Ley Orgánica 3/2018, de Protección de Datos Personales PDF

Summary

This document is a Spanish legal text regarding data protection, focusing on the 2018 Organic Law. It covers the scope of the law, its application, and the rights of individuals related to personal data management.

Full Transcript

**Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales.**

**Artículo 1. Objeto de la ley.**

La presente ley orgánica tiene por objeto:

a\) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679
del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a
la protección de las personas físicas en lo que respecta al tratamiento
de sus datos personales y a la libre circulación de estos datos, y
completar sus disposiciones.

El derecho fundamental de las personas físicas a la protección de datos
personales, amparado por el artículo 18.4 de la Constitución, se
ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y
en esta ley orgánica.

b\) Garantizar los derechos digitales de la ciudadanía conforme al
mandato establecido en el artículo 18.4 de la Constitución.

**Artículo 2. Ámbito de aplicación de los Títulos I a IX y de los
artículos 89 a 94.**

1\. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la
presente ley orgánica se aplica a cualquier tratamiento total o
parcialmente automatizado de datos personales, así como al tratamiento
no automatizado de datos personales contenidos o destinados a ser
incluidos en un fichero.

2\. Esta ley orgánica no será de aplicación:

3\. Los tratamientos a los que no sea directamente aplicable el
Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el
ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo
dispuesto en su legislación específica si la hubiere y supletoriamente
por lo establecido en el citado reglamento y en la presente ley
orgánica. Se encuentran en esta situación, entre otros, los tratamientos
realizados al amparo de la legislación orgánica del régimen electoral
general, los tratamientos realizados en el ámbito de instituciones
penitenciarias y los tratamientos derivados del Registro Civil, los
Registros de la Propiedad y Mercantiles.

4\. El tratamiento de datos llevado a cabo con ocasión de la tramitación
por los órganos judiciales de los procesos de los que sean competentes,
así como el realizado dentro de la gestión de la Oficina Judicial, se
regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente
ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica
6/1985, de 1 julio, del Poder Judicial, que le sean aplicables.

5\. El tratamiento de datos llevado a cabo con ocasión de la tramitación
por el Ministerio Fiscal de los procesos de los que sea competente, así
como el realizado con esos fines dentro de la gestión de la Oficina
Fiscal, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la
presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley
50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del
Ministerio Fiscal, la Ley Orgánica 6/1985, de 1 de julio, del Poder
Judicial y de las normas procesales que le sean aplicables.

**Artículo 3. Datos de las personas fallecidas.**

1\. Las personas vinculadas al fallecido por razones familiares o de
hecho, así como sus herederos podrán dirigirse al responsable o
encargado del tratamiento al objeto de solicitar el acceso a los datos
personales de aquella y, en su caso, su rectificación o supresión.

Como excepción, las personas a las que se refiere el párrafo anterior no
podrán acceder a los datos del causante, ni solicitar su rectificación o
supresión, cuando la persona fallecida lo hubiese prohibido expresamente
o así lo establezca una ley. Dicha prohibición no afectará al derecho de
los herederos a acceder a los datos de carácter patrimonial del
causante.

2\. Las personas o instituciones a las que el fallecido hubiese designado
expresamente para ello podrán también solicitar, con arreglo a las
instrucciones recibidas, el acceso a los datos personales de este y, en
su caso su rectificación o supresión.

Mediante real decreto se establecerán los requisitos y condiciones para
acreditar la validez y vigencia de estos mandatos e instrucciones y, en
su caso, el registro de los mismos.

3\. En caso de fallecimiento de menores, estas facultades podrán
ejercerse también por sus representantes legales o, en el marco de sus
competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a
instancia de cualquier persona física o jurídica interesada.

En caso de fallecimiento de personas con discapacidad, estas facultades
también podrán ejercerse, además de por quienes señala el párrafo
anterior, por quienes hubiesen sido designados para el ejercicio de
funciones de apoyo, si tales facultades se entendieran comprendidas en
las medidas de apoyo prestadas por el designado.

**Artículo 4. Exactitud de los datos.**

1\. Conforme al artículo 5.1.d) del Reglamento (UE) 2016/679 los datos
serán exactos y, si fuere necesario, actualizados.

2\. A los efectos previstos en el artículo 5.1.d) (exactos y, si fuera
necesario, actualizados; se adoptarán todas las medidas razonables para
que se supriman o rectifiquen sin dilación los datos personales que sean
inexactos con respecto a los fines para los que se tratan («exactitud»))
del Reglamento (UE) 2016/679, no será imputable al responsable del
tratamiento, siempre que este haya adoptado todas las medidas razonables
para que se supriman o rectifiquen sin dilación, la inexactitud de los
datos personales, con respecto a los fines para los que se tratan,
cuando los datos inexactos:

**Artículo 5. Deber de confidencialidad.**

1\. Los responsables y encargados del tratamiento de datos, así como
todas las personas que intervengan en cualquier fase de este estarán
sujetas al deber de confidencialidad al que se refiere el artículo
5.1.f) *(tratados de tal manera que se garantice una seguridad adecuada
de los datos personales, incluida la protección contra el tratamiento no
autorizado o ilícito y contra su pérdida, destrucción o daño accidental,
mediante la aplicación de medidas técnicas u organizativas apropiadas
(«integridad y confidencialidad»))* del Reglamento (UE) 2016/679.

2\. La obligación general señalada en el apartado anterior será
complementaria de los deberes de secreto profesional de conformidad con
su normativa aplicable.

3\. Las obligaciones establecidas en los apartados anteriores se
mantendrán aun cuando hubiese finalizado la relación del obligado con el
responsable o encargado del tratamiento.

**Artículo 6. Tratamiento basado en el consentimiento del afectado.**

1\. De conformidad con lo dispuesto en el artículo 4.11 *(consentimiento
del interesado)* del Reglamento (UE) 2016/679, se entiende por
consentimiento del afectado toda manifestación de voluntad libre,
específica, informada e inequívoca por la que este acepta, ya sea
mediante una declaración o una clara acción afirmativa, el tratamiento
de datos personales que le conciernen.

2\. Cuando se pretenda fundar el tratamiento de los datos en el
consentimiento del afectado para una pluralidad de finalidades será
preciso que conste de manera específica e inequívoca que dicho
consentimiento se otorga para todas ellas.

3\. No podrá supeditarse la ejecución del contrato a que el afectado
consienta el tratamiento de los datos personales para finalidades que no
guarden relación con el mantenimiento, desarrollo o control de la
relación contractual.

**Artículo 7. Consentimiento de los menores de edad.**

1\. El tratamiento de los datos personales de un menor de edad únicamente
podrá fundarse en su consentimiento cuando sea mayor de catorce años.

Se exceptúan los supuestos en que la ley exija la asistencia de los
titulares de la patria potestad o tutela para la celebración del acto o
negocio jurídico en cuyo contexto se recaba el consentimiento para el
tratamiento.

2\. El tratamiento de los datos de los menores de catorce años, fundado
en el consentimiento, solo será lícito si consta el del titular de la
patria potestad o tutela, con el alcance que determinen los titulares de
la patria potestad o tutela.

**Artículo 8. Tratamiento de datos por obligación legal, interés público
o ejercicio de poderes públicos.**

1\. El tratamiento de datos personales solo podrá considerarse fundado en
el cumplimiento de una obligación legal exigible al responsable, en los
términos previstos en el artículo 6.1.c) *(el tratamiento es necesario
para el cumplimiento de una obligación legal aplicable al responsable
del tratamiento)* del Reglamento (UE) 2016/679, cuando así lo prevea una
norma de Derecho de la Unión Europea o una norma con rango de ley, que
podrá determinar las condiciones generales del tratamiento y los tipos
de datos objeto del mismo así como las cesiones que procedan como
consecuencia del cumplimiento de la obligación legal. Dicha norma podrá
igualmente imponer condiciones especiales al tratamiento, tales como la
adopción de medidas adicionales de seguridad u otras establecidas en el
capítulo IV del Reglamento (UE) 2016/679.

2\. El tratamiento de datos personales solo podrá considerarse fundado en
el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable, en los términos
previstos en el artículo 6.1 e) *(el tratamiento es necesario para el
cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del
tratamiento)* del Reglamento (UE) 2016/679, cuando derive de una
competencia atribuida por una norma con rango de ley.

**Artículo 9. Categorías especiales de datos.**

1\. A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin
de evitar situaciones discriminatorias, el solo consentimiento del
afectado no bastará para levantar la prohibición del tratamiento de
datos cuya finalidad principal sea identificar su ideología, afiliación
sindical, religión, orientación sexual, creencias u origen racial o
étnico.

Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos
datos al amparo de los restantes supuestos contemplados en el artículo
9.2 del Reglamento (UE) 2016/679, cuando así proceda.

2\. Los tratamientos de datos contemplados en las letras g), h) e i) del
artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español
deberán estar amparados en una norma con rango de ley, que podrá
establecer requisitos adicionales relativos a su seguridad y
confidencialidad.

En particular, dicha norma podrá amparar el tratamiento de datos en el
ámbito de la salud cuando así lo exija la gestión de los sistemas y
servicios de asistencia sanitaria y social, pública y privada, o la
ejecución de un contrato de seguro del que el afectado sea parte.

**Artículo 10. Tratamiento de datos de naturaleza penal.**

1\. El tratamiento de datos personales relativos a condenas e
infracciones penales, así como a procedimientos y medidas cautelares y
de seguridad conexas, para fines distintos de los de prevención,
investigación, detección o enjuiciamiento de infracciones penales o de
ejecución de sanciones penales, solo podrá llevarse a cabo cuando se
encuentre amparado en una norma de Derecho de la Unión, en esta ley
orgánica o en otras normas de rango legal.

2\. El registro completo de los datos referidos a condenas e infracciones
penales, así como a procedimientos y medidas cautelares y de seguridad
conexas a que se refiere el artículo 10 del Reglamento (UE) 2016/679,
podrá realizarse conforme con lo establecido en la regulación del
Sistema de registros administrativos de apoyo a la Administración de
Justicia.

3\. Fuera de los supuestos señalados en los apartados anteriores, los
tratamientos de datos referidos a condenas e infracciones penales, así
como a procedimientos y medidas cautelares y de seguridad conexas solo
serán posibles cuando sean llevados a cabo por abogados y procuradores y
tengan por objeto recoger la información facilitada por sus clientes
para el ejercicio de sus funciones.

**Artículo 11. Transparencia e información al afectado.**

1\. Cuando los datos personales sean obtenidos del afectado el
responsable del tratamiento podrá dar cumplimiento al deber de
información establecido en el artículo 13 del Reglamento (UE) 2016/679
facilitando al afectado la información básica a la que se refiere el
apartado siguiente e indicándole una dirección electrónica u otro medio
que permita acceder de forma sencilla e inmediata a la restante
información.

3\. Cuando los datos personales no hubieran sido obtenidos del afectado,
el responsable podrá dar cumplimiento al deber de información
establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a
aquel la información básica señalada en el apartado anterior,
indicándole una dirección electrónica u otro medio que permita acceder
de forma sencilla e inmediata a la restante información.

En estos supuestos, la información básica incluirá también:

a\) Las categorías de datos objeto de tratamiento.

b\) Las fuentes de las que procedieran los datos.

**Artículo 12. Disposiciones generales sobre ejercicio de los
derechos.**

1\. Los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE)
2016/679, podrán ejercerse directamente o por medio de representante
legal o voluntario.

2\. El responsable del tratamiento estará obligado a informar al afectado
sobre los medios a su disposición para ejercer los derechos que le
corresponden. Los medios deberán ser fácilmente accesibles para el
afectado. El ejercicio del derecho no podrá ser denegado por el solo
motivo de optar el afectado por otro medio.

3\. El encargado podrá tramitar, por cuenta del responsable, las
solicitudes de ejercicio formuladas por los afectados de sus derechos si
así se estableciere en el contrato o acto jurídico que les vincule.

4\. La prueba del cumplimiento del deber de responder a la solicitud de
ejercicio de sus derechos formulado por el afectado recaerá sobre el
responsable.

5\. Cuando las leyes aplicables a determinados tratamientos establezcan
un régimen especial que afecte al ejercicio de los derechos previstos en
el Capítulo III del Reglamento (UE) 2016/679, se estará a lo dispuesto
en aquellas.

6\. En cualquier caso, los titulares de la patria potestad podrán
ejercitar en nombre y representación de los menores de catorce años los
derechos de acceso, rectificación, cancelación, oposición o cualesquiera
otros que pudieran corresponderles en el contexto de la presente ley
orgánica.

7\. Serán gratuitas las actuaciones llevadas a cabo por el responsable
del tratamiento para atender las solicitudes de ejercicio de estos
derechos, sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del
Reglamento (UE) 2016/679 y en los apartados 3 y 4 del artículo 13 de
esta ley orgánica.

**Artículo 13. Derecho de acceso.**

1\. El derecho de acceso del afectado se ejercitará de acuerdo con lo
establecido en el artículo 15 del Reglamento (UE) 2016/679.

Cuando el responsable trate una gran cantidad de datos relativos al
afectado y este ejercite su derecho de acceso sin especificar si se
refiere a todos o a una parte de los datos, el responsable podrá
solicitarle, antes de facilitar la información, que el afectado
especifique los datos o actividades de tratamiento a los que se refiere
la solicitud.

2\. El derecho de acceso se entenderá otorgado si el responsable del
tratamiento facilitara al afectado un sistema de acceso remoto, directo
y seguro a los datos personales que garantice, de modo permanente, el
acceso a su totalidad. A tales efectos, la comunicación por el
responsable al afectado del modo en que este podrá acceder a dicho
sistema bastará para tener por atendida la solicitud de ejercicio del
derecho.

No obstante, el interesado podrá solicitar del responsable la
información referida a los extremos previstos en el artículo 15.1 del
Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso
remoto.

3\. A los efectos establecidos en el artículo 12.5 del Reglamento (UE)
2016/679 se podrá considerar repetitivo el ejercicio del derecho de
acceso en más de una ocasión durante el plazo de seis meses, a menos que
exista causa legítima para ello.

4\. Cuando el afectado elija un medio distinto al que se le ofrece que
suponga un coste desproporcionado, la solicitud será considerada
excesiva, por lo que dicho afectado asumirá el exceso de costes que su
elección comporte. En este caso, solo será exigible al responsable del
tratamiento la satisfacción del derecho de acceso sin dilaciones
indebidas.

**Artículo 14. Derecho de rectificación.**

Al ejercer el derecho de rectificación reconocido en el artículo 16 del
Reglamento (UE) 2016/679, el afectado deberá indicar en su solicitud a
qué datos se refiere y la corrección que haya de realizarse. Deberá
acompañar, cuando sea preciso, la documentación justificativa de la
inexactitud o carácter incompleto de los datos objeto de tratamiento.

**Artículo 15. Derecho de supresión.**

1\. El derecho de supresión se ejercerá de acuerdo con lo establecido en
el artículo 17 del Reglamento (UE) 2016/679.

2\. Cuando la supresión derive del ejercicio del derecho de oposición con
arreglo al artículo 21.2 del Reglamento (UE) 2016/679, el responsable
podrá conservar los datos identificativos del afectado necesarios con el
fin de impedir tratamientos futuros para fines de mercadotecnia directa.

**Artículo 16. Derecho a la limitación del tratamiento.**

1\. El derecho a la limitación del tratamiento se ejercerá de acuerdo con
lo establecido en el artículo 18 del Reglamento (UE) 2016/679.

2\. El hecho de que el tratamiento de los datos personales esté limitado
debe constar claramente en los sistemas de información del responsable.

**Artículo 17. Derecho a la portabilidad.**

El derecho a la portabilidad se ejercerá de acuerdo con lo establecido
en el artículo 20 del Reglamento (UE) 2016/679.

**Artículo 18. Derecho de oposición.**

El derecho de oposición, así como los derechos relacionados con las
decisiones individuales automatizadas, incluida la realización de
perfiles, se ejercerán de acuerdo con lo establecido, respectivamente,
en los artículos 21 y 22 del Reglamento (UE) 2016/679.