Proteccion de Datos: Regimen General Ocw

Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
ASIGNATURA: DERECHO DE LAS TECNOLOGÍAS DE LA

INFORMACIÓN
Coordinadora María Nieves de la Serna Bilbao

Profª (PhD) Derecho Administrativo UC3M
LECCIÓN 2: PROTECCION DE DATOS: RÉGIMEN

GENERAL
Mª Nieves de la Serna Bilbao

Profesora Titular de Derecho Administrativo
Departamento de Derecho Público del Estado
Universidad Carlos III de Madrid
1
SUMARIO:
I.- INTRODUCCIÓN
II.- ANTECEDENTES DEL DERECHO A LA PROTECCIÓN DE

DATOS EN EUROPA
1.- Primeras regulaciones; el Consejo de Europa –CdE-
2.- El Convenio 108 del Consejo de Europa, de 1981, para la protección
de las personas con respecto al tratamiento automatizado de datos de
carácter personal
3. Algunas regulaciones adoptadas a nivel internacional
III.-REGULACION EN MATERIA DE PROTECCIÓN DE DATOS

EN EUROPA
1.- De la Comunidad Europea a la Unión Europea, primeros
antecedentes
2.- La aprobación de la Directiva europea de protección de datos
3. La aprobación del Tratado de Ámsterdam y su repercusión en la
protección de datos
4.- La protección de datos en las instituciones y en los organismos
comunitarios
5. El importante cambio regulatorio en materia de protección de datos,
de la Directiva al Reglamento europeo
6. La opción de aprobar un Reglamento frente a una Directiva
2
IV ANALISIS DEL ACTUAL MARCO REGULADOR EN

MATERIA DE PROTECCIÓN DE DATOS
1.- El RGPD y la LOPDGDD como normas que regulan el derecho a la
2. El RGPD; objetivo y ámbito de aplicación
3. Datos de carácter personal; concepto
4. Categorías especiales de datos personales
5. Autoridades de control competente en materia de Protección de Datos
6.- Sujetos que intervienen en materia de protección de datos
7.- Principios fundamentales aplicables en materia de protección de
datos
8.- Bases de legitimación del tratamiento
9.- Derechos de los interesados
10. Restricciones a los principios y derechos de los interesados
11.- Responsabilidad proactiva –Accountability-
12. Régimen sancionador
BIBLIOGRAFÍA
3
ABSTRACT
El Derecho a la protección de datos es un derecho moderno y activo en el que, con carácter
general, todo tratamiento, recogida, custodia o cesión de datos de carácter personal,
cualquier sea el dato (íntimo o no) se debe sujetar a la normativa vigente reguladora de la
materia. Hoy en día, es difícil encontrar tareas en las que no se traten datos personales y,
por ello, es necesario conocer la regulación vigente. Los recientes cambios normativos en
esta materia a nivel europeo y español han articulado un sistema que sea capaz de
garantizar, a pesar del transcurso del tiempo y de los adelantos tecnológicos, un nivel de
seguridad jurídica de los datos personales a través de normas claramente definidas. Este
marco regulatorio se presenta como más sólido y coherente que el anteriormente vigente
y persigue garantizar una aplicación estricta del derecho a la protección de datos de tal
forma que permita el desarrollo de la economía digital en el mercado interior, reconozca
a los ciudadanos el control de sus datos, refuerce la seguridad jurídica y la práctica de los
operadores económicos y de las autoridades públicas. Estudiaremos aquí la evolución de
este derecho y el régimen general actualmente vigente.
ABSTRACT
The Right to data protection is a modern and active right in which, in general, all
treatment, collection, custody or transfer of personal data, whatever the data (intimate or
not) must be subject to the regulations of the current regulatory matter. Nowadays, it is
difficult to find tasks in which personal data is not processed and, therefore, it is necessary
to know the current regulations. Recent regulatory changes in this area at the European
and Spanish level have articulated a system that is capable of guaranteeing, despite the
passage of time and technological advances, a level of legal security for personal data
through clearly defined standards. This regulatory framework is presented as more solid
and coherent than the one previously in force and seeks to guarantee a strict application
of the right to data protection in such way that it allows the development of the digital
economy in the internal market, recognizes citizens the control of their data, reinforces
legal security and practice for economic operators and public authorities. We will study
here the evolution of this right and the general regime currently in force.
4
I.- INTRODUCCIÓN
«La protección de datos nunca debería verse como una regulación estática,
sino siempre como un proceso dinámico que no tiene fin»1 *
El origen del derecho a la protección de datos se suele situar con el desarrollo de la

informática y los peligros que aquella supone o puede suponer para los derechos de las
personas, en particular, el derecho al respeto a la vida privada. La llegada de la
informática y más tarde de internet han traído y continúa trayendo importantes avances e
innovaciones para la sociedad y para los ciudadanos que les ha permitido mejorar
substancialmente en todos los órdenes de la vida –calidad, productividad, servicios,
información, etc.-. No obstante, la informática, internet o más recientemente, la
Inteligencia Artificial, necesitan para funcionar obtener, guardar y tratar datos con
distintos objetivos, algunos muy beneficiosos, pero también otros peligrosos para la
sociedad y las personas, en particular, cuando se trata de datos personales, para la
intimidad en sentido amplio y el libre desarrollo de la personalidad. Como respuesta a
estos tratamientos y para limitar los potenciales peligros frente a la recopilación y el usos
de aquellos datos se aprobaron diferentes normas destinadas a regular lo que se denominó,
en un primer momento en Europa, el “derecho a la autodeterminación informativa” 2,
posteriormente reconocido como el “derecho a la protección de datos personales”3.
No encontramos, por tanto, ante un derecho relativamente nuevo pero no por ello sin
recorrido4. Al contrario, dados los importantes avances, progresos e innovaciones que la
1 *Spiros Simitis en el transcurso de la Conferencia de Primavera de las Autoridades Europeas de Protección de Datos,
celebrada en Cracovia del 25 al 26 de abril de 2005; Agencia de Protección de Datos de la Comunidad de Madrid
(2008) Revista Datos Personales –Enero-
2 Denominación utilizada por primera vez por el Tribunal Constitucional Alemán en la sentencia de 1983, al analizar
los datos censales en conexión con el derecho fundamental al respeto de la personalidad recogido en la Constitución.
3 Expresión utilizada por el Reglamento europeo General de Protección de Datos. También es el término que el Tribunal
Constitucional Español utiliza para referirse a este Derecho en la célebre sentencia 292/2000, de 30 de noviembre.
4
Algunos autores, dada la relación del derecho a la protección de datos con el derecho a la intimidad, concretan como
primer antecedente de este derecho el artículo «The Rigth to Privacy» -El derecho a la intimidad- publicado en 1890
de WARREN, S.D.; BRANDEIS, L.D. «The right to privacy» in Harvard Law Review (1890 [15 diciembre 1890]),
Vol. 4, No. 5, p. 193-220. Versión española en WARREN, S.D.; BRANDEIS, L.D., El derecho a la intimidad (Madrid,
Cívitas, 1995). En el mismo, se planteaba el reconocimiento del derecho a ser dejado en paz -la intimidad- y la necesaria
protección que el ordenamiento jurídico debe ofrecer frente a los inventos y métodos comerciales, como el
advenimiento de la fotografía instantánea y la circulación generalizada de periódicos que ocurrían en aquel entonces.
Señalan los autores que aquellas invenciones habían contribuido a la invasión de la intimidad de las personas y
concretamente expresaban que «La prensa está traspasando, en todos los ámbitos, los límites de la propiedad y de la
decencia. El chismorreo ha dejado de ser ocupación de gente ociosa y depravada para convertirse en una mercancía,
buscada con ahínco e, incluso, con descaro... Con el fin de entretener al indolente, columna tras columna se llenan de
5
tecnología ha tenido –y continúa teniendo- al igual que su uso generalizado en todos los
ámbitos de la vida de las personas, ésta sigue planteando incesantemente nuevos
interrogantes frente al derecho y, en particular, frente a los derechos de las personas. Esta
situación determina que el derecho deba abordar constantemente importantes cambios
para limitar los peligros que aquellos avances suponen. Nos encontramos, por tanto, ante
un ámbito del derecho que precisa actualizarse al ritmo de la evolución tecnológica.
En conclusión, el Derecho a la protección de datos es un derecho moderno y activo5 en el
que, con carácter general, todo tratamiento, recogida, custodia o cesión de datos de
carácter personal, cualquier sea el dato (íntimo o no) se debe sujetar a la normativa vigente
reguladora de la materia. Es así que, en principio, cualquier tratamiento de datos
personales, aunque no afecte a la vida privada de las personas o al libre desarrollo de su
personalidad, debe cumplir, obligatoriamente, con lo dispuesto por la normativa
correspondiente. Esto no significa que los datos personales no puedan ser recopilados o
tratados, sino que, por el contrario, determina que para llevar a cabo un uso o tratamiento
de datos es necesario cumplir con lo dispuesto en la normativa de protección de datos.
chismes insustanciales, obtenidos, únicamente, mediante la intromisión en el ámbito privado.» y subrayan «Es nuestro
propósito considerar si la ley existente ofrece un principio que puede invocarse adecuadamente para proteger la
privacidad del individuo; y, si lo hace, cuál es la naturaleza y el alcance de dicha protección», para concluir que el
derecho a ser dejado en paz es «un principio que puede invocarse para proteger la privacidad del individuo de la
invasión, ya sea por la prensa demasiado emprendedora, el fotógrafo o el poseedor de cualquier otro dispositivo
moderno para grabar o reproducir escenas o sonidos».
Aquel ensayo tiene una influencia y trascendencia jurídica incuestionable que da lugar a un planteamiento original en
el que no sólo se reconoce una dimensión individual o subjetiva del derecho a la intimidad, sino que también plantea,
la dimensión social y colectiva del citado derecho en tanto que protege el propio mantenimiento y avance del sistema
democrático, ya que la privacidad contribuye también a limitar la actuación de los poderes públicos y a definir el
atributo de la ciudadanía. Un estudio más en profundidad puede verse en Saldaña, M Nieves, «The right to privacy»:
la génesis de la protección de la privacidad en el sistema constitucional norteamericano, el centenario legado de
Warren y Brandeis, en Revista de Derecho Político, núm. 85, 2012 UNED, quien señala que se trata de un ensayo
fundacional de la protección de la privacidad en los Estados Unidos y el artículo doctrinal más influyente de la literatura
jurídica norteamericana. Sin duda su influencia ha sido incuestionable, ha originado la preocupación colectiva por el
reconocimiento y garantía de la esfera privada, ha generado al menos cuatro acciones civiles para su protección y ha
encuadrado y fundamentado el discurso constitucional del derecho a la privacidad en los Estados Unidos durante todo
el siglo XX.
5 Véase al respecto TJUE, las conclusiones de la Abogada General en asunto Volker und Markus Schecker GbR y
Hartmut Eifert contra Land Hessen -C92/09 y C93/02- cit en Manual de legislación europea en materia de protección
de datos (2019); edit. Agencia de los Derechos Fundamentales de la Unión Europea y Consejo de Europa; Luxemburgo;
pág. 22.
6
II.- ANTECEDENTES DEL DERECHO A LA

PROTECCIÓN DE DATOS EN EUROPA
1.- Primeras regulaciones; el Consejo de Europa –CdE-
Se suele mencionar como primeros antecedentes de regulación del derecho a la protección

de datos las Resoluciones aprobadas por el Consejo de Europa –CdE- para salvaguardar
los derechos de las personas frente al auge de la tecnología. En primer lugar, la
Resolución 509/1968 de la Asamblea denominada “Los derechos humanos y los nuevos
logros científicos y técnicos”, en donde, si bien no se mencionaba directamente el
concepto protección de datos, sí se concretaba la necesidad de adoptar mecanismos de
protección frente al uso de las tecnologías para proteger su potencial agresividad a la vida
privada y a otros derechos de las personas. Posteriormente, a principios de los años setenta
el citado Consejo–CdE- aprobó un importante grupo de documentos, como la Resolución
R (73) 22, relativa a “la protección de la vida privada de las personas físicas respecto de
los bancos de datos electrónicos en el sector privado”; la Resolución R (73) 23, sobre
medidas de armonización en el ámbito de la informática jurídica en los Estados
7
miembros del Consejo de Europa y la Recomendación R (74) 29, relativa a la protección

de la vida privada de las personas físicas respecto a los bancos de datos electrónicos en
el sector público. En todas las se concretaban, tanto para el sector privado como para el
sector público, pautas que se debían tener presente cuando se utilizase la informática para
recolectar datos personales, así como las limitaciones en el tratamiento de aquellos.
Aquellas Resoluciones y la Recomendación fueron consideradas como el verdadero
origen del movimiento legislativo en materia de protección de datos en Europa. En ellas
se recogían principios -aún hoy vigentes-, como la calidad de los datos personales, la
exigencia de exactitud y puesta al día o la adecuación de los datos tratados a la finalidad
para la que se recogieron. Igualmente se contenían exigencias, también hoy vigentes,
como obtener y tratar los datos con una base legitimadora o la adopción de medidas de
seguridad adecuadas a los tipos de datos contenidos en los ficheros, entre otros.
Posteriormente, el Consejo de Europa –CdE- aprobó un importante número de
Recomendaciones centradas en regular la protección de datos en sectores concretos de
gran trascendencia para las personas como el relativo al ámbito médico, al policial, al
laboral, estadístico, de telecomunicaciones, entre otros muchos6.
2.- El Convenio 108 del Consejo de Europa, de 1981, para la

protección de las personas con respecto al tratamiento
automatizado de datos de carácter personal
En el año 1981 el Consejo de Europa aprueba un documento de gran trascendencia en

materia de protección de datos. Se trata del Convenio 108 del Consejo de Europa, de 28
6 En este sentido cabe mencionar las siguientes: Recomendación núm. R(81) 1, de 23 de enero, que trata el tratamiento
automatizado de los bancos de datos médicos; la Recomendación núm. R(83) 10, de 23 de septiembre, relativa a la
protección de datos personales utilizados con fines de investigación y estadísticos; la Recomendación núm. R(86) 1,
de 23 de enero, sobre la protección de datos personales relacionados con la Seguridad Social; la Recomendación R(87)
15, de 17 de septiembre, sobre utilización de datos personales por la policía; la Recomendación R(89) 2, de 18 de enero,
relativa a la protección de datos personales utilizados con fines laborales; número la Recomendación R(91) 10, de 9 de
septiembre, relativa a la cesión de datos pertenecientes al sector público; la Recomendación R(95) 4, de 7 de febrero,
relativa a la protección de datos personales en el sector de telecomunicaciones; la Recomendación núm. R(97) 5, de
13 de febrero, relativa a la protección de datos sanitarios; la Recomendación R(97) 18, de 30 de septiembre, relativa a
la protección de datos personales con fines estadísticos, entre muchas otras.
8
de enero de 1981, para la protección de las personas con respecto al tratamiento

automatizado de datos de carácter personal; único instrumento internacional
jurídicamente vinculante para los Estados que lo han ratificado. El Convenio 108 tuvo
como propósito establecer unidad entre las legislaciones de los países adheridos así como
extender la garantía de la protección de datos a todos los ciudadanos. No obstante, cabe
señalar que no resulta posible solicitar amparo ante el Tribunal Europeo de Derechos
Humanos (en adelante, TEDH) por vulneración de algún precepto del Convenio, pero el
propio TEDH lo considera una parte importante del derecho al respeto a la vida privada
y familiar recogido en el artículo 8 del CEDH, precepto que concreta:
1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y
de su correspondencia.
2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino
en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que,
en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad
pública, el bienestar económico del país, la defensa del orden y la prevención del delito,
la protección de la salud o de la moral, o la protección de los derechos y las libertades
de los demás.
Es preciso señalar que el Convenio 108 del Consejo de Europa también tiene un papel
destacado a nivel internacional ya que al estar abierto a que se adhieran Partes no
Contratantes del Consejo de Europa, sirve como base para promover la protección de
datos a escala mundial. Recordemos que el Convenio tiene por finalidad proteger la libre
circulación de los datos personales para favorecer el comercio y el libre mercado y para
ello, cada Estado parte y los Estados que se adhieran deben adaptar su legislación interna
al contenido del Convenio con el fin de cumplir con los objetivos del mismo7.
Con carácter general el Convenio 108 debe ser respetado tanto por el sector público como
el sector privado. Igual obligación corresponde a las autoridades judiciales y a las Fuerzas
y Cuerpos de Seguridad. En cuanto a su contenido el mismo señala principios que se
deben respetar en todo tratamiento de datos personales -calidad, lealtad, licitud,
conservación, entre otros-; reconoce la existencia de datos sensibles y les otorga una
protección especial; reconoce derechos a los titulares de los datos que pueden ser
7Actualmente forman parte del mismo 51 países partes del Convenio 108, la Unión Europea y otros países no miembros
del CdE como Uruguay, Túnez, Senegal, etc.
9
ejercitados ante quien recoge o trata los datos como el derecho de acceso, de rectificación,
de supresión y de oposición, entre otros. Sin embargo, es preciso desatacar que el mismo
no contiene ninguna referencia a la adopción de medidas de seguridad.
El Convenio 108 del Consejo del año 1981 fue objeto de diversas modificaciones. En el
año 1999, el Convenio fue modificado para que la Unión Europea sea parte del mismo.
En el año 2001, se adopta un Protocolo adicional con la finalidad de introducir la
regulación sobre los flujos transfronterizos a los Estados no Partes, así como la obligación
de crear autoridades de control específicas en materia de protección de datos. Finalmente,
en el año 2011, se inicia un proceso de actualización de su contenido para adaptarlo al
desarrollo de las tecnologías de la información y la comunicación que culmina en el año
2018 con la aprobación de un Protocolo Adicional que da lugar al denominado Convenio
108 + (plus), el 10 de octubre del citado año. En este último instrumento se reforzó la
protección de los datos personales ante la diversificación e incremento de las actividades
de procesamiento de datos y de circulación de la información. También se incorporó los
objetivos adoptados en la reforma normativa llevada a cabo en la Unión Europea en
materia de protección de datos que culmina en 2016 con la aprobación del Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos 8 ). Es así que, se puede afirmar, que
actualmente existe coherencia y compatibilidad entre la regulación del CdE y de la Unión
Europea.
En líneas generales el Convenio 108+ (plus), vino a reforzar las exigencias en las medidas
de seguridad que se deben adoptar; a concretar las responsabilidades de las entidades que
trabajan con datos personales; a exigir rendición de cuentas de los sujetos que manipulan
datos; eso sí, siempre con la idea de la proyección universal que este instrumento tiene.
El Convenio 108+ continúa con su cometido inicial, es decir, de proteger a las personas
en todo tratamiento de datos; de facilitar el flujo transfronterizo y de reforzar al mismo
tiempo la efectiva aplicación del Convenio.
8 DO L 119 de 4.5.2016, p. 1
10
3.- Algunas regulaciones adoptadas a nivel internacional
En los años setenta las instituciones internacionales también se encontraban preocupadas

por la circulación de los datos personales. La irrupción de la tecnología y la incidencia
que aquella tenía sobre la vida privada de las personas se valoraba con preocupación para
el desarrollo en los diversos ámbitos de la vida, y en particular, en la económica. Es así
que, en los años ochenta, la Organización para la Cooperación y el Desarrollo Económico,
en adelante OCDE, aprobó, primero en 1980, las Directrices sobre protección de la
privacidad y flujos transfronterizos de datos personales (Directrices sobre privacidad);
posteriormente en 1985, la Declaración sobre flujos de datos transfronterizos y, en 1998,
Declaración ministerial sobre la protección de la privacidad de las redes globales 9 .
Recientemente y como consecuencia de los importantes desarrollos tecnológicos y de
infraestructuras de la información y la comunicación que plantea nuevos retos y
oportunidades, se aprobaron las denominadas Directrices del siglo XXI. Con ellas se
quiere fortalecer y proteger la privacidad global al articular mecanismos de cooperación
con otras organizaciones internacionales para adoptar políticas coherentes que permitan
garantizar el respeto de la vida privada de las personas y la protección de datos en línea.
Finalmente señalar que en el año 2020 la OCDE, ante la situación de pandemia, aprobó
las Directrices de seguimiento COVID: protección de la privacidad y de los datos durante
el uso de aplicaciones y datos biométricos.
Por su parte Naciones Unidas también ha mostrado su preocupación por el uso de la
informática y los perjuicios que su uso ocasiona en los distintos ámbitos de la vida de las
personas y adoptó distintos documentos relevantes. Entre ellos, merece mencionar los
denominados “Principios rectores sobre la reglamentación de los ficheros computarizados
de datos personales”, adoptados por Resolución A/Res/45/1995, de 14 de diciembre 1990,
de la Asamblea General. Más recientemente Naciones Unidos adoptó una serie de
Declaraciones de gran relevancia a nivel mundial como la Declaración Universal sobre
el Genoma Humano y los Derechos Humanos, adoptada por unanimidad por la Asamblea
General el 11 de noviembre de 1997; la Declaración Internacional sobre los Datos
99 Un pequeño resumen de estos documentos puede consultarse https://www.oecd.org/sti/ieconomy/15590267.pdf
11
Genéticos Humanos de 16 de octubre de 2003 o la Declaración Universal sobre Bioética

y Derechos Humanos, de 19 de octubre de 2005. Todos ellos, son documentos que han
marcado un antes y un después en el mundo jurídico y, desde luego, en materia de
protección de datos.
La Organización de Estados Americanos OEA, también abordó estos temas y resulta de
interés destacar, entre muchos otros documentos, los Principios de la OEA sobre la
privacidad y la protección de los datos personales adoptados en 2014, cuyo objetivo fue
concretar unas bases que sirvieran a los diferentes Estados para adoptar leyes que protejan
la privacidad de las personas.
Más recientemente, las organizaciones mundiales como la Organización Mundial de la
Salud –OMS-, la Organización de Naciones Unidas –ONU-, la Organización
Internacional de Migraciones –OIM-, la UNESCO y otras, adoptaron, ante la situación
de pandemia vivida, una Declaración Conjunta sobre protección de datos y privacidad en
la respuesta a la COVID-19, respetando el derecho a la privacidad y otros derechos
humanos y promoviendo el desarrollo económico y social. En esta Declaración se
recuerda cómo se deben utilizar los datos personales para este fin –COVID-19-, así como
las medidas preventivas que se deben adoptar y evitar para no afectar negativamente los
derechos reconocidos a las personas. En este contexto la OMS también publicó unas
consideraciones éticas en una Guía para utilizar las tecnologías digitales de rastreo de
proximidad para la localización de contactos en la COVID-1910 que también apuntan a
proteger los derechos de las personas.
En definitiva, la preocupación por la recogida y uso de los datos personales así como los
destinos de los mismos, está presente en todas aquellas instituciones internacionales con
el fin de proteger a las personas frente a cualquier vulneración de los derechos humanos
reconocidos pero sin olvidar la importancia que tiene la libre circulación de los datos,
necesario en un mundo globalizado.
10 https://www.who.int/publications/i/item/WHO-2019-nCoV-Ethics_Contact_tracing_apps-2020.1
12
III.-REGULACION EN MATERIA DE PROTECCIÓN DE

DATOS EN EUROPA
1.- De la Comunidad Europea a la Unión Europea, primeros

antecedentes
En la Unión Europea, la idea de aprobar una Directiva de protección de datos, se suele

situar en los años setenta con la elaboración, por parte de la Comisión, de un proyecto de
Comunicación, del año 1973, titulada “Una política comunitaria de informática”11. En
esta Comunicación se recogía la inquietud de las instituciones europeas con respecto al
empleo de la informática y la incidencia en los derechos de las personas y se subrayaba
la necesidad de alcanzar un consenso político que permitiese instaurar unas reglas de base
común para todos los Estados miembros para evitar futuras divergencias normativas. A
partir de esta iniciativa y hasta comienzos de los años ochenta se trabajó con varias
11 SEC (73) 4300 final, “Una política comunitaria de informática”.
13
propuestas de diversa envergadura que fueron las que prepararon el camino de la futura
Directiva. Entre aquellas propuestas, baste mencionar, la Resolución del Parlamento
Europeo de 21 de febrero de 1973, sobre la protección de los derechos de la persona ante
el desarrollo de los progresos técnicos en el ámbito de la informática; la Resolución de 8
de mayo de 1979 del Parlamento, sobre la protección de los derechos de la persona ante
el desarrollo de los progresos técnicos en el ámbito de la informática o la Recomendación
de la Comisión de 29 de julio de 1981, relativa al Convenio del Consejo de Europa sobre
protección de las personas con respecto al tratamiento automatizado de datos de carácter
personal, entre otros12.
2.- La aprobación de la Directiva europea de protección de

datos
A principios de los años noventa, la Comisión presentó una primera propuesta de

regulación de protección de datos13, que coincidió con un cambio importante y sustancial
en la situación política, a saber: la firma del Tratado de Maastrich el 7 de febrero de 1992,
que modificó el Acta Única Europea vigente desde 198614. Recordemos que el Tratado
de Maastrich perseguía hacer efectivo un mercado interior donde se garantice la libre
circulación de mercancías, personas, servicios y capitales, dentro del cual se incluía la
libre circulación de datos de carácter personal de un Estado a otro. En aquel momento la
utilización, recopilación y tratamiento de los datos de carácter personal por parte del
12 La Recomendación 87/598/CE, de la Comisión, de 8 de diciembre sobre un Código Europeo de buena conducta en

materia de pago electrónico; la Directiva 88/182/CE, relativa a productos de teleinformática y a la necesidad de
compatibilizar los sistemas y establecer códigos de conducta y directivas maestras para la armonización de las
legislaciones de los estados miembros; la Directiva 88/301/CEE de la Comisión de 16 de mayo de 1988 relativa a la
competencia en los mercados de terminales de telecomunicaciones; la Recomendación 88/590/CE de la Comisión de
17 de noviembre de 1988, relativa a los sistemas de pago y en particular a las relaciones entre titulares y emisores de
tarjetas de pago electrónico; la Recomendación 89/4, adoptada por el Comité de Ministros, de 6 de marzo de 1989, en
la reunión nº 424 de Delegados de Ministros, sobre la recogida de datos epidemiológicos relativos a la atención sanitaria
de carácter primario o la Recomendación 89/9 del Comité de Ministros a los Estados miembros, de 9 de septiembre de
1989, sobre la criminalidad en relación con el ordenador.
13 COM (90) 314, de 24 de septiembre de 1990, DOCE, serie C, núm. 277, de 5 de noviembre de 1990.
14 Con carácter previo se había presentado por parte de la Comisión un Proyecto de Directiva del Consejo presentada
por la Comisión el 27 de julio de 1990, relativa a la protección de las personas en lo referente al tratamiento de datos
personales
14
sector privado, y lo mismo cabe decir, del sector público, aumentaba considerablemente
y, desde Europa, ya se era plenamente consciente de la necesidad de adoptar alguna
medida que garantizase la circulación de los datos personales en el territorio europeo para
que el mercado interior pudiese prosperar.
La Comisión, consciente de que en materia de protección de datos existían diferencias
jurídicas importantes entre los Estados miembros que resultaban ser un obstáculo al flujo
transfronterizo de aquellos, planteó la necesidad de armonizar (que no homogeneizar) las
legislaciones nacionales como un objetivo prioritario para las instituciones comunitarias
para el correcto funcionamiento del mercado interior. Después de un período de cinco
años de negociación desde la primera propuesta de regulación de la materia de protección
de datos presentada por la Comisión, se aprobó la Directiva 95/46/CE, del Parlamento
Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos15.
La Directiva 95/46/CE recogió las definiciones y las reglas contenidas en los distintos
documentos internacionales existentes en aquel momento. Se trataba de un texto legal de
referencia a escala europea en materia de protección de datos personales y exigía, a cada
Estado miembro, la creación de un organismo nacional independiente encargado de velar
por la correcta aplicación del contenido de la Directiva para proteger los datos personales.
Igualmente, la norma europea estableció un marco regulador destinado a concretar un
equilibrio entre un nivel elevado de protección de la vida privada de las personas y la
libre circulación de datos personales dentro de la Unión Europea para evitar que la
defensa de los derechos fundamentales ponga freno a los objetivos de la integración
económica. Su artículo 1º así lo manifestaba al disponer que:
“1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente
Directiva, la protección de las libertades y de los derechos fundamentales de las personas
físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de
los datos personales.
2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos
personales entre los Estados miembros por motivos relacionados con la protección
garantizada en virtud del apartado 1”.
15 DOCE nº L 281/31 de 23 noviembre 1995, p. 31-50.
15
La Directiva 95/46/CE también creó el denominado Grupo de Trabajo, en el artículo 29

(en adelante “el Grupo del artículo 29”), órgano de especial importancia en esta materia,
integrado por los representantes de las distintas autoridades encargadas de la protección
de datos de los Estados miembros. Al Grupo del artículo 29 -hoy Comité Europeo de
Protección de Datos16-, se le reconoce una función consultiva independiente, así como la
facultad de emitir dictámenes, opiniones e informes relativos a temas controvertidos o
pocos claros que permitan interpretar el contenido de la Directiva para conseguir una
aplicación homogénea en todo el territorio de la Unión Europea. El Grupo del artículo 29,
en el desarrollo de su tarea emitió importantes y relevantes documentos que sirvieron para
conseguir aquel objetivo.
Después de la aprobación de la Directiva 95/46/CE, la Unión Europea aprobó numerosas
normas que abordaban la regulación de sectores concretos de actividad por presentar
peculiaridades especiales en el tratamiento de datos. Entre aquellas cabe citar, a título de
ejemplo, el sector de las telecomunicaciones17, el de transporte18, el de los consumidores19
o el tratamiento de datos por el ámbito policial y judicial20, por citar algunos de ellos.
16 El Comité Europeo de Protección de Datos (en adelante, Comité) sustituye al Grupo de Trabajo del artículo 29 de la
Directiva 95/46/CE y al igual que éste persigue fomentar la aplicación coherente del reglamento en toda la Unión,
asesorando a la Comisión, en particular sobre el nivel de protección en terceros países u organizaciones internacionales
y fomentar la cooperación de las autoridades de control. El Comité se constituye como un organismo independiente de
la unión, con personalidad y se compone por el Director de una autoridad de control de cada Estado miembro y el
Supervisor Europeo de Protección de Datos. También participa la Comisión, pero sin derecho a voto. Entre sus
funciones cabe destacar las de asesoramiento, emisión de dictámenes, directrices, recomendaciones y buenas prácticas,
adopción de decisiones vinculantes y de fomento en la elaboración de códigos de conducta y en el establecimiento de
mecanismos de certificación de protección de datos, así como de sellos y marcas –artículo 70 RGPD.
17 Así, por ejemplo, las Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997, relativa
al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones; Directiva
2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al tratamiento de los datos personales
y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre privacidad y las
comunicaciones electrónicas) modificada por la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15
de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de
comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que modifica la
Directiva 2002/58/CE; Directiva 2009/136/CE, del Parlamento Europeo y el Consejo, de 25 de noviembre de 2009, por
la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación
con las redes y los servicios de comunicaciones electrónicas, entre otras.
18 Directiva 2004/82/CE, del Consejo de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los
datos de las personas transportadas

19 Reglamento (CE) núm. 2006/2004 sobre la cooperación en materia de protección de los consumidores
20 Decisión Marco 2008/977/JAI, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en
el marco de la cooperación policial y judicial en materia penal - DO L 350 de 30.12.2008, p. 60.-.
16
3.- La aprobación del Tratado de Ámsterdam y su repercusión

en la protección de datos
En el año 1997, se firma el Tratado de Ámsterdam que tiene una importante repercusión
en la materia objeto de estudio en este trabajo. En efecto, el citado Tratado indicaba que:
“…la Unión se basa en los principios de libertad, democracia, respeto de los derechos
humanos y de las libertades fundamentales y el Estado de Derecho, principios que son
comunes a los Estados Miembros”
Paralelamente aquel Tratado reconoció competencia al Tribunal de Justicia para la

defensa de los Derechos Fundamentales por lo que, a partir de ese momento, en lo que a
este trabajo interesa, el respeto a la vida privada reconocido en el artículo 8 del Convenio
Europeo de Derechos Humanos, adquiere toda su importancia en el ámbito europeo.
El Tratado de Ámsterdam también introdujo un nuevo artículo de singular importancia
en el tema que nos ocupa. Se trata del artículo 213 -artículo 286 del texto refundido del
Tratado de la Unión -hoy, artículo 16 del Tratado de Funcionamiento de la Unión Europea
(en adelante, TFUE)21-; que supuso un hito importantísimo en el desarrollo del Derecho
a la Protección de Datos en el ámbito comunitario. Dicho artículo concretaba que:
1. Toda persona tiene derecho a la protección de los datos de carácter personal que le
conciernan.
2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento
legislativo ordinario, las normas sobre protección de las personas físicas respecto del
tratamiento de datos de carácter personal por las instituciones, órganos y organismos de
la Unión, así como por los Estados miembros en el ejercicio de las actividades
comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre
circulación de estos datos. El respeto de dichas normas estará sometido al control de
autoridades independientes.
Las normas que se adopten en virtud del presente artículo se entenderán sin perjuicio de
las normas específicas previstas en el artículo 39 del Tratado de la Unión Europea.
21Versión consolidada del Tratado de Funcionamiento de la Unión Europea – Primera Parte: Principios -Título II:
Disposiciones de aplicación general -artículo 16 (antiguo artículo 286 TCE) DO L 115 de 09.05.2008 p. 0055-.
17
Es así que, a partir de este reconocimiento, el Derecho a la protección de Datos, adquiere

una especial relevancia en el ámbito europeo.
La culminación de aquel proceso brevemente descrito se produjo, sin duda, con la
aprobación de la Carta de los Derechos Fundamentales de la Unión Europea 22 ,
proclamada por el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión
en el año 2000 en Niza, aprobada en 2007 y considerada el embrión de una futura
Constitución de la Unión Europea. Esta Carta de los Derechos Fundamentales, en lo que
a nuestro tema interesa, vino a reforzar aún más el Derecho a la Protección de Datos en
el ámbito comunitario, y concretamente en el Título II, “Libertades”, en el artículo 8,
denominado “Protección de datos de carácter personal”, se dispone:
“1. Toda persona tiene derecho a la protección de los datos de carácter personal que le
conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del
consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto
por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan
y a obtener su rectificación.
3. El respeto de estas normas estará sujeto al control de una autoridad independiente.”
La Carta también concretó, en su artículo 52, en relación con el alcance de los derechos
que:
“cualquier limitación del ejercicio de los derechos y libertades reconocidos por la Carta
deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y
libertades. Sólo se podrán introducir limitaciones, respetando el principio de
proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de
interés general reconocidos por la Unión o a la necesidad de protección de los derechos
y libertades de los demás……”.
22Diario Oficial n° 303 de 14/12/2007 p. 0004 – 0004, No es posible explicar todo el proceso de tramitación de este
documento, pero recordemos que fue proclamada por el Parlamento Europeo, el Consejo de la Unión Europea y la
Comisión Europea el 7 de diciembre de 2000. Siete años más tarde, después de un proceso complejo, la Carta fue
proclamada en Estraburgo, el 12 de diciembre de 2007. Una vez ratificado el Tratado de Lisboa, la Carta es legalmente
vinculante para todos los países excepto para Polonia y el Reino Unido.
18
Todo aquel proceso culminó con la aprobación del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento
general de protección de datos23), en adelante RGPD, que luego estudiaremos.
4.- La protección de datos en las instituciones y en los

organismos comunitarios
En el año 2001, con apoyo en la previsión contenida en el artículo 16 TFUE antes

trascrito, se aprueba el Reglamento (CE) núm. 45/2001 del Parlamento Europeo y del
Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales por las instituciones y los organismos
comunitarios y a la libre circulación de estos datos24. En dicho Reglamento se creó la
autoridad independiente europea denominada “Supervisor Europeo de Protección de
Datos", a quien se le reconoció tres funciones principales:
a) De supervisión de cumplimiento de la normativa vigente
b) De consulta de asesoramiento a la Comisión Europea, al Parlamento Europeo y al
Consejo de la Unión Europea sobre asuntos de protección de datos en los ámbitos de
intervención política
c) De cooperación con otras autoridades competentes en el ámbito de la protección
de datos con el fin de promover un enfoque coherente de la protección de datos en toda
Europa
Al “Supervisor Europeo de Protección de Datos” le correspondía así garantizar un alto

nivel de protección de los datos personales tratados o gestionados por las propias
instituciones y organismos europeos. Se configura como una autoridad europea
23 DO L 119 de 4.5.2016, p. 1
24 DO L 8 de 12.1.2001, p. 1.
19
independiente, responsable de supervisar y velar por la debida ejecución de las

disposiciones relativas a la protección de datos por las instituciones y los organismos de
la Unión Europea, así como asesorar a las instituciones y al legislador europeo sobre
cuestiones de protección de datos.
Recientemente y, por exigencia del nuevo marco regulador en esta materia, es decir, el
Reglamento general de protección de datos, el Reglamento (CE) 45/2001 antes
mencionado fue derogado y en su lugar se aprobó el Reglamento (UE) 2018/1725 del
Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales por las
instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y
por el que se derogan el Reglamento (CE) núm. 45/2001 y la Decisión n.° 1247/2002/CE
(Texto pertinente a efectos del EEE.).
El nuevo Reglamento (UE) 2018/1725 mantiene la figura del Supervisor Europeo de
Protección de datos en parecidos términos que la anterior regulación. Su ámbito de
aplicación se centra en el tratamiento de los datos personales que lleven a cabo todas las
instituciones, órganos y organismos de la Unión Europea. Como señala el Reglamento el
mismo se
“… aplica al tratamiento total o parcialmente automatizado de datos personales, así
como al tratamiento no automatizado de datos personales contenidos o destinados a ser
incluidos en un fichero. Los ficheros o conjuntos de ficheros, así como sus portadas, que
no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito
de aplicación del presente Reglamento.”25.
La nueva normativa europea exige la adopción de medidas técnicas, administrativas y

organizativas adecuadas para mantener la seguridad, la confidencialidad, la destrucción,
la pérdida o la alteración de los datos y para evitar los riesgos inherentes de todo
tratamiento de datos en similares términos a lo establecido en el RGPD.
Todas las medidas brevemente descritas se completan con la obligación impuesta por el
Reglamento a todo funcionario y a cualquier agente de la Unión de cumplir con toda la
regulación en materia de protección de datos. El incumplimiento por parte de aquellos de
25Considerando 8 del el Reglamento (UE) 2018/1725.
20
lo dispuesto en la norma puede dar lugar a la apertura de un expediente disciplinario u

otro tipo de acción de conformidad con las disposiciones fijadas en el propio Estatuto de
los funcionarios de la Unión Europea o en el régimen aplicable a los otros agentes de la
Unión, recogido en el Estatuto de los funcionarios26.
Sea como sea, las instituciones, órganos y organismos de la Unión Europea y, por tanto,
sus empleados deben adoptar y cumplir con los mandatos del RGPD y de su propio
Reglamento que se suelen recoger en las normas internas. Corresponde al Supervisor
Europeo de Protección de Datos, garantizar estos cumplimientos y velar por la aplicación
del mismo27.
5. El importante cambio regulatorio en materia de protección

de datos, de la Directiva al Reglamento europeo
Hacia finales del año 2009, el Consejo y el Parlamento Europeo, en virtud de la

Comunicación de la Comisión al Parlamento Europeo y al Consejo, titulada «Un espacio
de libertad, seguridad y justicia al servicio de los ciudadanos” 28 , y el Programa de
Estocolmo, que recogía un plan prioritario de trabajo de la Unión Europea en el espacio
de libertad, seguridad y justicia para el período 2010-2014, se decidió modificar la
regulación vigente en materia de protección de datos y aprobar un régimen general a nivel
europeo. Es así que se solicitó a la Comisión que revise la regulación existente y elabore
y presente nuevas iniciativas legislativas sobre la materia29.
La Comisión, siguiendo el cometido marcado en el Plan de acción que aplicaba el
Programa de Estocolmo –en donde se subrayaba la necesidad de garantizar el Derecho a
la protección de datos y conseguir una aplicación coherente de este Derecho en todas las
políticas de la Unión Europea30-, aprobó, en 2010, la Comunicación sobre «Un enfoque
26 Reglamento (CEE, Euratom, CECA) núm 259/68 del Consejo

27 Más información en la página web: https://edps.europa.eu/edps-homepage_en?lang=es
28 Adoptada el 25 de noviembre de 2009
29 Resolución del Parlamento Europeo sobre la Comunicación de la Comisión al Parlamento Europeo y al Consejo
titulada «Un espacio de libertad, seguridad y justicia al servicio de los ciudadanos − Programa de Estocolmo», adoptada
el 25 de noviembre de 2009 (P7TA(2009)0090) y «Programa de Estocolmo — Una Europa abierta y segura que sirva
y proteja al ciudadano», DO C 115 de 4.5.2010, p.1.
30 COM(2010) 171 final.
21
global de la protección de los datos personales en la Unión Europea” 31. En aquella

Comunicación, si bien reconocía que el marco jurídico vigente resultaba adecuado en
cuanto a los objetivos y principios que el mismo contenía, detectaba que el mismo no
lograba consolidar un régimen único y homogéneo. Destacaba también la importante
fragmentación existente en la regulación vigente entre los distintos Estados miembros
que planteaba una inseguridad jurídica, percibida de forma generalizada por la opinión
pública. Subrayaba las transformaciones producidas, en especial, la rapidez de la
evolución tecnológica, la globalización y el aumento de los flujos transfronterizos,
causantes todos ellos de las modificaciones ocurridas y que marcaban nuevos retos en
materia de protección de datos. Aquellas innovaciones, imparables, determinaron muchos
cambios importantes, en particular, en la forma de recopilar los datos personales, en el
tratamiento y en la compartición de los mismos. Para afrontar los cambios se
recomendaba elaborar un nuevo marco legislativo que fuera capaz de garantizar, a pesar
del transcurso del tiempo y de los adelantos tecnológicos, un nivel de seguridad jurídica
de los datos personales a través de normas claramente definidas. Este marco regulatorio
debía ser más sólido y coherente que el vigente y debía garantizar una aplicación estricta
de tal forma que permita el desarrollo de la economía digital en el mercado interior,
reconozca a los ciudadanos el control de sus datos, refuerce la seguridad jurídica y la
práctica de los operadores económicos y de las autoridades públicas32.
Las reflexiones presentadas por la Comisión obtuvieron el respaldo tanto del Parlamento
Europeo33 como del Consejo de la Unión Europea34 y a principios de 2012 la Comisión
presentó dos propuestas:
a) Una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y
a la libre circulación de estos datos (denominado, Reglamento general de protección de
datos) 35 , con la finalidad de unificar y modernizar la normativa comunitaria sobre
31 COM(2010) 609 final

32 Comunicación sobre “Un enfoque global de la protección de los datos personales en la Unión Europea”.
33 Resolución del Parlamento Europeo, de 6 de julio de 2011, sobre un enfoque global de la protección de los datos
personales en la Unión Europea (2011/2025(INI)

34 En las conclusiones adoptadas el 24 de febrero de 2011, SEC (2012) 72. El Comité Económico y Social Europeo
también se manifestó a favor del objetivo de la Comisión de garantizar una aplicación más coherente de las normas de
la Unión Europea en materia de protección de datos CESE 999/2011.26
35 COM(2012) 11 final
22
protección de datos.
b) Otra propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales
por las autoridades competentes a efectos de la prevención, investigación, detección y
enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y a la libre
circulación de estos datos36.
Con ambos instrumentos se perseguía, básicamente, concretar una política más
integradora y coherente en materia del Derecho Fundamental a la Protección de Datos de
Carácter Personal. Con la primera propuesta se abordaba el régimen general de protección
de datos y se concretaba un marco regulador uniforme que todos los Estados miembros
deben cumplir. Con la segunda, por su parte, se perseguía garantizar un nivel uniforme
y elevado de protección de los datos en el ámbito de la prevención, investigación,
detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales,
para reforzar la confianza mutua entre las autoridades policiales y judiciales de los
distintos Estados miembros y facilitar la libre circulación de datos y la cooperación entre
aquellas autoridades37.
Finalmente, todo aquel proceso culmina con la aprobación del ya citado Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de sus datos personales
y a la libre circulación de estos datos (en adelante RGPD). El citado RGPD entró en vigor
25 de mayo de 2016, pero no se comenzó aplicar hasta dos años después, el 25 de mayo
de 2018. Por otra parte, se aprobó la Directiva (UE) 2016/680 del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales por parte de las autoridades competentes
36 COM(2012) 10 final
37
Hasta el momento la libre circulación de estos datos se encontraba recogida en la Decisión Marco 2008/977/JAI, que
tenía un ámbito de aplicación limitado, por cuanto solo se aplicaba al tratamiento transfronterizo de datos y no a las
actividades de tratamiento por parte de las autoridades policiales y judiciales a nivel puramente nacional. Esta
limitación conllevaba dificultades a las autoridades policiales y otras autoridades competentes en los ámbitos de la
cooperación judicial en materia penal y de la cooperación policial ya que no resultaba claro distinguir fácilmente, por
parte de las autoridades mencionadas, entre el tratamiento meramente nacional y tratamiento transfronterizo. A todo
ello se debe sumar los problemas que la propia aplicación de la Decisión Marco presentaba dado que, por un lado,
reconocía un amplio margen de maniobra a los Estados miembros para transponer sus disposiciones de Derecho interno,
pero por otro, no contenía ningún mecanismo o grupo consultivo similar al “Grupo” del artículo 29 de la Directiva
95/46/CE que sustentase una interpretación común de sus disposiciones, o recogiese competencias de ejecución de la
Comisión a fin de garantizar un enfoque común en su aplicación.
23
para fines de prevención, investigación, detección o enjuiciamiento de infracciones

penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por
la que se derogó la Decisión Marco 2008/977/JAI del Consejo. Esta norma debe, por
tanto, ser objeto de transposición por los Estados miembros para su aplicación.
6. La opción de aprobar un Reglamento frente a una Directiva
La opción de aprobar un Reglamento frente a una Directiva estuvo motivada por la

necesidad de lograr un marco más armonizado para la protección de datos en la Unión
Europea. Como se señala en el propio RGPD
"aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello
no ha impedido que la protección de los datos en el territorio de la Unión se aplique de
manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la
opinión pública de que existen riesgos importantes para la protección de las personas
físicas, en particular en relación con las actividades en línea", añadiendo asimismo que
"las diferencias en el nivel de protección de los derechos y libertades de las personas
físicas, en particular del derecho a la protección de los datos de carácter personal, en lo
que respecta al tratamiento de dichos datos en los Estados miembros, pueden impedir la
libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden
constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel
de la Unión, falsear la competencia e impedir que las autoridades cumplan las funciones
que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de
protección se debe a la existencia de divergencias en la ejecución y aplicación de la
Directiva 95/46/CE".
Es así que el RGPD vino a terminar con la disparidad de regulaciones y a conseguir que
la aplicación de las normas sobre esta materia sea coherente y homogénea en todo el
territorio de la Unión, evitando la existencia de divergencias y otorgando seguridad
jurídica y transparencia a los distintos operadores económicos, cualquiera sea el tamaño
de éstos (micro, medianas, grandes), así como la efectiva cooperación de las distintas
24
autoridades de control.
En definitiva, el RGPD vino a revisar las bases legales del modelo europeo pero persigue
algo más que una mera actualización. En primer lugar, el mismo reconoce que el Derecho
a la Protección de Datos no es un Derecho absoluto; refuerza la seguridad jurídica y la
transparencia; refuerza y especifica los derechos de los interesados; identifica y concreta
las obligaciones de los sujetos que tratan los datos personales, en particular, del
Responsable y del Encargado del tratamiento y los sujeta al mismo régimen para
garantizar que exista una supervisión coherente del tratamiento de datos. Finalmente, el
RGPD recoge sanciones equivalentes para todos los Estados miembros.
25
IV ANALISIS DEL ACTUAL MARCO REGULADOR EN

MATERIA DE PROTECCIÓN DE DATOS
1.- El RGPD y la LOPDGDD como normas que regulan el

derecho a la protección de datos
Como se ha señalado, el RGPD es una norma obligatoria en todos sus elementos y

directamente aplicable en todos los Estados miembros por lo que no necesita ser
transpuesto al ordenamiento jurídico de los Estados para su aplicación. No obstante, el
propio RGPD deja algunos ámbitos en los que los Estados miembros pueden desarrollar
o completar a través de normativa nacional.
En todo caso, es preciso partir recordando que, de acuerdo con el artículo 288 del Tratado
de Funcionamiento de la Unión Europea, el Reglamento es un acto legislativo vinculante
que tiene la peculiaridad de que se debe aplicar, directa y completamente, en toda la Unión
Europea. Por tanto, los Estados miembros están obligados a no obstaculizar el efecto
directo propio de los Reglamentos, siendo “el respeto escrupuloso de este deber” una
26
condición indispensable “para la aplicación simultánea y uniforme” de las reglas

contenidas en los Reglamentos de la Unión en el conjunto de ésta. De ahí que, las normas
nacionales vigentes deban ser modificadas para evitar controversias –principio de
prevalencia- por lo que corresponde al legislador de cada Estado realizar una tarea de
depuración del ordenamiento jurídico.
Como bien ha señalado la jurisprudencia europea existe el derecho y la obligación de los
Estados de hacer cuanto sea necesario para asegurar el efecto útil del conjunto de las
disposiciones del Reglamento38. Aquella aplicabilidad directa de los Reglamentos exige
que su entrada en vigor y su aplicación, en favor o en contra de los sujetos de Derecho,
se produzcan sin necesidad de ninguna medida de incorporación al Derecho nacional. Es
más, los Estados miembros están obligados a no obstaculizar el efecto directo propio de
los Reglamentos, siendo "el respeto escrupuloso de este deber" una condición
indispensable "para la aplicación simultánea y uniforme" de las reglas contenidas en los
Reglamentos de la Unión en el conjunto de ésta39.
En relación con el RGPD, como bien ha señalado el Consejo de Estado, éste pasa a ser la
norma principal en la regulación del derecho a la protección de datos en la Unión Europea.
Se trata de una regulación directamente aplicable en todos los Estados miembros sin que
sea necesario que existan normas internas de transposición. De esta forma, el derecho a
la protección de datos en España, protegido por el artículo 18.4 de la CE, pasa a estar
directa y principalmente regulado en una norma europea, en donde la norma nacional, es
decir u, la Ley Orgánica, tendrá un papel únicamente de desarrollo o complemento de la
norma europea. Ello implica, por tanto, un traslado parcial del canon constitucional de
protección el derecho fundamental que, en cuanto se refiere a actividades regidas por el
Derecho de la Unión, se debe regir por la Carta de Derechos Fundamentales de la Unión
Europea y por la interpretación que el Tribunal de Justicia de la Unión lleve a cabo40.
38 STJCE caso Scheer, asunto 30/70, apartados 7 y 8

39 Véase al respecto el Dictamen del Consejo de Estado núm.757/2017, de 26 de septiembre con cita, entre otras, de las
SSTJCE de 10 de octubre de 1973, Variola, apartado 10; de 2 de febrero de 1977, 50/76, Amsterdam Bulb, apartados
5 y 6; de 31 de enero de 1978, Zerbone, 94/77, apartados 24 y 25; de 28 de marzo de 1985, Comisión/Italia, 272/83,
apartado 26; y SSTJUE de 14 de julio de 2011, Bureau national interprofessionnel du Carnac, C4/10 y C27/10, apartado
66; y de 15 de noviembre de 2012, Al-Aqsa/Consejo, C- 539/10 P, apartado 87.
40 Dictamen del Consejo de Estado núm.757/2017, de 26 de septiembre, con cita (STJUE de 26 de febrero de 2013,
Melloni, C-399/11).
27
Es así que, a partir de la aprobación del RGPD, las normas nacionales sólo tienen un papel
de desarrollo o complemento del RGPD y en virtud de ello, las aproximadamente 56
remisiones, con diverso alcance, que contiene el RGPD se han desarrollado en el contexto
nacional por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos
personales y Garantía de los Derechos Digitales (en adelante, LOPDyGDD).
De acuerdo con lo anterior, es preciso indicar que, la LOPDyGDD no puede confundirse
con una norma de transposición del RGPD. Muy al contrario, la misma persigue adaptar
el ordenamiento jurídico español el RGPD, pero sólo en aquellos ámbitos que permite.
Por tanto, el derecho fundamental de las personas físicas a la protección de datos
personales amparado por el artículo 18.4 de la CE, se ejercerá con arreglo a lo establecido
en el RGPD y en LOPDyGDD. Recordemos que el artículo 18.4 CE señala:
“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal
y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”
Por último, baste señalar que la LOPDyGDD no sólo desarrolla o complementa las
disposiciones del RGPD, sino que también garantiza los derechos digitales de la
ciudadanía conforme al mandato establecido en el art. 18.4 de la CE contenidos en el
Título X de la LOPDyGDD que se clasifican de la siguiente forma:
1) Derechos generales de los ciudadanos en internet: este bloque incluye los arts. 79
a 82, 96 y 97.
2) Derechos específicos relacionados con los menores: arts. 83, 84, 92 y 97.2 (en
parte).
3) Derechos relacionados con el ámbito laboral: arts. 87 a 91.
4) Derechos relacionados con los medios de comunicación digitales: arts. 85 y 86.
5) Derecho al olvido en internet: arts. 93 y 94.
6) Derecho a la portabilidad en las redes sociales: art. 95.
28
2. El RGPD; objetivo y ámbito de aplicación
Como señala el RGPD, el mismo persigue “contribuir a la plena realización de un

espacio de libertad, seguridad y justicia y de una unión económica, al progreso
económico y social, al refuerzo y la convergencia de las economías dentro del mercado
interior, así como al bienestar de las personas físicas”41. Su aplicabilidad directa reduce
la fragmentación normativa y brinda una homogeneización y aumento de la seguridad,
por lo que consigue “garantizar un nivel coherente de protección de las personas físicas
en toda la Unión y evitar divergencias que dificulten la libre circulación de datos
personales dentro del mercado interior”42. También proporciona “seguridad jurídica y
transparencia a los operadores económicos, incluidas las microempresas y las pequeñas
y medianas empresas, y ofreciendo a las personas físicas de todos los Estados miembros
el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los
responsables y encargados del tratamiento, con el fin de garantizar una supervisión
coherente del tratamiento de datos personales y sanciones equivalentes en todos los
Estados miembros, así como la cooperación efectiva entre las autoridades de control de
los diferentes Estados miembros” 43.
El RGPD diferencia dos ámbitos de aplicación, el ámbito material y el ámbito territorial.
Respecto del primero, es decir el ámbito material, el artículo 2.1, señala que la aplicación
del RGPD recae sobre el
«….tratamiento total o parcialmente automatizado de datos personales, así como al
tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos
en un fichero», y el artículo 4.1 RGPD define «fichero» como «todo conjunto
estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea
centralizado, descentralizado o repartido de forma funcional o geográfica».
De acuerdo con el artículo 2 del RGPD, el mismo se aplica a:
41 Considerando 2 RGPD
29
1) Todos los tratamientos de actividades comprendidas en el ámbito de aplicación

del derecho europeo.
2) Todos los tratamientos de datos automatizados o no, y a la libre circulación de
tales datos
3) A los datos de las personas físicas, independientemente de su nacionalidad o
residencia, de la Unión Europea.
4) A las actividades de los tribunales y autoridades judiciales44.
Por el contrario, no resulta aplicable:

1) En el ejercicio de una actividad no comprendida en el ámbito de aplicación del
Derecho de la Unión; como la libre circulación de datos personales relacionadas con
actividades excluidas del ámbito de del Derecho de la Unión, como las actividades
relativas a la seguridad nacional45.
2) Cuando los Estados miembros lleven a cabo actividades comprendidas en el
ámbito de aplicación del capítulo 2 del título V del TUE; como ejercicio de las actividades
relacionadas con la política exterior y de seguridad común de la Unión46.
3) Todo tratamiento efectuado por una persona física en el ejercicio de actividades
exclusivamente personales o domésticas. Se considera tal a aquella que no tienen
conexión con actividad profesional o comercial (sin lucro) entre las que cabe incluir la
correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes
sociales y la actividad en línea realizada en el contexto de las citadas actividades47. Pero
en todo caso, sí se resulta aplicable a los responsables o encargados del tratamiento que
proporcionen los medios para tratar datos personales relacionados con tales actividades
personales o domésticas48.
4) Tampoco resulta aplicable a las autoridades competentes que realicen
tratamientos de datos personales con fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la
de protección frente a amenazas a la seguridad pública y su prevención. En este caso se
44 Considerando 20 y artículo 55 RGPD

45 Considerando 15
46 Considerando 16
47 Considerando 18
48 Artículo 2.2 RGPD
30
aplica un régimen específico contenido en la Directiva (UE) 2016/680 del Parlamento

Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades
competentes para fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos
datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo49.
5) Igualmente, no se aplica, como ya vimos, a los datos de las personas fallecidas.
No obstante, el RGPD permite que los Estados miembros puedan establecer normas
relativas a este tipo de datos50, de ahí que la LOPDyGDD dedique el artículo 3 a estos
datos.
6) Se encuentran también excluidos del RGPD los datos de las personas jurídicas y,
en particular, el nombre y la forma de la persona jurídica así como sus datos de contacto51.
7) No entran dentro del ámbito de aplicación del RGPD los ficheros o conjuntos de
ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios
específicos, como por ejemplo los un e-mail contiene información como la hora de envío,
la persona a quien se envía, el remitente, etc, pero en lo que respecta al contenido del
mensaje no se divide ni se categoriza fácilmente lo que puede ser un problema de
compatibilidad con la estructura de un sistema de base de datos relacional52. Sin embargo,
se debe tener presente que ya se están desarrollando tecnologías y servicios para ayudar
a solventar y estructurar sus contenidos conocida como «datafication».
8) El RGPD no se aplica a cuestiones de protección de los derechos y las libertades
fundamentales o la libre circulación de datos personales relacionadas con actividades
excluidas del ámbito de del Derecho de la Unión, como las actividades relativas a la
seguridad nacional. Tampoco se aplica al tratamiento de datos de carácter personal por
los Estados miembros en el ejercicio de las actividades relacionadas con la política
exterior y de seguridad común de la Unión53.
49 Considerando
50 Considerando 27
51 Considerando 17
53 Considerando 16
31
Brevemente descrito el ámbito material de aplicación del RGPD, es necesario referirnos

al ámbito territorial que el RGPD concreta. El artículo 3 del RGPD y las Directrices
3/2018 relativas al ámbito territorial del RGPD de 12 de noviembre de 2019 aprobadas
por el Comité Europeo de Protección de Datos, el RGPD se aplica tanto a los responsables
y a los encargados de tratamiento de datos que estén establecidos en la Unión Europea en
el contexto de actividades de un establecimiento54. Se entiende por ”establecimiento” el
ejercicio y la manera efectiva y real de una actividad y la forma jurídica que revistan tales
modalidades, ya sea una sucursal o una filial con personalidad jurídica, no resulta ser un
factor determinante al respecto55.
La aplicación del RGPD se amplía a los responsables y encargados no establecidos en la
UE siempre que éstos realicen tratamientos derivados de:
A) Una oferta de bienes o servicios destinados a ciudadanos de la Unión
independientemente de que medie pago o no. Como señala el RGPD “Para determinar si
dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la
Unión, debe determinarse si es evidente que el responsable o el encargado proyecta
ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si
bien la mera accesibilidad del sitio web del responsable o encargado o de un
intermediario en la Unión, de una dirección de correo electrónico u otros datos de
contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el
responsable del tratamiento, no basta para determinar dicha intención, hay factores,
como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados
miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la
mención de clientes o usuarios que residen en la Unión, que pueden revelar que el
responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la
Unión”56.
B) Como consecuencia de un control del comportamiento - monitorización y
seguimiento-. El propio RGPD señala que “Para determinar si se puede considerar que
una actividad de tratamiento controla el comportamiento de los interesados, debe
evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el
54https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_es.pdf
55 Considerando 21 y art. 4. 16
56 Considerando 23
32
potencial uso posterior de técnicas de tratamiento de datos personales que consistan en

la elaboración de un perfil de una persona física con el fin, en particular, de adoptar
decisiones sobre él o de analizar o predecir sus preferencias personales,
comportamientos y actitudes.
Para que esta ampliación del ámbito de aplicación sea efectiva aquellas organizaciones
deben nombrar un Representante en la Unión Europea, sujeto éste que actúa como punto
de contacto de las autoridades de supervisión y los ciudadanos. Los datos de contacto de
los representantes en la Unión se deben proporcionar obligatoriamente a los interesados
en la información relativa a los tratamientos de sus datos personales.
Como señala el RGPD corresponde al representante actuar por cuenta del responsable o
del encargado y puede ser contactado por cualquier autoridad de control. El representante
debe ser designado expresamente por mandato escrito del responsable o del encargado
para que actúe en su nombre con respecto a las obligaciones que les incumben en virtud
del presente Reglamento. La designación de dicho representante no afecta a la
responsabilidad del responsable o del encargado en virtud del presente Reglamento.
Dicho representante debe desempeñar sus funciones conforme al mandato recibido del
responsable o del encargado, incluida la cooperación con las autoridades de control
competentes en relación con cualquier medida que se tome para garantizar el
cumplimiento del presente Reglamento. El representante designado debe estar sujeto a
medidas coercitivas en caso de incumplimiento por parte del responsable o del
encargado57.
Finalmente cabe señalar que el RGPD también se aplica al tratamiento de datos
personales de un responsable no establecido en el territorio de la Unión el RGPD en virtud
del Derecho Internacional Público. En efecto, como señala el RGPD
“Cuando sea de aplicación el Derecho de los Estados miembros en virtud del Derecho
internacional público, el presente Reglamento debe aplicarse también a todo responsable
del tratamiento no establecido en la Unión, como en una misión diplomática u oficina
consular de un Estado miembro”58.
33
3. Datos de carácter personal; concepto
Como se suele señalar, en el desarrollo de nuestra vida, tanto el mundo real como digital,
utilizamos datos de carácter personal, es decir, datos en los que la persona física es
identificada o puede resultar identificable. Es así que, cualquier dato que pertenezca a una
persona en la que su identidad resulte clara o se pueda determinar a partir de información
adicional, el mismo se considera dato de carácter personal y, por tanto, encuentran
protección en el RGPD.
El RGPD define el concepto de «datos personales» como comprensivo de
“toda información sobre una persona física identificada o identificable («el interesado»);
se considerará persona física identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un identificador, como
por ejemplo un nombre, un número de identificación, datos de localización, un
identificador en línea o uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha persona.
La persona titular de los datos recibe la denominación de “interesado” y los datos

protegidos no se limitan exclusivamente a los relacionados con la vida privada o íntima
de la persona sino que, también, comprende todos los datos que permitan identificar a la
persona en cualquier ámbitos de su vida, como los datos del ámbito laboral, profesional,
educativo, personal, social, deportivos, sanitarios, etc.. Es así que la normativa de
protección de datos reconoce un control, titularidad y disposición de todos los datos a la
persona física que contenga información sobre ella.
Como señala el RGPD “Para determinar si una persona física es identificable, deben
tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda
utilizar el responsable del tratamiento o cualquier otra persona para identificar directa
o indirectamente a la persona física. Para determinar si existe una probabilidad
razonable de que se utilicen medios para identificar a una persona física, deben tenerse
en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la
34
identificación, teniendo en cuenta tanto la tecnología disponible en el momento del

tratamiento como los avances tecnológicos”59.
Es importante destacar que los datos que no se puedan relacionar con un sujeto concreto,
bien desde su origen, bien por haber sido sometido a un proceso de anonimización, no se
consideran datos de carácter personal. Un dato es sometido a un proceso de
anonimización cuando el dato se disocia del titular de tal forma que no resulte posible
relacionarlo con un interesado (por ejemplo, xx de personas están afectadas por SIDA)60.
Es por ello que el RGPD señala que “…los principios de protección de datos no deben
aplicarse a la información anónima, es decir información que no guarda relación con
una persona física identificada o identificable, ni a los datos convertidos en anónimos de
forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente
Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines
estadísticos o de investigación.61”
Los datos anónimos, en todo caso, se deben diferenciar de los “datos seudonimizados”.
En estos últimos, a diferencia del anterior, permiten identificar al titular pero siempre que
se utilice información adicional. Por tanto, la seudonimización determina que un dato
personal, en un determinado momento del tratamiento, se sustituyen los atributos que
contienen los datos personales por un seudónimo (por ejemplo, un código de barras),
manteniéndose los datos personales separados de aquellos atributos. De acuerdo con el
RGPD un proceso de seudonimización» se produce cuando “el tratamiento de datos
personales ….ya no puedan atribuirse a un interesado sin utilizar información adicional,
siempre que dicha información adicional figure por separado y esté sujeta a medidas
técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan
a una persona física identificada o identificable” 62 . Como también señala el propio
RGPD, “La aplicación de la seudonimización a los datos personales puede reducir los
riesgos para los interesados afectados y ayudar a los responsables y a los encargados
del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la
59Considerando 26 RGPD
60Véase al respecto el documento AEPD “LA 𝑲-ANONIMIDAD COMO MEDIDA DE LA PRIVACIDAD”, de 14
de mayo de 2019; o las Orientaciones y garantías en los procedimientos de anonimización de datos personales, de 16
de julio de 2018.
62 Artículo 4 RGPD y Considerando 29 RGPD
35
introducción explícita de la «seudonimización» en el presente Reglamento no pretende

excluir ninguna otra medida relativa a la protección de los datos.63. Por esta razón resulta
importante destacar que a los datos personales seudonimizados se les debe aplicar
medidas técnicas y organizativas adecuadas para evitar que se produzca la conexión del
dato seudonimizado con los datos personales del titular.
4. Categorías especiales de datos personales
Con carácter general, todos los datos personales que cumplan los requisitos antes
mencionados, es decir, que el dato se pueda identificar con una persona directa o
indirectamente, encuentran protección tanto por el RGPD como por la LOPDyGDD,
salvo que los mismos tengan un uso doméstico. Dentro de los datos personales, se
identifica una “categoría especial de datos” que cuentan con una protección reforzada.
Dentro de ellos se comprende a los datos que revelan el origen étnico o racial -
entendiéndose que el uso del término «origen racial» en el RGPD no implica la aceptación
por parte de la Unión de teorías que traten de determinar la existencia de razas humanas
separadas-, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación
sindical y el tratamiento de datos genéticos, datos biométricos o datos relativos a la saludo
o vida sexual u orientaciones sexuales de las personas físicas64. No se consideran dentro
de esta clasificación a las fotografías “pues únicamente se encuentran comprendidas en
la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos
específicos permita la identificación o la autenticación unívocas de una persona
física.”65
Como señala el RGPD, estos “datos especiales” merecen una atención específica dado
que, por su naturaleza, “son particularmente sensibles en relación con los derechos y las
libertades fundamentales, ya que el contexto de su tratamiento podría entrañar
importantes riesgos para los derechos y las libertades fundamentales”.
64 Véase al respecto el artículo 9 RGPD y las definiciones del artículo 4 RGPD
36
Los “datos especiales” también denominados “datos sensibles” no pueden ser tratados,
así se recogen en el artículo 9 del RGPD que parte de una afirmación rotunda cuando
dispone:
1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o
racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación
sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de
manera unívoca a una persona física, datos relativos a la salud o datos relativos a la
vida sexual o las orientaciones sexuales de una persona física.”
No obstante, en el apartado 2 del mismo precepto permite algunas excepciones si se

cumplen los supuestos específicos contemplados que son:
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias
siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos
personales con uno o más de los fines especificados, excepto cuando el Derecho de la
Unión o de los Estados miembros establezca que la prohibición mencionada en el
apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de
derechos específicos del responsable del tratamiento o del interesado en el ámbito del
Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice
el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al
Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los
derechos fundamentales y de los intereses del interesado;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física, en el supuesto de que el interesado no esté capacitado, física o
jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas
garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de
lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el
tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales
organismos o a personas que mantengan contactos regulares con ellos en relación con
sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el
consentimiento de los interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho
manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de
reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base
del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al
37
objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y

establecer medidas adecuadas y específicas para proteger los intereses y derechos
fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de
la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o
tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia
sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o
en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y
garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud
pública, como la protección frente a amenazas transfronterizas graves para la salud, o
para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y
de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de
los Estados miembros que establezca medidas adecuadas y específicas para proteger los
derechos y libertades del interesado, en particular el secreto profesional,
h) el tratamiento es necesario con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, de conformidad con el artículo
89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que
debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la
protección de datos y establecer medidas adecuadas y específicas para proteger los
intereses y derechos fundamentales del interesado.
3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados
en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto
a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el
Derecho de la Unión o de los Estados miembros o con las normas establecidas por los
organismos nacionales competentes, o por cualquier otra persona sujeta también a la
obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros
o de las normas establecidas por los organismos nacionales competentes.
4. Los Estados miembros podrán mantener o introducir condiciones adicionales,
inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos
o datos relativos a la salud.
El RGPD también señala que se pueden autorizar “excepciones a la prohibición de tratar

categorías especiales de datos personales cuando lo establezca el Derecho de la Unión
o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de
proteger datos personales y otros derechos fundamentales, cuando sea en interés público,
en particular el tratamiento de datos personales en el ámbito de la legislación laboral,
la legislación sobre protección social, incluidas las pensiones y con fines de seguridad,
38
supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y

otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de
la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria,
especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos
utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen
del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación
científica e histórica o fines estadísticos. Debe autorizarse asimismo a título excepcional
el tratamiento de dichos datos personales cuando sea necesario para la formulación, el
ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un
procedimiento administrativo o extrajudicial.
Respecto de los datos de Salud señala que “Las categorías especiales de datos personales
que merecen mayor protección únicamente deben tratarse con fines relacionados con la
salud cuando sea necesario para lograr dichos fines en beneficio de las personas físicas
y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios
y sistemas sanitarios o de protección social, incluido el tratamiento de esos datos por las
autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con
fines de control de calidad, gestión de la información y supervisión general nacional y
local del sistema sanitario o de protección social, y garantía de la continuidad de la
asistencia sanitaria o la protección social y la asistencia sanitaria transfronteriza o fines
de seguridad, supervisión y alerta sanitaria, o con fines de archivo en interés público,
fines de investigación científica o histórica o fines estadísticos, basados en el Derecho de
la Unión o del Estado miembro que ha de cumplir un objetivo de interés público, así
como para estudios realizados en interés público en el ámbito de la salud pública. Por
tanto, el presente Reglamento debe establecer condiciones armonizadas para el
tratamiento de categorías especiales de datos personales relativos a la salud, en relación
con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con
fines relacionados con la salud, personas sujetas a la obligación legal de secreto
profesional. El Derecho de la Unión o de los Estados miembros debe establecer medidas
específicas y adecuadas para proteger los derechos fundamentales y los datos personales
de las personas físicas. Los Estados miembros deben estar facultados para mantener o
introducir otras condiciones, incluidas limitaciones, con respecto al tratamiento de datos
39
genéticos, datos biométricos o datos relativos a la salud. No obstante, esto no ha de

suponer un obstáculo para la libre circulación de datos personales dentro de la Unión
cuando tales condiciones se apliquen al tratamiento transfronterizo de esos datos”66.
5. Autoridades de control competente en materia de Protección

de Datos
El RGPD permite que existan una o varias autoridades públicas de control

independientes67 con la función de supervisar la aplicación del reglamento para conseguir
una aplicación coherente, proteger los derechos y libertades de las personas físicas
respecto del tratamiento de los datos y facilitar la libre circulación de los datos personales
en la Unión. Corresponde a los Estados miembros su concreción pero el RGPD reconoce
numerosas funciones menos, salvo el control del tratamiento de datos efectuados por los
tribunales en el ejercicio de su función judicial que se lo atribuye a otro órgano68. También
el RGPD les reconoce diversas potestades administrativas como las de investigación,
66 Considerandos 52 y 53 RGPD
67 Respecto del concepto de independencia véase los artículos 52 y 53 RGPD
68 Artículos 55.3 y 57 RGPD
40
correctivas, de autorización y consultivas a la que pueden sumarse otras que los Estados
miembros consideren69.
La LOPDyGDD desarrolla aquellos mandatos en el Título VII que contiene el régimen
de la Agencia Española de Protección de Datos (en adelante, AEPD) y regula la existencia
de las autoridades autonómicas de protección de datos y la obligación de actuar entre ellas
cooperando y prestándose asistencia mutua en el marco del mecanismo de coherencia70.
Recordemos que actualmente existe en España la Autoridad Catalana de Protección de
Datos y la Agencia Vasca de Protección de Datos71. La AEPD se configura como una
autoridad administrativa independiente, que se relaciona con el Gobierno a través del
Ministerio de Justicia72. Su estatuto se contiene en el Real Decreto 428/1993, de 26 de
marzo, por el que se aprueba el Estatuto de la AEPD y la misma actúa sujeta al Derecho
administrativo tanto en el ejercicio de sus competencias como en el de su régimen
patrimonial y de contratación73.
Ante la AEPD y las autoridades autonómicas, se puede presentar solicitudes y
reclamaciones siempre que se considere que el tratamiento de los datos no se ha efectuado
cumpliendo la normativa de protección de datos. Corresponde a aquellas autoridades
adoptar las medidas correspondientes para facilitar la presentación de reclamaciones y
solicitudes así como investigar y resolver, dentro de su ámbito competencial, las
solicitudes presentadas 74 . La LOPDyGDD regula en el Título VIII, el Procedimiento
administrativo que debe seguirse ante la AEPD en caso de vulneración de la normativa
de protección de datos.
Finalmente destacar que es obligatorio que todas las resoluciones adoptadas por las
autoridades de control nacionales de protección de datos jurídicamente vinculantes para
los interesados, para los responsables o para los encargados de tratamiento, se deben
69 Artículo 58 RGPD
70
Véase al respecto los artículos 60 y ss RGPD
71 Véase al respecto la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos y el Decreto
48/2003, de 20 de febrero, por el que se aprueba el Estatuto de la Agencia Catalana de Protección de Datos y Ley
2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia
Vasca de Protección de Datos y el Decreto 308/2005, de 18 de octubre, por el que se desarrolla la Ley 2/2004, de 25
de febrero, de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de
Protección de Datos.
72 Con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público
73 Para más información https://www.aepd.es/es/la-agencia/transparencia/informacion-de-caracter-institucional-
organizativa-y-de-planificacion/marco-normativo
41
poder recurrir ante los órganos jurisdiccionales del propio Estado miembro. En otras
palabras, se debe tener derecho a la tutela judicial efectiva75. La LOPDyGDD establece
en el artículo 48.6 que:
“Los actos y disposiciones dictados por la Presidencia de la Agencia Española de
Protección de Datos ponen fin a la vía administrativa, siendo recurribles, directamente,
ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.”
6.- Sujetos que intervienen en materia de protección de datos
Todos los sujetos que intervienen en el tratamiento de los datos se encuentra identificados
y definidos por el RGPD. Para todos ellos concreta un verdadero estatuto jurídico al
atribuirles, a lo largo del articulado, importantes derechos y obligaciones. Estos sujetos
pueden ser personas físicas o jurídicas, públicas o privadas, y cada uno cuenta con un
estatuto propio y específico, con un régimen sancionador en caso de incumplimiento.
Veamos cada uno de ellos.
El «responsable del tratamiento» o «responsable» se define en el RGPD como:
“la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o
junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión
o de los Estados miembros determina los fines y medios del tratamiento, el responsable
del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el
Derecho de la Unión o de los Estados miembros”76.
Se trata, por tanto, del sujeto que define los fines y los medios del tratamiento.
En el caso que un responsable del tratamiento tenga diversos establecimientos en más de
un Estado miembro, el establecimiento principal será el lugar de su administración central
en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen
en otro establecimiento del responsable en la Unión y este último establecimiento tenga
75 Artículos 78 y ss RGPD
76 Artículo 4 RGPD
42
el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya
adoptado tales decisiones se considerará establecimiento principal77.
Las responsabilidades de este sujeto son diversas y se articulan a lo largo del RGPD, entre
las que cabe citar, sin ánimo de ser exhaustivos, la obligación de cumplir con los
principios fundamentales en materia de protección de datos: la obligación de garantizar
y, por tanto, de responder al ejercicio de los derechos de los interesados; la necesidad de
verificar las bases de legitimación para el tratamiento de datos personales; el deber de
adoptar medidas técnicas y organizativas apropiadas; la protección de los datos desde el
diseño y por defecto; la exigencia de velar porque los usos, los tratamientos y los accesos
a los datos personales se realicen cumpliendo el RGPD; responsabilidad de las
consecuencias que se puedan derivar de la actuación de los encargados de tratamiento
elegidos por él78.
Se debe destacar que al responsable no sólo se le exige la adopción de medidas que
persigan el cumplimiento de las obligaciones sino, también, la obtención de resultado.
Así, por ejemplo, el RGPD dispone:
“Debe quedar establecida la responsabilidad del responsable del tratamiento por
cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En
particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y
ha de poder demostrar la conformidad de las actividades de tratamiento con el presente
Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta
la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para
los derechos y libertades de las personas físicas”79.
Así, el artículo 5.2 RGPD señala respecto del cumplimiento de los principios por parte
del responsable que su obligación no sólo se centra en cumplir con los mismos sino,
también, en ser “capaz de demostrarlo («responsabilidad proactiva»)”. Igual
consideración merece lo dispuesto en el artículo 8.2 RGPD cuando concreta las
obligaciones respecto del consentimiento de los niños en relación con los servicios de la
sociedad de la información, en donde se exige a los responsables que realice “esfuerzos
razonables para verificar en tales casos que el consentimiento fue dado o autorizado por
77 Artículo 4 RGPD
78 Artículo 24 y ss RGPD
43
el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología

disponible.
Finalmente, el RGPD concreta un importante régimen sancionador que se modulará o
agravará según sea su conducta. El artículo 83 RGPD y siguientes recogen diversas
sanciones que comprenden multas administrativas de 10.000.000€ como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen
de negocio total anual global del ejercicio financiero anterior, a multas de 20.000.000€
como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior,
optándose por la de mayor cuantía.
Otro sujeto relevante en esta materia es el «encargado del tratamiento» o «encargado»,
que se define como
“la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos
personales por cuenta del responsable del tratamiento”80.
Se trata de un sujeto que depende del responsable. Éste es quien lo selecciona y responde,
en principio, por sus actos, por lo debe elegir al que le ofrezca las garantías suficientes de
aplicar el RGPD. La forma y el tipo de relación que se concrete entre ambos sujetos
dependerá siempre de la clase de servicios que vaya a prestarle al responsable. El RGPD
señala la obligación de que se formalice un contrato u otro acto jurídico similar con un
contenido concreto81.
Como señala el propio RGPD “Para garantizar el cumplimiento de las disposiciones del
presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta
del responsable, este, al encomendar actividades de tratamiento a un encargado, debe
recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo
que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la
aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente
Reglamento, incluida la seguridad del tratamiento. La adhesión del encargado a un
código de conducta aprobado o a un mecanismo de certificación aprobado puede servir
de elemento para demostrar el cumplimiento de las obligaciones por parte del
80 Artículo 4 RGPD
81 Téngase presente las “Directrices para la elaboración de contratos entre responsables y encargados del
tratamiento” de la AEPD, de fecha 16 de mayo de 2018
44
responsable. El tratamiento por un encargado debe regirse por un contrato u otro acto
jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al
encargado con el responsable, que fije el objeto y la duración del tratamiento, la
naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de
interesados, habida cuenta de las funciones y responsabilidades específicas del
encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los
derechos y libertades del interesado. El responsable y el encargado pueden optar por
basarse en un contrato individual o en cláusulas contractuales tipo que adopte
directamente la Comisión o que primero adopte una autoridad de control de conformidad
con el mecanismo de coherencia y posteriormente la Comisión. Una vez finalizado el
tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver
o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados
miembros aplicable al encargado del tratamiento obligue a conservar los datos”82. Los
artículos 28 y ss del RGPD articulan el régimen aplicable a estos sujetos.
Finalmente señalar que si un encargado del tratamiento cuenta con establecimientos en
más de un Estado miembro, su establecimiento principal será el lugar de su
administración central en la Unión o, si careciera de esta, el establecimiento del encargado
en la Unión en el que se realicen las principales actividades de tratamiento en el contexto
de las actividades de un establecimiento del encargado en la medida en que el encargado
esté sujeto a obligaciones específicas con arreglo al presente Reglamento83.
Cuando el responsable o el encargado del tratamiento se encuentren radicados fuera de la
Unión Europea, la empresa obligatoriamente debe designar por escrito a un
representante establecido en uno de los Estados miembros en los que se encuentren los
interesados cuyos datos personales se traten en el contexto de una oferta de bienes o
servicios, o cuyo comportamiento esté siendo controlado 84 . Los “representantes” se
definen en el RGPD como
“las persona física o jurídica establecida en la Unión que, habiendo sido designada por
escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27,
82 Considerando 81 y artículos 28 y ss RGPD

83 Artículo 4 RGPD
84 Artículo 4 y 27 RGPD
45
represente al responsable o al encargado en lo que respecta a sus respectivas

obligaciones en virtud del presente Reglamento85.
Por último, el RGPD articula una figura nueva, un participante clave en el nuevo sistema
de gestión de los datos, el Delegado de Protección de datos. Se establecen las
condiciones para su nombramiento, su puesto y sus tareas86. Concretamente el artículo 39
RGPD realiza una relación de funciones mínimas y el artículo 37 señala que tanto el
responsable como el encargado del tratamiento de datos deben designar un Delegado de
protección de datos siempre que se den los supuestos que señala que son:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales
que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones
de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una
observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento
a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de
datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
El delegado de protección de datos debe ser designado atendiendo a sus cualidades
profesionales y, en particular, a sus conocimientos especializados del Derecho, la práctica
en materia de protección de datos y a su capacidad para desempeñar las funciones
indicadas en el RGPD87. Igualmente, se permite que el delegado de protección de datos
pueda formar parte de la plantilla del responsable o del encargado del tratamiento o
desempeñar sus funciones en el marco de un contrato de servicios y resulta obligatorio
publicar los datos de contacto de éste, así como comunicar los mismos a la autoridad de
control. También está obligado a mantener el secreto y la confidencialidad en lo que
respecta al desempeño de sus funciones
Es importante destacar que el delegado no puede recibir instrucciones para el desempeño
de sus funciones, ni del responsable ni del encargado. Tampoco este sujeto puede ser
destituido ni sancionado por éstos pero aquellos deben respaldar al delegado en el
85 Véase al respecto el artículo 27 RGPD

86 Véase al respecto las Directrices sobre los delegados de protección de datos (DPD) adoptadas el 5 de abril de 2017,
(WP 243 rev.01) por el Grupo de Trabajo del artículo 29.
87 En particular lo dispuesto en el artículo 39 RGPD
46
desempeño de estas funciones y para ello deben facilitarle los recursos necesarios para el
desempeño de aquellas así como el acceso a los datos personales y a las operaciones de
tratamiento, y para el mantenimiento de sus conocimientos especializados88.
Finalmente, los interesados pueden contactar con el delegado para todas las cuestiones
relativas a protección de datos y el mismo.
7.- Principios fundamentales aplicables en materia de

El RGPD recoge una serie de principios que deben inspirar todas las decisiones que se
tomen en el tratamiento de datos. Se trata de principios que deben orientar a todos los
sujetos que tratan datos tanto en la interpretación como en la aplicación de la normativa
sobre protección de datos. En ningún caso estos principios determinan el cumplimiento
de una obligación en sí misma. Es importante destacar que la limitación a los principios
sólo es posible si se establece en una norma con rango de ley y se cumple con las tres
condiciones siguientes:
a) sirve a un fin legítimo
b) es una medida necesaria y
c) es proporcionada en una sociedad democrática89.
El RGPD menciona los siguientes principios en el artículo 5:

a) Principio de licitud, lealtad y transparencia90
b) Principio de limitación de la finalidad91
c) Principio de minimización de datos
d) Principio de exactitud de los datos
90 Véase al respecto las Directrices sobre la transparencia en virtud del RGPD, adoptadas el 11 de abril de 2018(WP
260 rev.01) del Grupo de Trabajo del artículo 29

91 Artículo 5 RGPD Dictamen 3/2013, sobre la limitación a una finalidad específica, de 2 de abril de 2013 (WP 203)
del Grupo de Trabajo del artículo 29
47
e) Principio de limitación del plazo de conservación92

f) Principio de integridad y confidencialidad de los datos dentro del cual se incluye
el principio seguridad de los dato93.
Los sujetos que intervienen en el tratamiento de los datos no sólo deben cumplir los
mismos sino, también, demostrar su cumplimiento -responsabilidad proactiva-94.
La LOPDGDD dedica el Título II a los principios de protección de datos,–artículos 4 a
10- y señala en la Exposición de Motivos que los principios de protección de datos no
serán imputables al responsable del tratamiento, siempre que este haya adoptado todas
las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de
los datos obtenidos directamente del afectado, cuando hubiera recibido los datos de otro
responsable en virtud del ejercicio por el afectado del derecho a la portabilidad, o cuando
el responsable los obtuviese del mediador o intermediario cuando las normas aplicables
al sector de actividad al que pertenezca el responsable del tratamiento establezcan la
posibilidad de intervención de un intermediario o mediador o cuando los datos hubiesen
sido obtenidos de un registro público. También se recoge expresamente el deber de
confidencialidad.
8.- Bases de legitimación del tratamiento
Toda persona que obtenga y use datos personales debe, obligatoriamente, justificar su
tratamiento en algunas de las bases jurídicas legitimadoras del tratamiento que recoge el
RGPD. El mismo señala que todo tratamiento de datos es lícito si cuenta con el
consentimiento del interesado o cuenta con alguna otra base legítima establecida
conforme a Derecho recogida en el RGPD o en la normativa de los Estados miembros95.
El artículo 6 RGPD concreta las bases legitimadoras al señalar que sólo es lícito el
92 Considerando 39 y artículo 5 RGPD

94 Artículos 5, 24, 30, 35, 37 a 39 RGPD y Dictamen 3/2010, sobre el principio de responsabilidad proactiva, de 13 de
julio de 2010 (WP 173) del Grupo de Trabajo del artículo 29

95 Considerando 40 y ss RGPD
48
tratamiento de los datos si se cumple, al menos, una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para
uno o varios fines específicos96;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es
parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por
el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un
niño97.
Lo dispuesto en esta letra f) no es aplicable al tratamiento realizado por las autoridades
públicas en el ejercicio de sus funciones98
El RGPD permite a los Estados miembros introducir algunas especificaciones en la
aplicación de esta norma. Es así que la LOPDyGDD contiene regulación relativa a esta
materia recogida en los artículos 6 a 10.
9.- Derechos de los interesados
Como señala el RGPD “La protección efectiva de los datos personales en la Unión exige
que se refuercen y especifiquen los derechos de los interesados y las obligaciones de
96 Téngase presente las Directrices sobre el consentimiento RGPD (WP 259 rev.01) del Grupo de Trabajo del artículo
29, adoptadas el 10 de abril de 2018.
97 Véase al respecto el Dictamen 6/2014 sobre el concepto de interés legítimo del responsable del tratamiento (WP 217)
del Grupo de Trabajo del artículo 29, adoptadas el 9 de abril de 2014

49
quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en

los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar
el cumplimiento de las normas relativas a la protección de los datos de carácter personal
y las infracciones se castiguen con sanciones equivalentes.”99.
Para conseguir aquél fin, el RGPD articula fórmulas para que todos los interesados
puedan ejercitar sus derechos. En primer lugar, cabe señalar que el ejercicio de cualquier
derecho reconocido en el RGPD es gratuito (salvo algún supuesto100). En segundo lugar,
el ejercicio se debe realizar ante el responsable del tratamiento –salvo que el encargado
haya sido autorizado para ello- quien está obligado a responder a las solicitudes del
interesado sin dilación indebida y a más tardar en el plazo de un mes y a explicar sus
motivos en caso de que no las atienda101. Por otra parte, el ejercicio de cualquiera de los
derechos se puede realizar directamente o por representante legal o voluntario.
Igualmente, se debe destacar que, siempre la prueba del cumplimiento del deber de
atender a las solicitudes formuladas por los interesados, corresponde al responsable del
tratamiento.
La LOPDyGDD también regula algunos aspectos de esta materia en el Título III y señala
que relaciona los Derechos reconocido.
Los Derechos que tiene todo interesado son los siguientes:
a) Derecho de información, respecto del tratamiento de los datos «información por
capas»102
b) Derecho de acceso103
c) Derecho de rectificación104
d) Derecho de supresión (olvido)105
e) Derecho a la limitación del tratamiento106
f) Derecho a la portabilidad107
100 Véase al respecto los artículos 12.5 y 15.3 RGPD y 13 LOPDyGDD
102 Artículos 13 y 14 RGPD y 11 LOPDyGDD
103 Artículo 15 RGPD y 13 LOPDyGDD
107 Artículo 20 RGPD y 17 LOPDyGDD. También puede consultarse las Directrices sobre el derecho a la portabilidad
de los datos, adoptada el 5 de abril de 2017 (WP 242 rev.01), del Grupo de Trabajo del artículo 29
50
g) Derecho a la oposición y decisiones individuales automatizadas y elaboración de

perfiles108
h) Derecho a indemnización y responsabilidad109
10. Restricciones a los principios y derechos de los interesados
La Unión Europea o los Estados miembros pueden, a través del Derecho, imponer
restricciones a los principios y a los derechos reconocidos en el RGPD siempre que la
medida se demuestre “necesaria y proporcionada” en una sociedad democrática y se
ajuste a lo dispuesto en la Carta y en el Convenio Europeo de Protección de los Derechos
Humanos y de las Libertades Fundamentales110.
Los supuestos en los que es posible adoptar estas restricciones son diversos y se
encuentran recogidos a lo largo del RGPD dentro de los que es posible mencionar:
a) Salvaguarda de la seguridad pública, incluida la protección de la vida humana,
especialmente en respuesta a catástrofes naturales o de origen humano
b) Prevención, investigación y el enjuiciamiento de infracciones penales o de
violaciones de normas deontológicas en las profesiones reguladas y su prevención
c) Otros objetivos importantes de interés público general de la Unión o de un Estado
miembro, en particular un importante interés económico o financiero de la Unión o de un
Estado miembro,
d) La llevanza de registros públicos por razones de interés público general,
e) El tratamiento ulterior de datos personales archivados para ofrecer información
específica relacionada con el comportamiento político durante los regímenes de antiguos
Estados totalitarios, o la protección del interesado o de los derechos y libertades de otros,
incluida la protección social, la salud pública y los fines humanitarios.
108 Artículos 21 y 22 RGPD y 18 LOPDyGDD. Véase también las Directrices sobre decisiones individuales
automatizadas y elaboración de perfiles a los efectos del RGPD, adoptada el 6 de febrero de 2018 (WP 251 rev.01), del
Grupo de Trabajo del artículo 29
51
11.- Responsabilidad proactiva –Accountability-
Una de las novedades más importantes del RGPD, es la inclusión del principio de
responsabilidad proactiva que obliga al responsable, no sólo a cumplir con los principios
que recoge el RGPD, sino también, que debe ser capaz de demostrar su cumplimiento.
Este principio se encuentra recogido en el artículo 5 del RGPD en los siguientes términos:
”El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el
apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).”
El principio mencionado se encuentra desarrollado en el artículo 24.1 RGPD y artículo

28 LOPDyGDD. El primero de ellos señala textualmente:
”Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así
como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de
las personas físicas, el responsable del tratamiento aplicará medidas técnicas y
organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es
conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán
cuando sea necesario.”
Por su parte, el artículo 32 del RGPD establece que las medidas técnicas y organizativas
apropiadas para garantizar el nivel de seguridad adecuado al riesgo se deben definir en
función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el
contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad
variables para los derechos y libertades de las personas.
De lo anterior se deduce que el RGPD no establece medidas de seguridad estáticas y será
al responsable a quien le corresponda determinar aquellas que resulten necesarias para
garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales.
Es así que un mismo tratamiento de datos puede implicar medidas de seguridad distintas
en función de las especificidades concretas en las que tiene lugar dicho tratamiento de
datos. Para garantizar la confidencialidad, la integridad y la disponibilidad de los datos
se deben por tanto adoptar alguna de las medidas, de índole técnica y de índole
organizativa que recoge el RGPD y que son:
52
a) Neutralidad tecnológica y Privacidad desde el diseño (PbD) y por defecto111

b) Evaluación de Impacto (EIPD)112
c) Adopción de medidas de seguridad adecuadas113
d) Llevar un Registro de Actividades de Tratamiento (RAT)114
e) Notificación de las brechas de seguridad115
12.- Régimen sancionador
El régimen sancionador se recoge en el RGPD, concretamente en el Capítulo VIII, bajo

el título “Recursos, responsabilidades y sanciones”. En comparación con el régimen
anterior, el RGPD viene a endurecer considerablemente las sanciones y se señala que se
fijarán en función del tipo de obligación que se incumpla. El artículo 83 RGPD señala al
respecto que la autoridad de control garantiza que las multas administrativas sean
efectivas, proporcionadas y disuasorias y que se pondrán en función de las circunstancias
de cada caso individual. Las Autoridades también tienen potestades correctivas que serán
adicionales a la imposición de multas administrativas 116 y un amplio margen de
apreciación para la determinación de la cuantía de las sanciones concretando factores
agravantes y atenuantes –artículos 83- que se deben tener en cuenta para fijar la sanción.
Es así que para determinar el nivel y el tipo de la sanción impuesta se debe considerar la
naturaleza, la gravedad y la duración de la infracción; la existencia de culpa o de dolo;
las medidas que adoptadas para mitigar los daños; la cooperación con la Autoridad de
Control; la proactividad en la notificación de los hechos causantes de los daños; las
categorías de datos personales afectadas, entre otros117.
El RGPD señala que se deben imponer las siguientes multas:
111 Considerando 15 y artículo 25

112 Artículos 35 RGPD y 28 LOPDyGDD
114 Artículos 30 RGPD y 31 LOPDyGDD
115 Artículos 4.12 y 33 y 34 RGPD
117 Vid. Grupo de Trabajo del Artículo 29 (2017), Directrices sobre la aplicación y la fijación de multas administrativas
a efectos del Reglamento 2016/679, WP 253, 3 de octubre de 2017.
53
1.- Multas administrativas de 10.000.000€ como máximo o, tratándose de una empresa,

de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía en caso de
incumplimientos de las obligaciones:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39,
42 y 43;
b) las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;
c) las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.
2.- Multas administrativas de 20.000.000€ como máximo o, tratándose de una empresa,
de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía en los
siguientes supuestos de incumplimientos:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9;
b) los derechos de los interesados a tenor de los artículos 12 a 22;
c) las transferencias de datos personales a un destinatario en un tercer país o una
organización internacional a tenor de los artículos 44 a 49;
d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con
arreglo al capítulo IX;
e) el incumplimiento de una resolución o de una limitación temporal o definitiva del
tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con
arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo
58, apartado 1.
Las sanciones mencionadas no son las únicas sanciones que se pueden imponer. También
se permite que la sanción económica sea sustituida por otra o que la misma pueda ir
aparejada con otras, en los supuestos que recoge el artículo 58 RGPD.
Si las infracciones fueran cometidas por instituciones u organismos de la UE, las
sanciones sólo pueden ser de tipo disciplinario118.
La LOPDyGDD describe las conductas típicas en el Título IX y se clasifican las sanciones
en muy graves, graves y leves teniendo en cuenta la diferenciación que el RGPD señala
118 Así lo establece el art. 49 del Reglamento (UE) 2018/1725 de protección de datos de las instituciones de la UE.
54
al fijar la cuantía de las sanciones. Se establecen también los plazos de prescripción de

acuerdo con la descripción de las conductas y se ejemplifican los actos sancionables que
se entienden incluidos dentro de los tipos generales establecidos en la norma europea.
55

Proteccion de Datos: Regimen General Ocw

Cargado por

Copyright:

Formatos disponibles

Proteccion de Datos: Regimen General Ocw

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proteccion de Datos: Regimen General Ocw

Cargado por

Copyright:

Formatos disponibles

Asignatura: Derecho de las Tecnologías de la Información

Lección 2: Protección de Datos: régimen general

ASIGNATURA: DERECHO DE LAS TECNOLOGÍAS DE LA

Coordinadora María Nieves de la Serna Bilbao

LECCIÓN 2: PROTECCION DE DATOS: RÉGIMEN

Mª Nieves de la Serna Bilbao

II.- ANTECEDENTES DEL DERECHO A LA PROTECCIÓN DE

III.-REGULACION EN MATERIA DE PROTECCIÓN DE DATOS

IV ANALISIS DEL ACTUAL MARCO REGULADOR EN

El origen del derecho a la protección de datos se suele situar con el desarrollo de la

II.- ANTECEDENTES DEL DERECHO A LA

1.- Primeras regulaciones; el Consejo de Europa –CdE-

Se suele mencionar como primeros antecedentes de regulación del derecho a la protección

miembros del Consejo de Europa y la Recomendación R (74) 29, relativa a la protección

2.- El Convenio 108 del Consejo de Europa, de 1981, para la

En el año 1981 el Consejo de Europa aprueba un documento de gran trascendencia en

de enero de 1981, para la protección de las personas con respecto al tratamiento

3.- Algunas regulaciones adoptadas a nivel internacional

En los años setenta las instituciones internacionales también se encontraban preocupadas

99 Un pequeño resumen de estos documentos puede consultarse https://www.oecd.org/sti/ieconomy/15590267.pdf

Genéticos Humanos de 16 de octubre de 2003 o la Declaración Universal sobre Bioética

III.-REGULACION EN MATERIA DE PROTECCIÓN DE

1.- De la Comunidad Europea a la Unión Europea, primeros

En la Unión Europea, la idea de aprobar una Directiva de protección de datos, se suele

11 SEC (73) 4300 final, “Una política comunitaria de informática”.

2.- La aprobación de la Directiva europea de protección de

A principios de los años noventa, la Comisión presentó una primera propuesta de

12 La Recomendación 87/598/CE, de la Comisión, de 8 de diciembre sobre un Código Europeo de buena conducta en

15 DOCE nº L 281/31 de 23 noviembre 1995, p. 31-50.

La Directiva 95/46/CE también creó el denominado Grupo de Trabajo, en el artículo 29

datos de las personas transportadas

el marco de la cooperación policial y judicial en materia penal - DO L 350 de 30.12.2008, p. 60.-.

3.- La aprobación del Tratado de Ámsterdam y su repercusión

Paralelamente aquel Tratado reconoció competencia al Tribunal de Justicia para la

Es así que, a partir de este reconocimiento, el Derecho a la protección de Datos, adquiere

4.- La protección de datos en las instituciones y en los

En el año 2001, con apoyo en la previsión contenida en el artículo 16 TFUE antes

Al “Supervisor Europeo de Protección de Datos” le correspondía así garantizar un alto

independiente, responsable de supervisar y velar por la debida ejecución de las

La nueva normativa europea exige la adopción de medidas técnicas, administrativas y

25Considerando 8 del el Reglamento (UE) 2018/1725.

lo dispuesto en la norma puede dar lugar a la apertura de un expediente disciplinario u

5. El importante cambio regulatorio en materia de protección

Hacia finales del año 2009, el Consejo y el Parlamento Europeo, en virtud de la

26 Reglamento (CEE, Euratom, CECA) núm 259/68 del Consejo

global de la protección de los datos personales en la Unión Europea” 31. En aquella

31 COM(2010) 609 final

personales en la Unión Europea (2011/2025(INI)

para fines de prevención, investigación, detección o enjuiciamiento de infracciones

6. La opción de aprobar un Reglamento frente a una Directiva

La opción de aprobar un Reglamento frente a una Directiva estuvo motivada por la

IV ANALISIS DEL ACTUAL MARCO REGULADOR EN

1.- El RGPD y la LOPDGDD como normas que regulan el

Como se ha señalado, el RGPD es una norma obligatoria en todos sus elementos y

condición indispensable “para la aplicación simultánea y uniforme” de las reglas

38 STJCE caso Scheer, asunto 30/70, apartados 7 y 8

2. El RGPD; objetivo y ámbito de aplicación

Como señala el RGPD, el mismo persigue “contribuir a la plena realización de un