Presentación Tema 4 - Protección de Datos PDF (A2-2024)

Summary

This presentation details the legal framework for data protection, covering European, national, and regional regulations. It highlights key concepts, principles, and the role of the A2 2024 curriculum in the context of data protection.

Full Transcript

TEMA Nº 4: CONTENIDOS PRÁCTICOS, CUERPO DE GESTIÓN, A-2

EL RÉGIMEN JURÍDICO DE LA
PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL
REGULACIÓN: EUROPEA, ESTATAL Y AUTONÓMICA
CONCEPTOS
PRINCIPIOS EN EL TRATAMIENTO DE LOS DATOS PERSONALES.
LA SEGURIDAD DE LOS DATOS
EJERCICIO Y TUTELA DE LOS DERECHOS DEL TITULAR DE LOS DATOS

A2-2024
1
 RÉGIMEN JURÍDICO: REGULACIÓN EUROPEA, ESTATATAL Y AUTONÓMICA

EVOLUCIÓN Directiva europea 95/46/CE, de protección de datos personales y
libre circulación de datos.

ESPAÑA: LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
ESCENARIO
INICIAL

Real Decreto 1720/2007, de 21 de diciembre por el que se
aprueba el REGLAMENTO DE DESARROLLO DE LA LOPD

AÑO 2016

REGLAMENTO 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO DE 27 de abril de
2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que SE DEROGA LA
DIRECTIVA 95/46/CE.

RDL 5/2018, de 27 de julio adaptación del
Entrada en vigor en mayo de 2018.
derecho español a la normativa europea P.D. 2
FUNDAMENTOS DEL RÉGIMEN JURÍDICO EN LA UNIÓN EUROPEA
LA PROTECCIÓN DE LAS PERSONAS FÍSICAS EN RELACIÓN CON EL TRATAMIENTO DE
DATOS PERSONALES ES UN DERECHO FUNDAMENTAL (art.16, apartado 1º TFUE) EN
EL ÁMBITO DE LA UNIÓN EUROPEA. NO ES UN DERECHO ABSOLUTO SINO QUE DEBE
CONSIDERARSE EN RELACIÓN CON SU FUNCIÓN EN LA SOCIEDAD Y MANTENER EL
EQUILIBRIO ENTRE DERECHOS FUNDAMENTALES.

LOS PRINCIPIOS Y NORMAS RELATIVAS A LA PROTECCIÓN DE DATOS DE CARÁCTER
PERSONAL DE LAS PERSONAS FÍSICAS DEBEN RESPETAR SUS LIBERTADES Y DERECHOS
FUNDAMENTALES.

EL TRATAMIENTO DE LOS DATOS PERSONALES DEBE ESTAR CONCEBIDO PARA SERVIR
A LA HUMANIDAD CON EL PARTICULAR RESPETO DE LA VIDA PRIVADA Y FAMILIAR,
DEL DOMICILIO Y LAS COMUNICACIONES, LIBERTAD DE PENSAMIENTO, CONCIENCIA Y
RELIGIÓN, LIBERTAD DE EXPRESIÓN Y DE INFORMACIÓN, LIBERTAD DE EMPRESA,
EFECTIVA TUTELA JUDICIAL Y DIVERSIDAD CULTURAL, RELIGIOSA Y LINGÜÍSTICA.

LA EVOLUCIÓN TECNOLÓGICA Y LA GLOBALIZACIÓN CON LA CONSIGUIENTE
MAGNITUD EN EL INTERCAMBIO DE DATOS PERSONALES HA AUMENTADO DE
MODO SIGNIFICATIVO, LO QUE REQUIERE UN MARCO MÁS SÓLIDO Y COHERENTE
PARA LA PROTECCIÓN DE DATOS EN EL SENO DE LA UNIÓN EUROPEA DE CARA A
GENERAR CONFIANZA EN UNA ECONOMÍA DIGITAL EN CONTÍNUO DESARROLLO.
3
Para garantizar un nivel coherente de protección de las personas físicas
en toda la Unión y evitar divergencias que dificulten la libre circulación
de datos personales dentro del mercado interior, ES NECESARIO UN
REGLAMENTO QUE PROPORCIONE SEGURIDAD JURÍDICA Y
TRANSPARENCIA A LOS OPERADORES ECONÓMICOS, INCLUIDAS LAS
MICROEMPRESAS Y LAS PEQUEÑAS Y MEDIANAS EMPRESAS, y ofrezca a
las personas físicas de todos los Estados miembros el mismo nivel de
derechos y obligaciones exigibles y de responsabilidades para los
responsables y encargados del tratamiento, con el fin de garantizar una
supervisión coherente del tratamiento de datos personales y sanciones
equivalentes en todos los Estados miembros, así́ como la cooperación
efectiva entre las autoridades de control de los diferentes Estados
miembros.

4
 REGLAMENTO EUROPEO PROTECCIÓN
DE DATOS DE CARÁCTER PERSONAL
OBJETO

1º.- Establecer las normas relativas a la protección de las personas físicas en lo que
respecta al tratamiento de los datos personales y las normas relativas a la libre
circulación de tales datos.

2º.- Proteger los derechos y libertades fundamentales de las personas físicas,
particularmente la protección de los datos personales.

3º.- La libre circulación de los datos personales en la U.E. No podrá ser restringida ni
prohibida por motivos relacionados con la protección de las personas físicas en lo que
respecta al tratamiento de datos personales.

4º.- LA ADAPTACIÓN AL REGLAMENTO PROTECIÓN DE DATOS. Requiere la elaboración
de una nueva LEY ORGÁNICA que sustituya a la LOPD de 1999. En España actualmente
está plenamente en vigor, la Ley 3/2018 de Protección de Datos Personales y garantías
de los Derechos Digitales (BOE 6-12-18).
5
ÁMBITO DE APLICACIÓN MATERIAL SE APLICA Art. 2

AL TRATAMIENTO PARCIAL O TOTAL AUTOMATIZADO DE DATOS PERSONALES

AL TRATAMIENTO NO AUTOMATIZADO DE DATOS PERSONALES CONTENIDOS O
DESTINADOS A SER INCLUIDOS EN UN FICHERO

NO SE APLICA

Actividades no comprendidas en el ámbito de aplicación del derecho de la UE.

Actividades de personas físicas cuando son exclusivamente personales o domésticas.

Actividades de autoridades con fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales.

+ Ámbito de aplicación territorial: Quienes lleven a cabo actividades sujetas a protección
de datos en Estados miembros de la Unión Europea.
6
ÁMBITO DE APLICACIÓN TERRITORIAL

Se aplica al tratamiento de datos personales en el contexto de las actividades de un
establecimiento del responsable o del encargado en la Unión, independientemente
de que el tratamiento tenga lugar en la Unión o no.

Se aplica al tratamiento de datos personales de interesados que residan en la Unión
por parte de un responsable o encargado no establecido en la Unión, cuando las
actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión,
independientemente de si a estos se les requiere su pago.

b) el control de su comportamiento, en la medida en que este tenga lugar en la
Unión.

3. El presente Reglamento se aplica al tratamiento de datos personales por parte de
un responsable que no esté establecido en la Unión sino en un lugar en que el
Derecho de los Estados miembros sea de aplicación en virtud del Derecho
internacional público.
7
 DEFINICIONES (art. 4 Reglamento Europeo)

1.- DATOS PERSONALES: Toda información sobre una persona física identificada o
identificable (el interesado).

2.- TRATAMIENTO: Cualquier operación o conjunto de operaciones realizadas sobre
datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no.

3.- LIMITACIÓN DEL TRATAMIENTO: El marcado de los datos de carácter personal
conservados con el fin de limitar su tratamiento en el futuro.

4.- ELABORACIÓN DE PERFILES: Toda forma de tratamiento automatizado de datos
personales consistente en utilizar datos personales para evaluar determinados
aspectos personales de una persona física.

5.- SEUDONIMIZACIÓN: El tratamiento de datos personales de manera tal que ya
no puedan atribuirse a un interesado sin utilizar información adicional.

8
6.- FICHERO: Todo conjunto estructurado de datos personales accesibles con
arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido
de forma funcional o geográfica.

7.- RESPONSABLE DEL TRATAMIENTO O RESPONSABLE: Persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento.

8.- ENCARGADO DEL TRATAMIENTO O ENCARGADO: Persona física o jurídica,
autoridad pública, servicio u otro organismo que trate datos personales por
cuenta del responsable del tratamiento.

9.- DESTINATARIO: La persona física o jurídica, autoridad pública, servicio u otro
organismo al que se comuniquen datos personales, se trate o no de terceros.

10.- TERCERO: Persona física o jurídica, autoridad pública, servicio u organismo
distinto del interesado, del responsable del tratamiento, del encargado del
tratamiento y de las personas autorizadas para tratar los datos personales bajo la
autoridad directa del responsable o del encargado.

9
11.- CONSENTIMIENTO DEL INTERESADO: toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta ya sea mediante una declaración o
una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

12.- VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS PERSONALES: Violación de la seguridad
que ocasione destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizado a dichos datos.

13.- DATOS GENÉTICOS: Datos personales relativos a las características genéticas
heredadas que proporcionen una información única sobre la fisiología o la salud de la
persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

14.- DATOS BIOMÉTRICOS: Datos personales conducentes a la identificación única de una
persona, como imágenes faciales o datos dactiloscópicos.

15.- DATOS RELATIVOS A LA SALUD: Relativos a la salud física o mental de una persona
física, incluida la prestación de servicios de atención sanitaria, que revelen información
sobre su estado de salud.

16.- ESTABLECIMIENTO PRINCIPAL: En que país miembro llevan a cabo su función
responsable o encargado del tratamiento.
10
17.- REPRESENTANTE: Persona física o jurídica establecida en la UE, que habiendo sido
designada por escrito por el responsable o el encargado del tratamiento, represente al
responsable o al encargado en lo que respecta a sus respectivas obligaciones.

18.- EMPRESA: Persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o asociaciones que
desempeñen regularmente una actividad económica.

19.- GRUPO EMPRESARIAL: Grupo constituido por una empresa que ejerce el control y
sus empresas controladas.

20.- NORMAS CORPORATIVAS VINCULANTES: políticas de protección de datos asumidas
por un responsable o encargado del tratamiento establecido en el territorio de un Estado
miembro para la transferencia o conjunto de transferencias de datos personales.

21.- AUTORIDAD DE CONTROL: Autoridad pública independiente establecida por un
Estado miembro con arreglo a lo dispuesto en el art. 51 del reglamento.

22.- AUTORIDAD DE CONTROL INTERESADA:

23.- TRATAMIENTO TRANSFRONTERIZO: En el contexto de más de un Estado miembro.
11
24.- OBJECIÓN PERTINENTE Y MOTIVADA.- A una propuesta de decisión
sobre la existencia o no de infracción del reglamento europeo.

25.- SERVICIO DE LA SOCIEDAD DE LA INFORMACIÓN: Todo servicio
conforme a la definición del artículo 1.1 b) de la Directiva UE 2015/1535.

26.- ORGANIZACIÓN INTERNACIONAL.- Organización internacional y sus
entes subordinados de derecho internacional público o cualquier otro
organismo creado mediante un acuerdo entre dos o más países en virtud
de tal acuerdo.

12
Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos
Personales y garantía de los
derechos digitales (BOE 6-12-2018)

Consta de 97 artículos estructurados en diez títulos, 22 Disposiciones
adicionales, seis disposiciones transitorias, una disposición derogatoria y 16
Disposiciones Finales.

Pretende lograr la adaptación del Ordenamiento Jurídico Español al Reglamento
Europeo de 27 de abril de 2016 que entró en vigor en 2018.

En el Título II se regulan los PRINCIPIOS DE PROTECCIÓN DE DATOS.
13
DISPOSICIÓN DEROGATORIA

SALVO SUS ART. 22, 23 Y 24 (en tanto no se adapten a la nueva normativa)
QUEDA DEROGADA LA LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

TAMBIÉN QUEDA DEROGADO EL REAL DECRETO-LEY 5/2018, DE 27 DE JULIO, DE
MEDIDAS URGENTES PARA LA ADAPTACIÓN DEL DERECHO ESPAÑOL A LA
NORMATIVA DE LA UNIÓN EUROPEA EN MATERIA DE PROTECCIÓN DE DATOS.

QUEDAN DEROGADAS CUANTAS DISPOSICIONES DE IGUAL O INFERIOR RANGO
CONTRADIGAN, SE OPONGAN O RESULTEN INCOMPATIBLES CON LO DISPUESTO
EN EL REGLAMENTO EUROPEO Y EN LA PRESENTE LEY ORGÁNICA 3/2018

LA LEY 3/2018 DE 5 DE DICIEMBRE, ES FRUTO DE LA ADAPTACIÓN AL
REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS, en vigor desde el día
siguiente a su publicación en el BOE 6-12-2018 (día 7 de diciembre de 2018)

14
La protección de las personas físicas en relación con el tratamiento de datos personales es
un derecho fundamental protegido por el artículo 18.4 de la Constitución española. De
esta manera, nuestra Constitución fue pionera en el reconocimiento del derecho
fundamental a la protección de datos personales cuando dispuso que «la ley limitará el
uso de la informática para garantizar el honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos». Se hacía así eco de los trabajos
desarrollados desde finales de la década de 1960 en el Consejo de Europa y de las pocas
disposiciones legales adoptadas en países de nuestro entorno.

El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que nos
encontramos ante un derecho fundamental a la protección de datos por el que se
garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre
su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los
derechos de los afectados.

Internet, se ha convertido en una realidad omnipresente tanto en nuestra vida personal
como colectiva. Una gran parte de nuestra actividad profesional, económica y privada se
desarrolla en la Red y adquiere una importancia fundamental tanto para la comunicación
humana como para el desarrollo de nuestra vida en sociedad. Ya en los años 90,
conscientes del impacto que iba a producir Internet, los pioneros de la Red propusieron
elaborar una Declaración de los Derechos del Hombre y del Ciudadano en Internet.
15
 ESTRUCTURA DE LA LO 3/2018
Objeto, Ámbito de aplicación y datos
TITULO I: DISPOSICIONES GENERALES personas fallecidas

TITULO II: PRINCIPIOS DE PROTECCIÓN DE DATOS
CAP. I.- Transparencia e
TITULO III: DERECHOS DE LAS PERSONAS Información al afectado.
CAP. II.- Ejercicio de los derechos
TITULO IV: DISPOSICIONES APLICABLES A
TRTAMIENTOS CONCRETOS
CAP I.- Disposiciones
TITULO V: RESPONSABLES Y ENCARGADO DEL Generales (responsa. activa)
TRATAMIENTO CAP II.- Encargado
tratamiento.
TITULO VI: TRANSFERENCIAS INTERNACIONALES DATOS CAP. III.- Delegado P. Datos
CAP. IV.- Códigos de
TITULO VII: AUTORIDADES DE PROTECCIÓN DE DATOS
conducta y certificación
TITULO VIII: PROCEDIMIENTOS EN CASO DE
VULNERACIÓN DE LA NORMATIVA P. DATOS CAP. I: Agencia Española de
Protección de datos.
TITULO IX: RÉGIMEN SANCIONADOR CAP. II: Autoridades
Autonómicas P.D.
TITULO X: GARANTÍAS DE LOS DERECHOS DIGITALES 16
 OBJETO DE 1º.- Adaptar el ordenamiento jurídico español al REGLAMENTO
LA LEY EUROPEO DE 2016 SOBRE DATOS PERSONALES Y A LA LIBRE
3/2018 CIRCULACIÓN DE ESTOS DATOS, y además COMPLETAR SUS
DISPOSICIONES.

2º.- Que el derecho fundamental de las personas físicas a la
protección de datos personales (amparado en el art. 18.4 de la
Constitución Española), se ejerza con arreglo a lo establecido
en el Reglamento y en la Ley 3/2018.
REGULACIÓN
J U R Í D I C A 3º.- GARANTIZAR LOS DERECHOS DIGITALES DE LA
AUTONÓMICA EN CIUDADANÍA CONFORME AL MANDATO ESTABLECIDO EN EL
CANARIAS ART. 18.4 DE LA CONSTITUCIÓN de 1978.

* Hasta la entrada en vigor el Reglamento Europeo y la Ley Orgánica
3/2018, la regulación jurídica autonómica en Canarias, partía del Decreto
5/2006, de 27 de enero, por el que se regulan los ficheros de datos de
carácter personal de la Administración Pública Canaria y un número
importante de Ordenes Departamentales que en aplicación de su art.2,
creaban, modificaban o suprimían ficheros de datos automatizados.
PRACTICAMENTE LA REGULACIÓN JURÍDICA AUTONÓMICA CANARIA,
ACTUALMENTE ESTÁ DEROGADA COMO CONSECUENCIA DE LOS CAMBIOS
NORMATIVOS BÁSICOS EN ESTA MATERIA 17
PRINCIPIOS EN EL TRATAMIENTO DE
LOS DATOS PERSONALES
TRATAMIENTO DE DATOS ART. 5 Reglamento UE

A) TRATADOS DE MANERA LÍCITA, LEAL Y TRANSPARENTE EN RELACIÓN CON EL
INTERESADO (Licitud, lealtad y transparencia).

B) RECOGIDOS CON FINES DETERMINADOS, EXPLÍCITOS Y LEGÍTIMOS, Y NO SERÁN
TRATADOS POSTERIORMENTE DE MANERA INCOMPATIBLE CON DICHOS FINES.

C) ADECUADOS, PERTINENTES Y LIMITADOS A LO NECESARIO EN RELACIÓN CON
LOS FINES PARA LOS QUE SON TRATADOS.

D) EXACTOS Y, SI FUERA NECESARIO, ACTUALIZADOS (Se adoptarán todas las
medidas razonables para que se supriman o rectifiquen sin dilación los datos
personales que sean inexactos con respecto a los fines para los que son tratados).

E) MANTENIDOS DE FORMA QUE SE PERMITA LA IDENTIFICACIÓN DE LOS
INTERESADOS DURANTE NO MÁS TIEMPO DEL NECESARIO PARA LOS FINES DEL
TRATAMIENTO.
18
F) TRATADOS DE MANERA QUE SE GARANTICE UNA SEGURIDAD ADECUADA DE
LOS DATOS PERSONALES, INCLUIDA LA PROTECCIÓN CONTRA EL TRATAMIENTO NO
AUTORIZADO O ILÍCITO Y CONTRA SU PÉRDIDA, DESTRUCCIÓN O DAÑO
ACCIDENTAL, MEDIANTE LA APLICACIÓN DE MEDIDAS TÉCNICAS U
ORGANIZATIVAS APROPIADAS (integridad y confidencialidad)

El RESPONSABLE DEL TRATAMIENTO SERÁ RESPONSABLE DEL CUMPLIMIENTO
DE LOS PRINCIPIOS RELACIONADOS EN EL ART. 5.1

19
 Art. 6 Reglamento UE: LICITUD DEL TRATAMIENTO
El tratamiento solo será́ licito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para
uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es
parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por
el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un
niño. 20
 PRINCIPIOS DE PROTECCIÓN DE DATOS
EN LA LEY ORGÁNICA 3/2018 (TITULO II)

1º.- EXACTITUD DE LOS DATOS (art. 4)

Serán exactos y, si fuere necesario, actualizados

La inexactitud no será imputable al responsable del tratamiento siempre que haya
adoptado todas las medidas razonables para que se supriman o rectifiquen sin
dilación y se den las circunstancias establecidas en el art. 4.2 Ley 3/2018

21
2º.- DATOS DE CONFIDENCIALIDAD (ART. 5)

Los RESPONSABLES y ENCARGADOS DEL TRATAMIENTO de datos así como todas las
personas que intervengan en cualquier fase de este estarán sujetas al DEBER DE
CONFIDENCIALIDAD al que se refiere el Reglamento Europeo.

La obligación general señalada en el apartado anterior será complementaria de los
deberes de SECRETO PROFESIONAL de conformidad con la normativa aplicable.

Las obligación de confidencialidad se mantendrá aun cuando hubiese finalizado la
relación del obligado con el responsable o encargado del tratamiento.

3º.- TRATAMIENTO BASADO EN EL CONSENTIMIENTO DEL AFECTADO (ART.6)

CONSENTIMIENTO DEL AFECTADO = Toda manifestación de voluntad libre,
específica, informada e inequívoca por la que este acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales que
le conciernen.

Esta obligación será complementaria con el deber de secreto profesional.

Esta obligación se mantiene aun cuando hubiese finalizado la relación del obligado
con el responsable o encargado del tratamiento. 22
4º.- TRATAMIENTO BASADO EN EL CONSENTIMIENTO DEL AFECTADO (art. 6)

* Toda manifestación de voluntad libre, específica, informada e inequívoca por la
que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen.

* No podrá supeditarse la ejecución del contrato a que el afectado consienta el
tratamiento de los datos personales para finalidades que no guarden relación con
el mantenimiento, desarrollo o control de la relación contractual.

5º.- CONSENTIMIENTO DE LOS MENORES DE EDAD (art. 7)

Únicamente podrá fundarse en su consentimiento cuando sea MAYOR DE 14
AÑOS (se exceptúan los supuestos en que la ley exija la asistencia de los
titulares de la patria potestad o tutela para la celebración de acto o negocio
jurídico en cuyo contexto se recaba el consentimiento para el tratamiento).

LOS MENORES DE 14 AÑOS, necesitarán en todo caso con el consentimiento del
titular de la patria potestad o tutela.

23
6º.- TRATAMIENTO DE DATOS POR OBLIGACIÓN LEGAL, INTERÉS PÚBLICO O
EJERCICIO DE PODERES PÚBLICOS (art. 8)

A) Solo podrá fundarse en una obligación legal exigible al responsable del
tratamiento del dato personal cuando se establezca competencialmente en una
norma de derecho europeo o nacional de rango legal.

B) En ejercicio de potestades administrativas en los términos establecidos en el art.
6.1 e) del Reglamento Europeo PD.

7º.- CATEGORÍAS ESPECIALES DE DATOS (art. 9)

El solo consentimiento del interesado NO BASTARÁ para levantar la prohibición
del tratamiento de datos cuya finalidad principal sea identificar su IDEOLOGÍA,
AFILIACIÓN SINDICAL, RELIGIÓN, ORIENTACIÓN SEXUAL, CREENCIAS U ORÍGEN
RACIAL O ÉTNICO. (así viene dispuesto también en el art. 9.2 del Reglamento
Europeo.

Los tratamientos de datos contemplados en el art. 9 g), h e i) del Reglamento
Europeo (referentes a datos sobre salud pública) deberán ser amparados en una
norma con RANGO DE LEY, que podrá incorporar requisitos adicionales relativos
a la seguridad y confidencialidad.
24
8º.- TRATAMIENTOS DE DATOS DE NATURALEZA PENAL (art. 10)

El tratamiento de datos personales relativos a condenas e infracciones
penales, así como a procedimientos y medidas cautelares y de seguridad
conexas, para fines distintos de los de PREVENCIÓN, INVESTIGACIÓN,
DETECCIÓN O ENJUICIAMIENTO DE INFRACCIONES PENALES O DE
EJECUCIÓN DE SANCIONES PENALES, solo podrá llevarse a cabo cuando
se encuentre amparado en una norma de Derecho de la Unión, en la ley
Orgánica 3/2018 o en otra norma de rango legal.

El Registro de datos personales relativo a condenas e infracciones
penales podrá realizarse conforme al sistema establecido en el sistema
de registros de la administración de justicia.

Fuera de los dos supuestos anteriores, solo se darían aquellos casos en
que los abogados y procuradores tengan que recabar datos en ejercicio
de sus funciones.

25
 LA SEGURIDAD DE LOS DATOS

Seguridad del tratamiento
art. 32 Reglamento EU
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el
alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de las personas físicas, el responsable
y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas
para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre
otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma
rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
26
 Art. 32 Reglamento UE

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente
en cuenta los riesgos que presente el tratamiento de datos, en particular como
consecuencia de la destrucción, pérdida o alteración accidental o ilícita de
datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos.

3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un
mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de
elemento para demostrar el cumplimiento de los requisitos establecidos en el
apartado 1 del presente artículo.

4. El responsable y el encargado del tratamiento tomarán medidas para
garantizar que cualquier persona que actúe bajo la autoridad del responsable o
del encargado y tenga acceso a datos personales solo pueda tratar dichos
datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en
virtud del Derecho de la Unión o de los Estados miembros.

27
Notificación de una violación de la seguridad de
los datos personales a LA AUTORIDAD DE ART. 33
CONTROL REGLAMENTO UE

EL RESPONSABLE DEL TRATAMIENTO lo hará de conformidad
al art. 55, sin dilación indebida y, de ser posible, a más tardar
72 horas después de que haya tenido constancia de ella, a
menos que sea improbable que dicha violación de la seguridad
constituya un riesgo para los derechos y libertades de las
personas físicas

EL ENCARGADO DEL TRATAMIENTO notificará sin dilación
indebida al responsable del tratamiento las violaciones de la
seguridad de los datos personales que tenga conocimiento.

28
 Contenido de la notificación

a) describir la naturaleza de la violación de la seguridad de los datos
personales, inclusive, cuando sea posible, las categorías y el número
aproximado de interesados afectados, y las categorías y el número
aproximado de registros de datos personales afectados;

b) comunicar el nombre y los datos de contacto del delegado de
protección de datos o de otro punto de contacto en el que pueda
obtenerse más información;

c) describir las posibles consecuencias de la violación de la seguridad
de los datos personales;

d) describir las medidas adoptadas o propuestas por el responsable
del tratamiento para poner remedio a la violación de la seguridad de
los datos personales, incluyendo, si procede, las medidas adoptadas
para mitigar los posibles efectos negativos.

29
Artículo 34 Reglamento UE

Comunicación de una violación de la seguridad de los datos personales al interesado

1. Cuando sea probable que la violación de la seguridad de los datos personales
entrañe un alto riesgo para los derechos y libertades de las personas físicas, el
responsable del tratamiento la comunicará al interesado sin dilación indebida.

NO SERÁ NECESARIA LA COMUNICACIÓN

a) El responsable del tratamiento ha adoptado medidas de protección técnicas y
organizativas apropiadas y estas medidas se han aplicado a los datos personales
afectados por la violación de la seguridad de los datos personales, en particular
aquellas que hagan ininteligibles los datos personales para cualquier persona que no
esté autorizada a acceder a ellos, como el cifrado;

b) El responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya
no exista la probabilidad de que se concretice el alto riesgo para los derechos y
libertades del interesado a que se refiere el apartado 1;

c) Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una
comunicación pública o una medida semejante por la que se informe de manera
igualmente efectiva a los interesados. 30
EJERCICIO Y TUTELA DE LOS DERECHOS
DEL TITULAR DE LOS DATOS
Responsable
DATOS TRATAMIENTO
PERSONALES
Encargado
SEGURIDAD

Arts. 15 a
DERECHOS
Derecho de acceso (art. 13 LO 3/18) 22 del
DE LAS
Derecho de rectificación (art.14) Reglamento
PERSONAS
Derecho de supresión (art. 15) UE PD
(Título III LO
3/2018) Derecho a limitación del tratamiento (art.16)
Derecho a la portabilidad (art. 17)
Derecho de oposición

31
TRANSPARENCIA DE LA INFORMACIÓN, COMUNICACIÓN Y MODALIDADES DE EJERCICIO
DE DERECHOS DEL INTERESADO
El responsable del tratamiento tomará las medidas oportunas para
facilitar al interesado toda información indicada en los artículos 13 y 14 del
Reglamento y 11 de la LO 3/2018, así como cualquier comunicación con arreglo a
los artículos 15 a 22 y 34 (Reglamento) relativa al tratamiento, en forma
concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro
y sencillo, en particular cualquier información dirigida específicamente a
un niño. La información será facilitada por escrito o por otros medios, inclusive,
si procede, por medios electrónicos. Cuando lo solicite el interesado, la
información podrá facilitarse verbalmente siempre que se demuestre la
identidad del interesado por otros medios.

Información básica

A) La identidad del responsable del tratamiento y de su representante, en su caso.
B) La finalidad del tratamiento
C) La posibilidad de ejercer los derechos (de las personas) establecidos en los arts. 15 a
22 del Reglamento UE
D) Datos tratados para elaboración de perfiles, habrá que indicarlo en la información
básica.
E) Datos personales no obtenidos del afectado, igualmente habrá de informarle de la
información anterior e incluir las categorías de datos objeto del tratamiento y la
fuente de procedencia. 32
DISPOSICIONES GENERALES SOBRE EJERCICIO DE DERECHOS (art. 12 LO 3/2018)

Podrán ejercerse directamente o por medio de representante legal o voluntario
El responsable del tratamiento estará obligado a informar al afectado sobre los
medios fácilmente accesibles a su disposición para ejercer los derechos que le
corresponden.
El encargado podrá tramitar, por cuenta del responsable las solicitudes de ejercicio de
derechos formuladas por los afectados, si así se estableciere en el contrato o acto
jurídico que los vincule.
La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus
derechos formulado por el afectado recaerá sobre el responsable
Determinados tratamientos pueden ser regidos por un régimen especial
Los titulares de la patria potestad podrán ejercitar en nombre y representación de los
menores de 14 años los derechos de acceso, rectificación, cancelación, oposición o
cualesquiera otros que pudieran corresponderles.
Las actuaciones llevadas a cabo por el responsable del tratamiento para atender a las
solicitudes de ejercicio de derechos serán gratuitas salvo excepciones (coste
desproporcionado art. 13.4 LO 3/18)

Responsable
Derechos RESPUESTA
Afectado Encargado

33
 DERECHO DE ACCESO

Art. 13 LO 3/18: (datos personales)
- Se ejercitará el acceso de acuerdo a lo establecido en el art. 15 del Reglamento UE.

- Cuando el responsable trate gran cantidad de datos relativos al afectado y este no
haya especificado si se refiere a todos o parte de ellos, podrá solicitarle que
especifique su solicitud.

- El derecho de acceso se entenderá otorgado si el responsable del tratamiento
facilitara al afectado un sistema de acceso remoto, directo y seguro que garantice,
de modo permanente, el acceso a la totalidad o comunique el modo para acceder,
teniendo por atendida la solicitud de derecho de acceso.

- Se entiende como REPETITIVO el ejercicio de derecho de acceso en más de una
ocasión durante el plazo de SEIS MESES, A MENOS QUE EXISTA CAUSA LEGÍTIMA
PARA ELLO.

- Cuando el afectado elija un medio distinto al que se le ofrece que suponga coste
desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado
asumirá el exceso de costes que su elección comporte.
34
Art. 15 Reglamento UE (otra información)

- Fines del tratamiento

- Categoría de datos personales de que se trate

- Destinatarios a los que se comunicaron

- Plazo previsto de conservación de datos o criterios para determinarlo

- Derecho a solicitar del responsable la rectificación, supresión o limitación de
tratamiento de datos del interesado

- Derecho a reclamar ante Autoridad de control

- Existencia de decisiones automatizadas, incluida la elaboración de perfiles.

35
 DERECHO DE RECTIFICACIÓN

Derecho de rectificación (ART. 16 Reglamento UE)

El interesado tendrá derecho a obtener sin dilación indebida del
responsable del tratamiento la rectificación de los datos
personales inexactos que le conciernan. Teniendo en cuenta los
fines del tratamiento, el interesado tendrá derecho a que se completen
los datos personales que sean incompletos, inclusive mediante una
declaración adicional.

Artículo 14 LO 3/18. Derecho de rectificación.
Al ejercer el derecho de rectificación reconocido en el artículo 16 del
Reglamento (UE) 2016/679, el afectado deberá indicar en su
solicitud a qué datos se refiere y la corrección que haya de
realizarse. Deberá acompañar, cuando sea preciso, la
documentación justificativa de la inexactitud o carácter
incompleto de los datos objeto de tratamiento.

36
 Circunstancias previstas en el art. 17 Reglamento
DERECHO DE SUPRESIÓN UE, para obtener del responsable del tratamiento
la supresión de datos personales.

a) los datos personales ya no sean necesarios en relación con los fines
para los que fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de
conformidad con el artículo 6, apartado 1, letra a), o el artículo 9,
apartado 2, letra a), y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21,
apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento,
o el interesado se oponga al tratamiento con arreglo al artículo 21,
apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una
obligación legal establecida en el Derecho de la Unión o de los Estados
miembros que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de
servicios de la sociedad de la información mencionados en el artículo 8.1 37
 DERECHO A LA LIMITACIÓN DEL TRATAMIENTO

Art. 18 Reglamento UE (Derecho a la limitación del tratamiento)

1. El interesado tendrá derecho a obtener del responsable del
tratamiento la limitación del tratamiento de los datos cuando se
cumpla alguna de las condiciones siguientes:

a) el interesado impugne la exactitud de los datos personales, durante
un plazo que permita al responsable verificar la exactitud de los
mismos;

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de
los datos personales y solicite en su lugar la limitación de su uso;

c) el responsable ya no necesite los datos personales para los fines del
tratamiento, pero el interesado los necesite para la formulación, el
ejercicio o la defensa de reclamaciones;

d) el interesado se haya opuesto al tratamiento en virtud del artículo
21, apartado 1, mientras se verifica si los motivos legítimos del
responsable prevalecen sobre los del interesado.
38
2. Cuando el tratamiento de datos personales se haya
limitado en virtud del apartado 1, dichos datos solo podrán
ser objeto de tratamiento, con excepción de su
conservación, con el consentimiento del interesado o para la
formulación, el ejercicio o la defensa de reclamaciones, o
con miras a la protección de los derechos de otra persona
física o jurídica o por razones de interés público importante
de la Unión o de un determinado Estado miembro.

3. Todo interesado que haya obtenido la limitación del
tratamiento con arreglo al apartado 1 será informado por
el responsable antes del levantamiento de dicha
limitación.

39
Artículo 20 Reglamento UE
DERECHO A LA PORTABILIDAD DE LOS DATOS

1. El interesado tendrá derecho a recibir DERECHO
los datosA LA PORTABILIDAD
personales que le
incumban, que haya facilitado a un responsable del tratamiento, en un
formato estructurado, de uso común y lectura mecánica, y a transmitirlos
a otro responsable del tratamiento sin que lo impida el responsable al
que se los hubiera facilitado, cuando:
a)el tratamiento esté basado en el consentimiento con arreglo al artículo
6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un
contrato con arreglo al artículo 6, apartado 1, letra b), y
b)el tratamiento se efectúe por medios automatizados.

2. Al ejercer su derecho a la portabilidad de los datos de acuerdo
con el apartado 1, el interesado tendrá derecho a que los datos
personales se transmitan directamente de responsable a
responsable cuando sea técnicamente posible.

3. El ejercicio del derecho mencionado en el apartado 1 del presente
artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se
aplicará al tratamiento que sea necesario para el cumplimiento de una
misión realizada en interés público o en el ejercicio de poderes públicos
40
conferidos al responsable del tratamiento.
 Art. 18 LO 3/18: El derecho de oposición, así
DERECHO DE como los derechos relacionados con las
OPOSICIÓN decisiones individuales automatizadas, incluida
la realización de perfiles, se ejercerán de
acuerdo con lo establecido,
respectivamente, en los artículos 21 y 22
del Reglamento (UE) 2016/679

Art. 21.1 Reglamento UE. El interesado tendrá derecho a
oponerse en cualquier momento, por motivos relacionados con su
situación particular, a que datos personales que le conciernan
sean objeto de un tratamiento basado en lo dispuesto en el
artículo 6, apartado 1, letras e) o f ) (LICITUD DEL
TRATAMIENTO), incluida la elaboración de perfiles sobre la base
de dichas disposiciones. El responsable del tratamiento dejará de
tratar los datos personales, salvo que acredite motivos legítimos
imperiosos para el tratamiento que prevalezcan sobre los
intereses, los derechos y las libertades del interesado, o para la
formulación, el ejercicio o la defensa de reclamaciones.

41
Art.21.2 Reglamento UE; Cuando el tratamiento de datos
personales tenga por objeto la mercadotecnia directa, el
interesado tendrá derecho a oponerse en todo momento al
tratamiento de los datos personales que le conciernan, incluida la
elaboración de perfiles en la medida en que esté relacionada con
la citada mercadotecnia.

Art. 21.6 Reglamento UE:

Cuando los datos personales se traten con fines de
investigación científica o histórica o fines estadísticos de
conformidad con el artículo 89, apartado 1, el interesado
tendrá derecho, por motivos relacionados con su situación
particular, a oponerse al tratamiento de datos personales
que le conciernan, salvo que sea necesario para el
cumplimiento de una misión realizada por razones de
interés público.

42