Proteccion de Datos: Regimen General Ocw
Proteccion de Datos: Regimen General Ocw
Proteccion de Datos: Regimen General Ocw
1
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
SUMARIO:
I.- INTRODUCCIÓN
2
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
BIBLIOGRAFÍA
3
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
ABSTRACT
El Derecho a la protección de datos es un derecho moderno y activo en el que, con carácter
general, todo tratamiento, recogida, custodia o cesión de datos de carácter personal,
cualquier sea el dato (íntimo o no) se debe sujetar a la normativa vigente reguladora de la
materia. Hoy en día, es difícil encontrar tareas en las que no se traten datos personales y,
por ello, es necesario conocer la regulación vigente. Los recientes cambios normativos en
esta materia a nivel europeo y español han articulado un sistema que sea capaz de
garantizar, a pesar del transcurso del tiempo y de los adelantos tecnológicos, un nivel de
seguridad jurídica de los datos personales a través de normas claramente definidas. Este
marco regulatorio se presenta como más sólido y coherente que el anteriormente vigente
y persigue garantizar una aplicación estricta del derecho a la protección de datos de tal
forma que permita el desarrollo de la economía digital en el mercado interior, reconozca
a los ciudadanos el control de sus datos, refuerce la seguridad jurídica y la práctica de los
operadores económicos y de las autoridades públicas. Estudiaremos aquí la evolución de
este derecho y el régimen general actualmente vigente.
ABSTRACT
The Right to data protection is a modern and active right in which, in general, all
treatment, collection, custody or transfer of personal data, whatever the data (intimate or
not) must be subject to the regulations of the current regulatory matter. Nowadays, it is
difficult to find tasks in which personal data is not processed and, therefore, it is necessary
to know the current regulations. Recent regulatory changes in this area at the European
and Spanish level have articulated a system that is capable of guaranteeing, despite the
passage of time and technological advances, a level of legal security for personal data
through clearly defined standards. This regulatory framework is presented as more solid
and coherent than the one previously in force and seeks to guarantee a strict application
of the right to data protection in such way that it allows the development of the digital
economy in the internal market, recognizes citizens the control of their data, reinforces
legal security and practice for economic operators and public authorities. We will study
here the evolution of this right and the general regime currently in force.
4
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
I.- INTRODUCCIÓN
«La protección de datos nunca debería verse como una regulación estática,
sino siempre como un proceso dinámico que no tiene fin»1 *
1 *Spiros Simitis en el transcurso de la Conferencia de Primavera de las Autoridades Europeas de Protección de Datos,
celebrada en Cracovia del 25 al 26 de abril de 2005; Agencia de Protección de Datos de la Comunidad de Madrid
(2008) Revista Datos Personales –Enero-
2 Denominación utilizada por primera vez por el Tribunal Constitucional Alemán en la sentencia de 1983, al analizar
los datos censales en conexión con el derecho fundamental al respeto de la personalidad recogido en la Constitución.
3 Expresión utilizada por el Reglamento europeo General de Protección de Datos. También es el término que el Tribunal
Constitucional Español utiliza para referirse a este Derecho en la célebre sentencia 292/2000, de 30 de noviembre.
4
Algunos autores, dada la relación del derecho a la protección de datos con el derecho a la intimidad, concretan como
primer antecedente de este derecho el artículo «The Rigth to Privacy» -El derecho a la intimidad- publicado en 1890
de WARREN, S.D.; BRANDEIS, L.D. «The right to privacy» in Harvard Law Review (1890 [15 diciembre 1890]),
Vol. 4, No. 5, p. 193-220. Versión española en WARREN, S.D.; BRANDEIS, L.D., El derecho a la intimidad (Madrid,
Cívitas, 1995). En el mismo, se planteaba el reconocimiento del derecho a ser dejado en paz -la intimidad- y la necesaria
protección que el ordenamiento jurídico debe ofrecer frente a los inventos y métodos comerciales, como el
advenimiento de la fotografía instantánea y la circulación generalizada de periódicos que ocurrían en aquel entonces.
Señalan los autores que aquellas invenciones habían contribuido a la invasión de la intimidad de las personas y
concretamente expresaban que «La prensa está traspasando, en todos los ámbitos, los límites de la propiedad y de la
decencia. El chismorreo ha dejado de ser ocupación de gente ociosa y depravada para convertirse en una mercancía,
buscada con ahínco e, incluso, con descaro... Con el fin de entretener al indolente, columna tras columna se llenan de
5
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
tecnología ha tenido –y continúa teniendo- al igual que su uso generalizado en todos los
ámbitos de la vida de las personas, ésta sigue planteando incesantemente nuevos
interrogantes frente al derecho y, en particular, frente a los derechos de las personas. Esta
situación determina que el derecho deba abordar constantemente importantes cambios
para limitar los peligros que aquellos avances suponen. Nos encontramos, por tanto, ante
un ámbito del derecho que precisa actualizarse al ritmo de la evolución tecnológica.
En conclusión, el Derecho a la protección de datos es un derecho moderno y activo5 en el
que, con carácter general, todo tratamiento, recogida, custodia o cesión de datos de
carácter personal, cualquier sea el dato (íntimo o no) se debe sujetar a la normativa vigente
reguladora de la materia. Es así que, en principio, cualquier tratamiento de datos
personales, aunque no afecte a la vida privada de las personas o al libre desarrollo de su
personalidad, debe cumplir, obligatoriamente, con lo dispuesto por la normativa
correspondiente. Esto no significa que los datos personales no puedan ser recopilados o
tratados, sino que, por el contrario, determina que para llevar a cabo un uso o tratamiento
de datos es necesario cumplir con lo dispuesto en la normativa de protección de datos.
chismes insustanciales, obtenidos, únicamente, mediante la intromisión en el ámbito privado.» y subrayan «Es nuestro
propósito considerar si la ley existente ofrece un principio que puede invocarse adecuadamente para proteger la
privacidad del individuo; y, si lo hace, cuál es la naturaleza y el alcance de dicha protección», para concluir que el
derecho a ser dejado en paz es «un principio que puede invocarse para proteger la privacidad del individuo de la
invasión, ya sea por la prensa demasiado emprendedora, el fotógrafo o el poseedor de cualquier otro dispositivo
moderno para grabar o reproducir escenas o sonidos».
Aquel ensayo tiene una influencia y trascendencia jurídica incuestionable que da lugar a un planteamiento original en
el que no sólo se reconoce una dimensión individual o subjetiva del derecho a la intimidad, sino que también plantea,
la dimensión social y colectiva del citado derecho en tanto que protege el propio mantenimiento y avance del sistema
democrático, ya que la privacidad contribuye también a limitar la actuación de los poderes públicos y a definir el
atributo de la ciudadanía. Un estudio más en profundidad puede verse en Saldaña, M Nieves, «The right to privacy»:
la génesis de la protección de la privacidad en el sistema constitucional norteamericano, el centenario legado de
Warren y Brandeis, en Revista de Derecho Político, núm. 85, 2012 UNED, quien señala que se trata de un ensayo
fundacional de la protección de la privacidad en los Estados Unidos y el artículo doctrinal más influyente de la literatura
jurídica norteamericana. Sin duda su influencia ha sido incuestionable, ha originado la preocupación colectiva por el
reconocimiento y garantía de la esfera privada, ha generado al menos cuatro acciones civiles para su protección y ha
encuadrado y fundamentado el discurso constitucional del derecho a la privacidad en los Estados Unidos durante todo
el siglo XX.
5 Véase al respecto TJUE, las conclusiones de la Abogada General en asunto Volker und Markus Schecker GbR y
Hartmut Eifert contra Land Hessen -C92/09 y C93/02- cit en Manual de legislación europea en materia de protección
de datos (2019); edit. Agencia de los Derechos Fundamentales de la Unión Europea y Consejo de Europa; Luxemburgo;
pág. 22.
6
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
7
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
6 En este sentido cabe mencionar las siguientes: Recomendación núm. R(81) 1, de 23 de enero, que trata el tratamiento
automatizado de los bancos de datos médicos; la Recomendación núm. R(83) 10, de 23 de septiembre, relativa a la
protección de datos personales utilizados con fines de investigación y estadísticos; la Recomendación núm. R(86) 1,
de 23 de enero, sobre la protección de datos personales relacionados con la Seguridad Social; la Recomendación R(87)
15, de 17 de septiembre, sobre utilización de datos personales por la policía; la Recomendación R(89) 2, de 18 de enero,
relativa a la protección de datos personales utilizados con fines laborales; número la Recomendación R(91) 10, de 9 de
septiembre, relativa a la cesión de datos pertenecientes al sector público; la Recomendación R(95) 4, de 7 de febrero,
relativa a la protección de datos personales en el sector de telecomunicaciones; la Recomendación núm. R(97) 5, de
13 de febrero, relativa a la protección de datos sanitarios; la Recomendación R(97) 18, de 30 de septiembre, relativa a
la protección de datos personales con fines estadísticos, entre muchas otras.
8
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Es preciso señalar que el Convenio 108 del Consejo de Europa también tiene un papel
destacado a nivel internacional ya que al estar abierto a que se adhieran Partes no
Contratantes del Consejo de Europa, sirve como base para promover la protección de
datos a escala mundial. Recordemos que el Convenio tiene por finalidad proteger la libre
circulación de los datos personales para favorecer el comercio y el libre mercado y para
ello, cada Estado parte y los Estados que se adhieran deben adaptar su legislación interna
al contenido del Convenio con el fin de cumplir con los objetivos del mismo7.
Con carácter general el Convenio 108 debe ser respetado tanto por el sector público como
el sector privado. Igual obligación corresponde a las autoridades judiciales y a las Fuerzas
y Cuerpos de Seguridad. En cuanto a su contenido el mismo señala principios que se
deben respetar en todo tratamiento de datos personales -calidad, lealtad, licitud,
conservación, entre otros-; reconoce la existencia de datos sensibles y les otorga una
protección especial; reconoce derechos a los titulares de los datos que pueden ser
7Actualmente forman parte del mismo 51 países partes del Convenio 108, la Unión Europea y otros países no miembros
del CdE como Uruguay, Túnez, Senegal, etc.
9
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
ejercitados ante quien recoge o trata los datos como el derecho de acceso, de rectificación,
de supresión y de oposición, entre otros. Sin embargo, es preciso desatacar que el mismo
no contiene ninguna referencia a la adopción de medidas de seguridad.
El Convenio 108 del Consejo del año 1981 fue objeto de diversas modificaciones. En el
año 1999, el Convenio fue modificado para que la Unión Europea sea parte del mismo.
En el año 2001, se adopta un Protocolo adicional con la finalidad de introducir la
regulación sobre los flujos transfronterizos a los Estados no Partes, así como la obligación
de crear autoridades de control específicas en materia de protección de datos. Finalmente,
en el año 2011, se inicia un proceso de actualización de su contenido para adaptarlo al
desarrollo de las tecnologías de la información y la comunicación que culmina en el año
2018 con la aprobación de un Protocolo Adicional que da lugar al denominado Convenio
108 + (plus), el 10 de octubre del citado año. En este último instrumento se reforzó la
protección de los datos personales ante la diversificación e incremento de las actividades
de procesamiento de datos y de circulación de la información. También se incorporó los
objetivos adoptados en la reforma normativa llevada a cabo en la Unión Europea en
materia de protección de datos que culmina en 2016 con la aprobación del Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos 8 ). Es así que, se puede afirmar, que
actualmente existe coherencia y compatibilidad entre la regulación del CdE y de la Unión
Europea.
En líneas generales el Convenio 108+ (plus), vino a reforzar las exigencias en las medidas
de seguridad que se deben adoptar; a concretar las responsabilidades de las entidades que
trabajan con datos personales; a exigir rendición de cuentas de los sujetos que manipulan
datos; eso sí, siempre con la idea de la proyección universal que este instrumento tiene.
El Convenio 108+ continúa con su cometido inicial, es decir, de proteger a las personas
en todo tratamiento de datos; de facilitar el flujo transfronterizo y de reforzar al mismo
tiempo la efectiva aplicación del Convenio.
8 DO L 119 de 4.5.2016, p. 1
10
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
11
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
10 https://www.who.int/publications/i/item/WHO-2019-nCoV-Ethics_Contact_tracing_apps-2020.1
12
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
13
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
propuestas de diversa envergadura que fueron las que prepararon el camino de la futura
Directiva. Entre aquellas propuestas, baste mencionar, la Resolución del Parlamento
Europeo de 21 de febrero de 1973, sobre la protección de los derechos de la persona ante
el desarrollo de los progresos técnicos en el ámbito de la informática; la Resolución de 8
de mayo de 1979 del Parlamento, sobre la protección de los derechos de la persona ante
el desarrollo de los progresos técnicos en el ámbito de la informática o la Recomendación
de la Comisión de 29 de julio de 1981, relativa al Convenio del Consejo de Europa sobre
protección de las personas con respecto al tratamiento automatizado de datos de carácter
personal, entre otros12.
por la Comisión el 27 de julio de 1990, relativa a la protección de las personas en lo referente al tratamiento de datos
personales
14
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
sector privado, y lo mismo cabe decir, del sector público, aumentaba considerablemente
y, desde Europa, ya se era plenamente consciente de la necesidad de adoptar alguna
medida que garantizase la circulación de los datos personales en el territorio europeo para
que el mercado interior pudiese prosperar.
La Comisión, consciente de que en materia de protección de datos existían diferencias
jurídicas importantes entre los Estados miembros que resultaban ser un obstáculo al flujo
transfronterizo de aquellos, planteó la necesidad de armonizar (que no homogeneizar) las
legislaciones nacionales como un objetivo prioritario para las instituciones comunitarias
para el correcto funcionamiento del mercado interior. Después de un período de cinco
años de negociación desde la primera propuesta de regulación de la materia de protección
de datos presentada por la Comisión, se aprobó la Directiva 95/46/CE, del Parlamento
Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos15.
La Directiva 95/46/CE recogió las definiciones y las reglas contenidas en los distintos
documentos internacionales existentes en aquel momento. Se trataba de un texto legal de
referencia a escala europea en materia de protección de datos personales y exigía, a cada
Estado miembro, la creación de un organismo nacional independiente encargado de velar
por la correcta aplicación del contenido de la Directiva para proteger los datos personales.
Igualmente, la norma europea estableció un marco regulador destinado a concretar un
equilibrio entre un nivel elevado de protección de la vida privada de las personas y la
libre circulación de datos personales dentro de la Unión Europea para evitar que la
defensa de los derechos fundamentales ponga freno a los objetivos de la integración
económica. Su artículo 1º así lo manifestaba al disponer que:
“1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente
Directiva, la protección de las libertades y de los derechos fundamentales de las personas
físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de
los datos personales.
2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos
personales entre los Estados miembros por motivos relacionados con la protección
garantizada en virtud del apartado 1”.
15
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
16 El Comité Europeo de Protección de Datos (en adelante, Comité) sustituye al Grupo de Trabajo del artículo 29 de la
Directiva 95/46/CE y al igual que éste persigue fomentar la aplicación coherente del reglamento en toda la Unión,
asesorando a la Comisión, en particular sobre el nivel de protección en terceros países u organizaciones internacionales
y fomentar la cooperación de las autoridades de control. El Comité se constituye como un organismo independiente de
la unión, con personalidad y se compone por el Director de una autoridad de control de cada Estado miembro y el
Supervisor Europeo de Protección de Datos. También participa la Comisión, pero sin derecho a voto. Entre sus
funciones cabe destacar las de asesoramiento, emisión de dictámenes, directrices, recomendaciones y buenas prácticas,
adopción de decisiones vinculantes y de fomento en la elaboración de códigos de conducta y en el establecimiento de
mecanismos de certificación de protección de datos, así como de sellos y marcas –artículo 70 RGPD.
17 Así, por ejemplo, las Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997, relativa
al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones; Directiva
2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al tratamiento de los datos personales
y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre privacidad y las
comunicaciones electrónicas) modificada por la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15
de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de
comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que modifica la
Directiva 2002/58/CE; Directiva 2009/136/CE, del Parlamento Europeo y el Consejo, de 25 de noviembre de 2009, por
la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación
con las redes y los servicios de comunicaciones electrónicas, entre otras.
18 Directiva 2004/82/CE, del Consejo de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los
16
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
En el año 1997, se firma el Tratado de Ámsterdam que tiene una importante repercusión
en la materia objeto de estudio en este trabajo. En efecto, el citado Tratado indicaba que:
“…la Unión se basa en los principios de libertad, democracia, respeto de los derechos
humanos y de las libertades fundamentales y el Estado de Derecho, principios que son
comunes a los Estados Miembros”
1. Toda persona tiene derecho a la protección de los datos de carácter personal que le
conciernan.
2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento
legislativo ordinario, las normas sobre protección de las personas físicas respecto del
tratamiento de datos de carácter personal por las instituciones, órganos y organismos de
la Unión, así como por los Estados miembros en el ejercicio de las actividades
comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre
circulación de estos datos. El respeto de dichas normas estará sometido al control de
autoridades independientes.
Las normas que se adopten en virtud del presente artículo se entenderán sin perjuicio de
las normas específicas previstas en el artículo 39 del Tratado de la Unión Europea.
21Versión consolidada del Tratado de Funcionamiento de la Unión Europea – Primera Parte: Principios -Título II:
Disposiciones de aplicación general -artículo 16 (antiguo artículo 286 TCE) DO L 115 de 09.05.2008 p. 0055-.
17
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
La Carta también concretó, en su artículo 52, en relación con el alcance de los derechos
que:
“cualquier limitación del ejercicio de los derechos y libertades reconocidos por la Carta
deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y
libertades. Sólo se podrán introducir limitaciones, respetando el principio de
proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de
interés general reconocidos por la Unión o a la necesidad de protección de los derechos
y libertades de los demás……”.
22Diario Oficial n° 303 de 14/12/2007 p. 0004 – 0004, No es posible explicar todo el proceso de tramitación de este
documento, pero recordemos que fue proclamada por el Parlamento Europeo, el Consejo de la Unión Europea y la
Comisión Europea el 7 de diciembre de 2000. Siete años más tarde, después de un proceso complejo, la Carta fue
proclamada en Estraburgo, el 12 de diciembre de 2007. Una vez ratificado el Tratado de Lisboa, la Carta es legalmente
vinculante para todos los países excepto para Polonia y el Reino Unido.
18
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Todo aquel proceso culminó con la aprobación del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento
general de protección de datos23), en adelante RGPD, que luego estudiaremos.
23 DO L 119 de 4.5.2016, p. 1
24 DO L 8 de 12.1.2001, p. 1.
19
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
20
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
titulada «Un espacio de libertad, seguridad y justicia al servicio de los ciudadanos − Programa de Estocolmo», adoptada
el 25 de noviembre de 2009 (P7TA(2009)0090) y «Programa de Estocolmo — Una Europa abierta y segura que sirva
y proteja al ciudadano», DO C 115 de 4.5.2010, p.1.
30 COM(2010) 171 final.
21
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
también se manifestó a favor del objetivo de la Comisión de garantizar una aplicación más coherente de las normas de
la Unión Europea en materia de protección de datos CESE 999/2011.26
35 COM(2012) 11 final
22
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
protección de datos.
b) Otra propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales
por las autoridades competentes a efectos de la prevención, investigación, detección y
enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y a la libre
circulación de estos datos36.
Con ambos instrumentos se perseguía, básicamente, concretar una política más
integradora y coherente en materia del Derecho Fundamental a la Protección de Datos de
Carácter Personal. Con la primera propuesta se abordaba el régimen general de protección
de datos y se concretaba un marco regulador uniforme que todos los Estados miembros
deben cumplir. Con la segunda, por su parte, se perseguía garantizar un nivel uniforme
y elevado de protección de los datos en el ámbito de la prevención, investigación,
detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales,
para reforzar la confianza mutua entre las autoridades policiales y judiciales de los
distintos Estados miembros y facilitar la libre circulación de datos y la cooperación entre
aquellas autoridades37.
Finalmente, todo aquel proceso culmina con la aprobación del ya citado Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de sus datos personales
y a la libre circulación de estos datos (en adelante RGPD). El citado RGPD entró en vigor
25 de mayo de 2016, pero no se comenzó aplicar hasta dos años después, el 25 de mayo
de 2018. Por otra parte, se aprobó la Directiva (UE) 2016/680 del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales por parte de las autoridades competentes
36 COM(2012) 10 final
37
Hasta el momento la libre circulación de estos datos se encontraba recogida en la Decisión Marco 2008/977/JAI, que
tenía un ámbito de aplicación limitado, por cuanto solo se aplicaba al tratamiento transfronterizo de datos y no a las
actividades de tratamiento por parte de las autoridades policiales y judiciales a nivel puramente nacional. Esta
limitación conllevaba dificultades a las autoridades policiales y otras autoridades competentes en los ámbitos de la
cooperación judicial en materia penal y de la cooperación policial ya que no resultaba claro distinguir fácilmente, por
parte de las autoridades mencionadas, entre el tratamiento meramente nacional y tratamiento transfronterizo. A todo
ello se debe sumar los problemas que la propia aplicación de la Decisión Marco presentaba dado que, por un lado,
reconocía un amplio margen de maniobra a los Estados miembros para transponer sus disposiciones de Derecho interno,
pero por otro, no contenía ningún mecanismo o grupo consultivo similar al “Grupo” del artículo 29 de la Directiva
95/46/CE que sustentase una interpretación común de sus disposiciones, o recogiese competencias de ejecución de la
Comisión a fin de garantizar un enfoque común en su aplicación.
23
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Es así que el RGPD vino a terminar con la disparidad de regulaciones y a conseguir que
la aplicación de las normas sobre esta materia sea coherente y homogénea en todo el
territorio de la Unión, evitando la existencia de divergencias y otorgando seguridad
jurídica y transparencia a los distintos operadores económicos, cualquiera sea el tamaño
de éstos (micro, medianas, grandes), así como la efectiva cooperación de las distintas
24
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
autoridades de control.
En definitiva, el RGPD vino a revisar las bases legales del modelo europeo pero persigue
algo más que una mera actualización. En primer lugar, el mismo reconoce que el Derecho
a la Protección de Datos no es un Derecho absoluto; refuerza la seguridad jurídica y la
transparencia; refuerza y especifica los derechos de los interesados; identifica y concreta
las obligaciones de los sujetos que tratan los datos personales, en particular, del
Responsable y del Encargado del tratamiento y los sujeta al mismo régimen para
garantizar que exista una supervisión coherente del tratamiento de datos. Finalmente, el
RGPD recoge sanciones equivalentes para todos los Estados miembros.
25
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
26
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Melloni, C-399/11).
27
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Es así que, a partir de la aprobación del RGPD, las normas nacionales sólo tienen un papel
de desarrollo o complemento del RGPD y en virtud de ello, las aproximadamente 56
remisiones, con diverso alcance, que contiene el RGPD se han desarrollado en el contexto
nacional por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos
personales y Garantía de los Derechos Digitales (en adelante, LOPDyGDD).
De acuerdo con lo anterior, es preciso indicar que, la LOPDyGDD no puede confundirse
con una norma de transposición del RGPD. Muy al contrario, la misma persigue adaptar
el ordenamiento jurídico español el RGPD, pero sólo en aquellos ámbitos que permite.
Por tanto, el derecho fundamental de las personas físicas a la protección de datos
personales amparado por el artículo 18.4 de la CE, se ejercerá con arreglo a lo establecido
en el RGPD y en LOPDyGDD. Recordemos que el artículo 18.4 CE señala:
“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal
y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”
Por último, baste señalar que la LOPDyGDD no sólo desarrolla o complementa las
disposiciones del RGPD, sino que también garantiza los derechos digitales de la
ciudadanía conforme al mandato establecido en el art. 18.4 de la CE contenidos en el
Título X de la LOPDyGDD que se clasifican de la siguiente forma:
1) Derechos generales de los ciudadanos en internet: este bloque incluye los arts. 79
a 82, 96 y 97.
2) Derechos específicos relacionados con los menores: arts. 83, 84, 92 y 97.2 (en
parte).
3) Derechos relacionados con el ámbito laboral: arts. 87 a 91.
4) Derechos relacionados con los medios de comunicación digitales: arts. 85 y 86.
5) Derecho al olvido en internet: arts. 93 y 94.
6) Derecho a la portabilidad en las redes sociales: art. 95.
28
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
41 Considerando 2 RGPD
42 Considerando 13 RGPD
43 Considerando 13 RGPD
29
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
30
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
49 Considerando
50 Considerando 27
51 Considerando 17
52 Considerando 15 RGPD
53 Considerando 16
31
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
54https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_es.pdf
55 Considerando 21 y art. 4. 16
56 Considerando 23
32
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
57 Considerando 80 RGPD
58 Considerando 25 RGPD
33
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Como se suele señalar, en el desarrollo de nuestra vida, tanto el mundo real como digital,
utilizamos datos de carácter personal, es decir, datos en los que la persona física es
identificada o puede resultar identificable. Es así que, cualquier dato que pertenezca a una
persona en la que su identidad resulte clara o se pueda determinar a partir de información
adicional, el mismo se considera dato de carácter personal y, por tanto, encuentran
protección en el RGPD.
El RGPD define el concepto de «datos personales» como comprensivo de
“toda información sobre una persona física identificada o identificable («el interesado»);
se considerará persona física identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un identificador, como
por ejemplo un nombre, un número de identificación, datos de localización, un
identificador en línea o uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha persona.
34
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
59Considerando 26 RGPD
60Véase al respecto el documento AEPD “LA 𝑲-ANONIMIDAD COMO MEDIDA DE LA PRIVACIDAD”, de 14
de mayo de 2019; o las Orientaciones y garantías en los procedimientos de anonimización de datos personales, de 16
de julio de 2018.
61 Considerando 26 RGPD
62 Artículo 4 RGPD y Considerando 29 RGPD
35
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Con carácter general, todos los datos personales que cumplan los requisitos antes
mencionados, es decir, que el dato se pueda identificar con una persona directa o
indirectamente, encuentran protección tanto por el RGPD como por la LOPDyGDD,
salvo que los mismos tengan un uso doméstico. Dentro de los datos personales, se
identifica una “categoría especial de datos” que cuentan con una protección reforzada.
Dentro de ellos se comprende a los datos que revelan el origen étnico o racial -
entendiéndose que el uso del término «origen racial» en el RGPD no implica la aceptación
por parte de la Unión de teorías que traten de determinar la existencia de razas humanas
separadas-, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación
sindical y el tratamiento de datos genéticos, datos biométricos o datos relativos a la saludo
o vida sexual u orientaciones sexuales de las personas físicas64. No se consideran dentro
de esta clasificación a las fotografías “pues únicamente se encuentran comprendidas en
la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos
específicos permita la identificación o la autenticación unívocas de una persona
física.”65
Como señala el RGPD, estos “datos especiales” merecen una atención específica dado
que, por su naturaleza, “son particularmente sensibles en relación con los derechos y las
libertades fundamentales, ya que el contexto de su tratamiento podría entrañar
importantes riesgos para los derechos y las libertades fundamentales”.
63 Considerando 28 RGPD
64 Véase al respecto el artículo 9 RGPD y las definiciones del artículo 4 RGPD
65 Considerando 51 RGPD
36
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Los “datos especiales” también denominados “datos sensibles” no pueden ser tratados,
así se recogen en el artículo 9 del RGPD que parte de una afirmación rotunda cuando
dispone:
1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o
racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación
sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de
manera unívoca a una persona física, datos relativos a la salud o datos relativos a la
vida sexual o las orientaciones sexuales de una persona física.”
37
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
38
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
39
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
66 Considerandos 52 y 53 RGPD
67 Respecto del concepto de independencia véase los artículos 52 y 53 RGPD
68 Artículos 55.3 y 57 RGPD
40
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
correctivas, de autorización y consultivas a la que pueden sumarse otras que los Estados
miembros consideren69.
La LOPDyGDD desarrolla aquellos mandatos en el Título VII que contiene el régimen
de la Agencia Española de Protección de Datos (en adelante, AEPD) y regula la existencia
de las autoridades autonómicas de protección de datos y la obligación de actuar entre ellas
cooperando y prestándose asistencia mutua en el marco del mecanismo de coherencia70.
Recordemos que actualmente existe en España la Autoridad Catalana de Protección de
Datos y la Agencia Vasca de Protección de Datos71. La AEPD se configura como una
autoridad administrativa independiente, que se relaciona con el Gobierno a través del
Ministerio de Justicia72. Su estatuto se contiene en el Real Decreto 428/1993, de 26 de
marzo, por el que se aprueba el Estatuto de la AEPD y la misma actúa sujeta al Derecho
administrativo tanto en el ejercicio de sus competencias como en el de su régimen
patrimonial y de contratación73.
Ante la AEPD y las autoridades autonómicas, se puede presentar solicitudes y
reclamaciones siempre que se considere que el tratamiento de los datos no se ha efectuado
cumpliendo la normativa de protección de datos. Corresponde a aquellas autoridades
adoptar las medidas correspondientes para facilitar la presentación de reclamaciones y
solicitudes así como investigar y resolver, dentro de su ámbito competencial, las
solicitudes presentadas 74 . La LOPDyGDD regula en el Título VIII, el Procedimiento
administrativo que debe seguirse ante la AEPD en caso de vulneración de la normativa
de protección de datos.
Finalmente destacar que es obligatorio que todas las resoluciones adoptadas por las
autoridades de control nacionales de protección de datos jurídicamente vinculantes para
los interesados, para los responsables o para los encargados de tratamiento, se deben
69 Artículo 58 RGPD
70
Véase al respecto los artículos 60 y ss RGPD
71 Véase al respecto la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos y el Decreto
48/2003, de 20 de febrero, por el que se aprueba el Estatuto de la Agencia Catalana de Protección de Datos y Ley
2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia
Vasca de Protección de Datos y el Decreto 308/2005, de 18 de octubre, por el que se desarrolla la Ley 2/2004, de 25
de febrero, de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de
Protección de Datos.
72 Con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público
73 Para más información https://www.aepd.es/es/la-agencia/transparencia/informacion-de-caracter-institucional-
organizativa-y-de-planificacion/marco-normativo
74 Artículo 77 RGPD
41
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
poder recurrir ante los órganos jurisdiccionales del propio Estado miembro. En otras
palabras, se debe tener derecho a la tutela judicial efectiva75. La LOPDyGDD establece
en el artículo 48.6 que:
“Los actos y disposiciones dictados por la Presidencia de la Agencia Española de
Protección de Datos ponen fin a la vía administrativa, siendo recurribles, directamente,
ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.”
Todos los sujetos que intervienen en el tratamiento de los datos se encuentra identificados
y definidos por el RGPD. Para todos ellos concreta un verdadero estatuto jurídico al
atribuirles, a lo largo del articulado, importantes derechos y obligaciones. Estos sujetos
pueden ser personas físicas o jurídicas, públicas o privadas, y cada uno cuenta con un
estatuto propio y específico, con un régimen sancionador en caso de incumplimiento.
Veamos cada uno de ellos.
El «responsable del tratamiento» o «responsable» se define en el RGPD como:
“la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o
junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión
o de los Estados miembros determina los fines y medios del tratamiento, el responsable
del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el
Derecho de la Unión o de los Estados miembros”76.
Se trata, por tanto, del sujeto que define los fines y los medios del tratamiento.
En el caso que un responsable del tratamiento tenga diversos establecimientos en más de
un Estado miembro, el establecimiento principal será el lugar de su administración central
en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen
en otro establecimiento del responsable en la Unión y este último establecimiento tenga
75 Artículos 78 y ss RGPD
76 Artículo 4 RGPD
42
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya
adoptado tales decisiones se considerará establecimiento principal77.
Las responsabilidades de este sujeto son diversas y se articulan a lo largo del RGPD, entre
las que cabe citar, sin ánimo de ser exhaustivos, la obligación de cumplir con los
principios fundamentales en materia de protección de datos: la obligación de garantizar
y, por tanto, de responder al ejercicio de los derechos de los interesados; la necesidad de
verificar las bases de legitimación para el tratamiento de datos personales; el deber de
adoptar medidas técnicas y organizativas apropiadas; la protección de los datos desde el
diseño y por defecto; la exigencia de velar porque los usos, los tratamientos y los accesos
a los datos personales se realicen cumpliendo el RGPD; responsabilidad de las
consecuencias que se puedan derivar de la actuación de los encargados de tratamiento
elegidos por él78.
Se debe destacar que al responsable no sólo se le exige la adopción de medidas que
persigan el cumplimiento de las obligaciones sino, también, la obtención de resultado.
Así, por ejemplo, el RGPD dispone:
“Debe quedar establecida la responsabilidad del responsable del tratamiento por
cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En
particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y
ha de poder demostrar la conformidad de las actividades de tratamiento con el presente
Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta
la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para
los derechos y libertades de las personas físicas”79.
Así, el artículo 5.2 RGPD señala respecto del cumplimiento de los principios por parte
del responsable que su obligación no sólo se centra en cumplir con los mismos sino,
también, en ser “capaz de demostrarlo («responsabilidad proactiva»)”. Igual
consideración merece lo dispuesto en el artículo 8.2 RGPD cuando concreta las
obligaciones respecto del consentimiento de los niños en relación con los servicios de la
sociedad de la información, en donde se exige a los responsables que realice “esfuerzos
razonables para verificar en tales casos que el consentimiento fue dado o autorizado por
77 Artículo 4 RGPD
78 Artículo 24 y ss RGPD
79 Considerando 74 RGPD
43
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
80 Artículo 4 RGPD
81 Téngase presente las “Directrices para la elaboración de contratos entre responsables y encargados del
tratamiento” de la AEPD, de fecha 16 de mayo de 2018
44
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
responsable. El tratamiento por un encargado debe regirse por un contrato u otro acto
jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al
encargado con el responsable, que fije el objeto y la duración del tratamiento, la
naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de
interesados, habida cuenta de las funciones y responsabilidades específicas del
encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los
derechos y libertades del interesado. El responsable y el encargado pueden optar por
basarse en un contrato individual o en cláusulas contractuales tipo que adopte
directamente la Comisión o que primero adopte una autoridad de control de conformidad
con el mecanismo de coherencia y posteriormente la Comisión. Una vez finalizado el
tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver
o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados
miembros aplicable al encargado del tratamiento obligue a conservar los datos”82. Los
artículos 28 y ss del RGPD articulan el régimen aplicable a estos sujetos.
Finalmente señalar que si un encargado del tratamiento cuenta con establecimientos en
más de un Estado miembro, su establecimiento principal será el lugar de su
administración central en la Unión o, si careciera de esta, el establecimiento del encargado
en la Unión en el que se realicen las principales actividades de tratamiento en el contexto
de las actividades de un establecimiento del encargado en la medida en que el encargado
esté sujeto a obligaciones específicas con arreglo al presente Reglamento83.
Cuando el responsable o el encargado del tratamiento se encuentren radicados fuera de la
Unión Europea, la empresa obligatoriamente debe designar por escrito a un
representante establecido en uno de los Estados miembros en los que se encuentren los
interesados cuyos datos personales se traten en el contexto de una oferta de bienes o
servicios, o cuyo comportamiento esté siendo controlado 84 . Los “representantes” se
definen en el RGPD como
“las persona física o jurídica establecida en la Unión que, habiendo sido designada por
escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27,
45
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
46
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
desempeño de estas funciones y para ello deben facilitarle los recursos necesarios para el
desempeño de aquellas así como el acceso a los datos personales y a las operaciones de
tratamiento, y para el mantenimiento de sus conocimientos especializados88.
Finalmente, los interesados pueden contactar con el delegado para todas las cuestiones
relativas a protección de datos y el mismo.
El RGPD recoge una serie de principios que deben inspirar todas las decisiones que se
tomen en el tratamiento de datos. Se trata de principios que deben orientar a todos los
sujetos que tratan datos tanto en la interpretación como en la aplicación de la normativa
sobre protección de datos. En ningún caso estos principios determinan el cumplimiento
de una obligación en sí misma. Es importante destacar que la limitación a los principios
sólo es posible si se establece en una norma con rango de ley y se cumple con las tres
condiciones siguientes:
a) sirve a un fin legítimo
b) es una medida necesaria y
c) es proporcionada en una sociedad democrática89.
88 Artículo 38 RGPD
89 Artículo 23.1 RGPD
90 Véase al respecto las Directrices sobre la transparencia en virtud del RGPD, adoptadas el 11 de abril de 2018(WP
47
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Los sujetos que intervienen en el tratamiento de los datos no sólo deben cumplir los
mismos sino, también, demostrar su cumplimiento -responsabilidad proactiva-94.
La LOPDGDD dedica el Título II a los principios de protección de datos,–artículos 4 a
10- y señala en la Exposición de Motivos que los principios de protección de datos no
serán imputables al responsable del tratamiento, siempre que este haya adoptado todas
las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de
los datos obtenidos directamente del afectado, cuando hubiera recibido los datos de otro
responsable en virtud del ejercicio por el afectado del derecho a la portabilidad, o cuando
el responsable los obtuviese del mediador o intermediario cuando las normas aplicables
al sector de actividad al que pertenezca el responsable del tratamiento establezcan la
posibilidad de intervención de un intermediario o mediador o cuando los datos hubiesen
sido obtenidos de un registro público. También se recoge expresamente el deber de
confidencialidad.
Toda persona que obtenga y use datos personales debe, obligatoriamente, justificar su
tratamiento en algunas de las bases jurídicas legitimadoras del tratamiento que recoge el
RGPD. El mismo señala que todo tratamiento de datos es lícito si cuenta con el
consentimiento del interesado o cuenta con alguna otra base legítima establecida
conforme a Derecho recogida en el RGPD o en la normativa de los Estados miembros95.
El artículo 6 RGPD concreta las bases legitimadoras al señalar que sólo es lícito el
48
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Como señala el RGPD “La protección efectiva de los datos personales en la Unión exige
que se refuercen y especifiquen los derechos de los interesados y las obligaciones de
96 Téngase presente las Directrices sobre el consentimiento RGPD (WP 259 rev.01) del Grupo de Trabajo del artículo
29, adoptadas el 10 de abril de 2018.
97 Véase al respecto el Dictamen 6/2014 sobre el concepto de interés legítimo del responsable del tratamiento (WP 217)
49
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
99 Considerando 11 RGPD
100 Véase al respecto los artículos 12.5 y 15.3 RGPD y 13 LOPDyGDD
101 Considerando 59 RGPD
102 Artículos 13 y 14 RGPD y 11 LOPDyGDD
103 Artículo 15 RGPD y 13 LOPDyGDD
104 Artículo 16 RGPD y 14 LOPDyGDD
105 Artículo 17 RGPD y 15 LOPDyGDD
106 Artículo 18 RGPD y 16 LOPDyGDD
107 Artículo 20 RGPD y 17 LOPDyGDD. También puede consultarse las Directrices sobre el derecho a la portabilidad
de los datos, adoptada el 5 de abril de 2017 (WP 242 rev.01), del Grupo de Trabajo del artículo 29
50
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
La Unión Europea o los Estados miembros pueden, a través del Derecho, imponer
restricciones a los principios y a los derechos reconocidos en el RGPD siempre que la
medida se demuestre “necesaria y proporcionada” en una sociedad democrática y se
ajuste a lo dispuesto en la Carta y en el Convenio Europeo de Protección de los Derechos
Humanos y de las Libertades Fundamentales110.
Los supuestos en los que es posible adoptar estas restricciones son diversos y se
encuentran recogidos a lo largo del RGPD dentro de los que es posible mencionar:
a) Salvaguarda de la seguridad pública, incluida la protección de la vida humana,
especialmente en respuesta a catástrofes naturales o de origen humano
b) Prevención, investigación y el enjuiciamiento de infracciones penales o de
violaciones de normas deontológicas en las profesiones reguladas y su prevención
c) Otros objetivos importantes de interés público general de la Unión o de un Estado
miembro, en particular un importante interés económico o financiero de la Unión o de un
Estado miembro,
d) La llevanza de registros públicos por razones de interés público general,
e) El tratamiento ulterior de datos personales archivados para ofrecer información
específica relacionada con el comportamiento político durante los regímenes de antiguos
Estados totalitarios, o la protección del interesado o de los derechos y libertades de otros,
incluida la protección social, la salud pública y los fines humanitarios.
108 Artículos 21 y 22 RGPD y 18 LOPDyGDD. Véase también las Directrices sobre decisiones individuales
automatizadas y elaboración de perfiles a los efectos del RGPD, adoptada el 6 de febrero de 2018 (WP 251 rev.01), del
Grupo de Trabajo del artículo 29
109 Artículo 82 RGPD
110 Considerando 73 RGPD
51
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
Una de las novedades más importantes del RGPD, es la inclusión del principio de
responsabilidad proactiva que obliga al responsable, no sólo a cumplir con los principios
que recoge el RGPD, sino también, que debe ser capaz de demostrar su cumplimiento.
Este principio se encuentra recogido en el artículo 5 del RGPD en los siguientes términos:
”El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el
apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).”
Por su parte, el artículo 32 del RGPD establece que las medidas técnicas y organizativas
apropiadas para garantizar el nivel de seguridad adecuado al riesgo se deben definir en
función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el
contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad
variables para los derechos y libertades de las personas.
De lo anterior se deduce que el RGPD no establece medidas de seguridad estáticas y será
al responsable a quien le corresponda determinar aquellas que resulten necesarias para
garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales.
Es así que un mismo tratamiento de datos puede implicar medidas de seguridad distintas
en función de las especificidades concretas en las que tiene lugar dicho tratamiento de
datos. Para garantizar la confidencialidad, la integridad y la disponibilidad de los datos
se deben por tanto adoptar alguna de las medidas, de índole técnica y de índole
organizativa que recoge el RGPD y que son:
52
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
53
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
118 Así lo establece el art. 49 del Reglamento (UE) 2018/1725 de protección de datos de las instituciones de la UE.
54
Asignatura: Derecho de las Tecnologías de la Información
Lección 2: Protección de Datos: régimen general
55