 y el artículo 34 (notificación de violaciones de seguridad al interesado),
así como en el artículo 5 (principios relativos al tratamiento), cuando tal limitación respete en lo esencial los
derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad
democrática para salvaguardar el interés y la seguridad públicos.

Página 13 de 16
7. DERECHOS DIGITALES, LEY 3/2018

Conforme al mandato de la Constitución, la Ley orgánica 3/2018 recoge en su Título X, una relación de
derechos digitales de los ciudadanos.

El Título X “Garantía de los derechos digitales (arts. 79 a 97), establece que los derechos y libertades
consagrados en la constitución y en los tratados y convenios internacionales en que España sea parte
son plenamente aplicables en Internet. Los prestadores de servicios de la sociedad de la información y
los proveedores de servicios de Internet contribuirán a garantizar su aplicación.

En este sentido nos encontramos con tres grupos de artículos destinados a diferentes derechos:

Derechos generales en el marco de Internet y redes sociales
o Derecho a la neutralidad, de acceso universal, de rectificación, al olvido en búsquedas y servicios de
redes sociales de Internet
o Derecho a la seguridad digital y de portabilidad en servicios de redes sociales y equivalentes.
o Derecho al testamento digital, donde se establecen las reglas que permiten el acceso a los contenidos
digitales de las personas fallecidas.

Derechos específicos para los menores
o Derecho a la educación digital, a la protección de los menores y de sus datos en Internet.

Derechos digitales en el ámbito laboral
o Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el
lugar de trabajo y ante la utilización de sistemas de geolocalización en el ámbito laboral.
o Derechos digitales en la negociación colectiva.
o Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral y a la desconexión digital en
el ámbito laboral.

De cara al impulso del conjunto de los derechos digitales, el Gobierno presentará un informe anual ante
la comisión parlamentaria correspondiente del Congreso de los Diputados en el que se dará cuenta de
su evolución y de las medidas necesarias para promover su efectividad.

CARTA DE DERECHOS DIGITALES

Por su parte, el Gobierno español lanzó en 2021 la Agenda Española Digital 2026, para aportar
certidumbre a la sociedad sobre la nueva realidad digital y aumentar la confianza de la ciudadanía sobre
la aparición de nuevas tecnologías. En unos de los ejes estratégicos de esta Agenda, se elaboró la Carta
de derechos digitales, sin carácter normativo.

En este sentido, la carta reconoce derechos en los entornos digitales categorizados en 5 ámbitos:
Derechos de libertad, de igualdad, de participación y conformación del espacio público, Derechos del
entorno empresarial y laboral y Derechos digitales en entornos específicos.

Página 14 de 16
8. AUTORIDADES DE PROTECCIÓN DE DATOS
En España se adoptó el criterio organizativo y funcional propuesto en el Convenio 108 y que luego pasaría
a ser un rasgo esencial del modelo europeo: la atribución de la función de velar por el cumplimiento de la
normativa de protección de datos a una autoridad independiente.

Así, a través del título VI de la derogada LORTAD, se reguló la creación de la AEPD como ente
independiente, con presupuesto propio y plena autonomía funcional, encargada de velar por la máxima
eficacia de sus disposiciones.

Mediante el Real Decreto 428/1993, de 26 de marzo, se aprobó el Estatuto de la Agencia Española de
Protección de Datos, actualmente derogado, por la disposición derogatoria única del Real Decreto 389/2021,
de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, marcando
este último el régimen jurídico actual de la agencia, junto con las disposiciones previstas en la Ley orgánica
3/2018.

Actualmente existen, además, tres agencias autonómicas, la Autoridad Catalana de Protección de Datos,
la Agencia Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía.

Las mismas ejercen las funciones y poderes que prevé el RGPD, respecto de aquellos tratamientos de
los que sean responsables, las entidades integrantes del sector público de la correspondiente comunidad
autónoma o de las entidades locales incluidas en su ámbito territorial, de tratamientos llevados a cabo por
personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de
la correspondiente Administración autonómica o local, así como, de aquellos tratamientos que se encuentren
expresamente previstos en los respectivos estatutos de autonomía.

8.1. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley
40/2015, de 1 de octubre, de régimen jurídico del sector público, con personalidad jurídica y plena capacidad
pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.
Se relaciona con el Gobierno a través del Ministerio de Justicia. Su denominación oficial, de conformidad
con lo establecido en el artículo 109.3 de la Ley 40/2015, será «Agencia Española de Protección de Datos,
Autoridad Administrativa Independiente».

El marco normativo de la AEPD está constituido por las siguientes disposiciones:

− Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos
− Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos
digitales.
− Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de
Protección de Datos.
− Supletoriamente, en cuanto sea compatible con su plena independencia, se regirá por las normas
citadas en el artículo 110.1 de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público.

Página 15 de 16
ESTRUCTURA ORGÁNICA

La AEPD se estructura en los siguientes órganos:

1. La presidencia de la AEPD. Dependiendo directamente de la presidencia, como órgano directivo, se
encuentra la adjuntía a la presidencia.
2. El consejo consultivo.
3. Asimismo, dependen directamente de la presidencia con nivel orgánico de subdirección general: la
subdirección general de inspección de datos, la subdirección general de promoción y autorizaciones
y la secretaría general.

▪ La PRESIDENCIA de la Agencia Española de Protección de Datos
− La Presidencia de la AEPD, dependiendo de ella, como órgano directivo, se encuentra la adjuntía
a la presidencia
o Dirige, representa y dicta resoluciones, circulares y directrices.
o Estará auxiliada por un adjunto en el podrá delegar sus funciones, salvo los procedimientos
en caso de vulneración.
o A Ambos les son aplicables la legislación reguladora del ejercicio del Alto Cargo de la AGE
o Serán nombrados por el Gobierno, por Real Decreto, a propuesta del Ministerio de Justicia.
o El mandato tendrá una duración de 5 años, puede ser renovado para otros 5.

▪ El CONSEJO CONSULTIVO
− El Consejo consultivo, órgano asesor de la presidencia, estará compuesto por un representante
del Consejo General del Poder Judicial, de la AGE propuesto por el Ministerio de Justicia, de cada
comunidad que tenga autoridad de protección de datos territorial, además de una relación de
expertos de diferentes organismos, instituciones y asociaciones. A todos ellos les corresponde
nombrar a un representante, a excepción de las organizaciones empresariales y sindicales más
representativas, que nombrarán a 2 expertos cada uno.

Los miembros del Consejo Consultivo serán nombrados por orden del ministro de Justicia, publicada en
el Boletín Oficial del Estado.

El Consejo Consultivo se reunirá cuando así lo disponga la Presidencia de la Agencia Española de
Protección de Datos y, en todo caso, una vez al semestre.

FUNCIONES y POTESTADES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD está encargada de velar por el cumplimiento de la normativa de protección de datos y controlar su
aplicación. Para ello, ejerce las siguientes funciones y poderes:

En primer lugar, en lo relativo a las funciones, la AEPD ejerce, entre otras, la de controlar la aplicación del
RGPD y del resto de la normativa de protección de datos, asesorar al Parlamento nacional, al Gobierno y a
otras instituciones y organismos, tratar las reclamaciones presentadas por un interesado o por un organismo,
organización o asociación, ofrecer asesoramiento sobre las operaciones de tratamiento que supongan un
alto riesgo para los derechos y libertades de las personas físicas (consulta previa) y fomentar mecanismos de
certificación de la protección de datos.

En cuanto a los poderes o potestades de la Agencia, pueden clasificarse en poderes de investigación,
correctivos y poderes de autorización y consultivos.

Página 16 de 16