TEMA 2

REGULACIÓN EUROPEA SOBRE

PROTECCIÓN DE DATOS
 2

1. LA PROTECCIÓN DE DATOS EN EUROPA

Desde mediados de los años sesenta se constata en Europa la importancia del uso de
las telecomunicaciones, así como la necesidad de una legislación que unifique pretensiones
y especialmente que ofrezca un conjunto de medios de protección de los derechos y
libertades fundamentales. Afortunadamente, a este ámbito de actuación, tanto del Consejo
de Europa, como de la Unión Europea, se le pueden formular pocos reproches, y conviene
destacar que si bien es frecuente que la legislación genérica de la Unión Europea suele ser
de mínimos, en la protección de datos, puede afirmarse con rotundidad que ha supuesto que
los Estados miembros hayan ido elevando progresivamente su nivel de protección,
produciendo un efecto homogeneizador de los medios de protección y de los mecanismos
para la eficacia de los derechos.
Ingente sería la tarea de traer a estudio todas las normas relativas en algo a la
protección de datos, o de forma más genérica, referente a las telecomunicaciones. Por ello
procedemos al análisis de las troncales, en la idea de ofrecer un panorama tanto de la
evolución, como de la regulación vigente, de lo más significativo dentro de la protección de
datos de carácter personal.
El primer texto de derechos y libertades fundamentales en el ámbito europeo es el
Convenio Europeo de Derechos Humanos1. En su artículo 8 se regula el derecho a la vida
privada y familiar.

“1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su

domicilio y de su correspondencia.
2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho,
sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida
que, en una sociedad democrática, sea necesaria para la seguridad nacional, la
seguridad pública, el bienestar económico del país, la defensa del orden y la
prevención del delito, la protección de la salud o de la moral, o la protección de los
derechos y las libertades de los demás”.

También la Carta de Derechos Fundamentales de la Unión Europea2, establece

en su art. 8, relativo a los datos de carácter personal, lo siguiente:

“1. Toda persona tiene derecho a la protección de los datos de carácter personal que
la conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del
consentimiento de la persona afectada o en virtud de otro fundamento legítimo
previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que
la conciernan y a obtener su rectificación.
3. El respeto de estas normas estará sujeto al control de una autoridad”.

1
Aprobado en Roma el 4 de noviembre de 1950. Publicación en España en el BOE número 243, de 10 de
octubre de 1979.
2
Estrasburgo, 12/12/2007. Publicada en el Diario Oficial de la Unión Europea Nº. C. 303, de 14/12/2007.
 3

Por su parte, el Tratado de Funcionamiento de la Unión Europea 3 regula la

protección de datos en su art. 16, con la siguiente redacción:

“1. Toda persona tiene derecho a la protección de los datos de carácter personal que
le conciernan.
2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento
legislativo ordinario, las normas sobre protección de las personas físicas respecto del
tratamiento de datos de carácter personal por las instituciones, órganos y organismos
de la Unión, así como por los Estados miembros en el ejercicio de las actividades
comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre
circulación de estos datos. El respeto de dichas normas estará sometido al control de
autoridades independientes.”

2. EL CONVENIO DE 28 DE ENERO DE 1981 DEL CONSEJO DE EUROPA4

La inquietud de las organizaciones supranacionales por el respeto a los derechos de

la personalidad, así como por las disfunciones sociales que los nuevos medios tecnológicos
pueden producir, tuvo su plasmación en el Convenio nº 108 del Consejo de Europa. Este
texto establece una serie de principios básicos para la protección de datos, señala criterios
que regulan su flujo y crea un Comité Consultivo, a quien se encomienda la formulación de
propuestas para mejorar la aplicación del Convenio, constituyéndose en la primera norma
del Consejo de Europa relativa a la protección de datos.
Su contenido puede resumirse en base a los principios que establece, los cuales se
entienden como imperativos para aquellos Estados que lo ratifican. Tienen la genérica
pretensión, como indica la Introducción del propio Convenio, de “reforzar la protección de
datos, es decir, la protección jurídica de los individuos con relación al tratamiento
automatizado de datos de carácter personal que les conciernen”.
Vista la pretensión final del Convenio, analizamos los principios en los cuales se
resume su contenido5.
- Principio finalista: la finalidad justificativa de la creación del banco de datos debe
estar definida y habrá de darse antes de ponerse en funcionamiento, con objeto de
que sea constatable en todo momento:
a) Si los datos recogidos y registrados tienen relación con el objetivo por el
que fue creado el fichero (pertinencia de los datos).
b) Si la información se utiliza para un fin distinto del propio banco de datos
(principio de utilización no abusiva).
c) Si el tiempo durante el que se conservan los datos no excede del que
normalmente se necesita para conseguir la finalidad para la cual fueron
registrados (principio del derecho de olvido).
- Principio de lealtad: La recopilación de información ha de realizarse por medios
lícitos.
- Principio de exactitud: Todo responsable de un banco de datos, tiene la obligación
de comprobar la exactitud de los datos registrados, a la vez que es responsable de su
actualización.

3
DOUE núm. 306, de 17 de diciembre de 2007.
4
Ratificado por España el 27 de enero de 1984 (BOE nº 274 de 15 de noviembre de 1985).
5
Seguimos en este resumen de principios la exposición de Louis Joinet, en su obra Informatique et droits de
l’homme. Recueil des Cours. Institute Internacional des droits de l’homme. Estrasburgo 2 - 27 julio de 1984,
páginas 6 y siguientes.
 4

- Principio de publicidad: Ha de existir un registro público de los ficheros

automatizados.
- Principio de acceso individual: Cualquier persona tiene derecho a conocer si los
datos que le conciernen son objeto de tratamiento informatizado y, si así fuera, a
obtener copia de ellos. También cabe la posibilidad de rectificación si los datos
fueran erróneos o inexactos.
- Principio de seguridad: Las bases de datos han de estar protegidas en todos sus
ámbitos.
A estos principios recogidos en el Capítulo II del Convenio hay que añadir el
contenido en el artículo 6 que especifica que “los datos de carácter personal que revelen el
origen racial, las opiniones políticas, las condiciones religiosas u otras convicciones, así
como los datos de carácter personal relativos a la salud o la vida sexual, no podrán tratarse
automáticamente a menos que el derecho interno prevea garantías apropiadas. La misma
norma regirá en el caso de datos de carácter personal referentes a condenas penales”.
Además de todo lo manifestado el texto expresa el compromiso de las partes
contratantes de establecer un régimen de recursos y sanciones que hagan efectivo estos
principios.
Con el contenido del Convenio que analizamos, quedaba ya en 1981 establecido el
marco genérico de protección de la persona frente a las posibles intromisiones en su
intimidad, o la lesión de derechos de la personalidad de forma más genérica, por parte de la
informática. Pese a todo, la evolución en este aspecto tan significativo de las relaciones
sociales, y capital en la evolución tecnológica y las posibilidades que se abren a partir de la
generalización del uso de internet, harán necesarios otros desarrollos normativos, tanto en el
ámbito europeo, como nacional. Pero como hemos manifestado, la Unión Europea se
constituye en vanguardia normativa en la regulación de la protección de datos de carácter
personal.

3. ACUERDO DE SCHENGEN DE 14 DE JUNIO DE 19856

El citado Acuerdo tiene como esencialidad de su contenido disposiciones de los

órganos de la Unión Europea relativos a la supresión gradual de los controles en las fronteras
comunes. No obstante, los artículos 7 y 9 del citado texto pretenden la coordinación entre
Estados, al efecto de controlar y facilitar “los datos que puedan ser de interés para las otras
partes en la lucha contra la criminalidad” (art. 9). En definitiva, el Acuerdo de 1985 es un
elemento de coordinación interestatal, que afecta al tratamiento y protección de datos,
aunque no tenga un carácter concreto como lo tiene el Convenio de 1981, o el Reglamento
UE 2016/679, al respecto del tratamiento de datos personales.
El Acuerdo de Schengen no deja de ser un paso más en el contenido del art. 12 del
Convenio de 1981, en virtud del cual se regula el flujo transfronterizo de datos de carácter
personal. Con posterioridad, en 1995, la Directiva 95/46/CE, establecerá en su art. 25
idéntico contenido al respecto de la cesión internacional de datos a terceros países no
integrantes de la Unión Europea, y se ratificará por el Reglamento UE 2016/679.

4. REGLAMENTO DE LA UNIÓN EUROPEA 679/2016 (RGPD)

Denominado como Reglamento general de protección de datos, regula lo relativo a

la protección de las personas físicas en lo que respecta al tratamiento de datos personales y
a la libre circulación de estos datos, y deroga la Directiva 95/46/CE. Como manifiesta el

6
BOE. nº 181, de 30 de junio de 1991.
 5

considerando 2, se pretende por parte de la Unión Europea “… contribuir a la plena

realización de un espacio de libertad, seguridad y justicia y de una unión económica, al
progreso económico y social, al refuerzo y la convergencia de las economías dentro del
mercado interior, así como al bienestar de las personas físicas.”. Si bien la Directiva
95/46/CE había supuesto un avance significativo en la regulación europea, necesitaba de
actualizaciones, y singularmente planteaba el problema de su falta de coherencia y
homogeneidad en su desarrollo e interpretación en todos los Estados miembros. Como
establece el considerando 13, el Reglamento tiene como finalidad “ … garantizar un nivel
coherente de protección de las personas físicas en toda la Unión y evitar divergencias que
dificulten la libre circulación de datos personales dentro del mercado interior…”, a la vez
que pretende proporcionar “… seguridad jurídica y transparencia a los operadores
económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a
las personas físicas de todos los Estados miembros el mismo nivel de derechos y
obligaciones exigibles y de responsabilidades para los responsables y encargados del
tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos
personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación
efectiva entre las autoridades de control de los diferentes Estados miembros”.

La titularidad del derecho se la atribuye el Reglamento en su art. 1 únicamente a las

personas físicas, independientemente de su nacionalidad o de su lugar de residencia. Se
excluye, por tanto, a las personas jurídicas y a los fallecidos.

Respecto del ámbito de aplicación material, el art. 2 establece que se aplica “al
tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento
no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.
No siendo de aplicación el Reglamento en los siguientes casos:

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del

Derecho de la Unión;

b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas
en el ámbito de aplicación del capítulo 2 del título V del TUE (control de fronteras,
asilo e inmigración);

c) efectuado por una persona física en el ejercicio de actividades exclusivamente

personales o domésticas;

d) por parte de las autoridades competentes con fines de prevención, investigación,

detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones
penales, incluida la de protección frente a amenazas a la seguridad pública y su
prevención.

Otra cuestión importante que viene a resolver el Reglamento es la delimitación del

ámbito territorial de vigencia, que había supuesto la exención de determinadas actividades
empresariales del sometimiento a la normativa europea sobre protección de datos, y que en
virtud del art. 3, ahora “se aplica al tratamiento de datos personales en el contexto de las
actividades de un establecimiento del responsable o del encargado en la Unión,
independientemente de que el tratamiento tenga lugar en la Unión o no”. A este
sometimiento en razón de la actividad, se suma otro en función del sujeto, en este caso
denominado interesado, siempre que esté establecido en la Unión, aunque el encargado o
 6

responsable no esté establecido en la Unión, siempre y cuando las actividades estén

relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión,

independientemente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

En relación con los principios, el Reglamento los regula en su art. 5 con el siguiente
contenido:

1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad
y transparencia)

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente

de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el
tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de
investigación científica e histórica o fines estadísticos no se considerará incompatible con
los fines iniciales (limitación de la finalidad)

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que
son tratados (minimización de datos)

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para
que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con
respecto a los fines para los que se tratan (exactitud y actualización)

e) mantenidos de forma que se permita la identificación de los interesados durante no más

tiempo del necesario para los fines del tratamiento de los datos personales; los datos
personales podrán conservarse durante períodos más largos siempre que se traten
exclusivamente con fines de archivo en interés público, fines de investigación científica o
histórica o fines estadísticos. (limitación del plazo de conservación)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales,
incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida,
destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas
apropiadas (seguridad, integridad y confidencialidad).

El apartado 2 del art. que venimos citando establece que el responsable del
tratamiento será el obligado al cumplimiento de lo dispuesto en el apartado 1 y capaz de
demostrarlo, a lo que se denomina responsabilidad proactiva.

Los artículos 6 y 7 del Reglamento explicitan aspectos relativos a estos principios, y

de forma concreta la licitud del tratamiento y el consentimiento, que analizamos
brevemente. Respecto a la licitud, el art. 6 establece que sólo será lícito el tratamiento que
cumple al menos una de las siguientes condiciones:
 7

a) el interesado dio su consentimiento para el tratamiento de sus datos personales

para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado

es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable

al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra

persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés

público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos

por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño. Este apartado no es de aplicación al tratamiento realizado por
las autoridades públicas en el ejercicio de sus funciones.

El art. 6.2 habilita a los Estados miembros a introducir disposiciones más específicas
a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al
tratamiento en cumplimiento de los apartados c) y e), pudiendo fijar de manera más precisa
requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y
equitativo.

En relación al consentimiento, aspecto troncal en el tratamiento de protección de

datos, el art. 7 establece las condiciones necesarias para su prestación. La primera de ellas
se concreta en que si el tratamiento se basa en el consentimiento del interesado, el
responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos
personales. Además, si el consentimiento del interesado se da en el contexto de una
declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se
presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible
y de fácil acceso y utilizando un lenguaje claro y sencillo (art. 7.2). El consentimiento puede
retirarse en cualquier momento, si bien ello no afectará a la licitud del tratamiento basada en
el consentimiento previo a su retirada. También se establece que la retirada del
consentimiento será tan fácil como darlo. Por último, el apartado 4 del artículo 7 establece
que al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor
medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la
prestación de un servicio, se supedita al consentimiento del tratamiento de datos personales
que no son necesarios para la ejecución de dicho contrato.

Es destacable también, en el contenido del Reglamento UE 2016/679 la regulación

de los derechos de los interesados, que resumimos:

El interesado puede solicitar al responsable del tratamiento, y éste tiene la obligación

de facilitar, los siguientes datos en virtud del art. 13:
 8

a) la identidad y los datos de contacto del responsable y, en su caso, de su

representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses

legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su

caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer

país u organización internacional y la existencia o ausencia de una decisión de
adecuación de la Comisión, o, en el caso de las transferencias indicadas en los
artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las
garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al
hecho de que se hayan prestado.

También está obligado el responsable del tratamiento en el supuesto de que los datos
no se hayan obtenido del interesado, a facilitar la siguiente información: la identidad y los
datos de contacto del responsable, los datos de contacto del delegado de protección de datos,
los fines del tratamiento, las categorías de datos personales de que se trate y los destinatarios.

El art. 15 regula el derecho de acceso del interesado, estando obligado el responsable

del tratamiento a confirmarle si se están tratando o no datos que le conciernan. De existir
tratamiento, el interesado tiene derecho a conocer la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán

comunicados los datos personales, en particular destinatarios en terceros (países) u
organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no

ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de

datos personales o la limitación del tratamiento de datos personales relativos al
interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier

información disponible sobre su origen;
 9

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a

que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado.

El acceso a esta información se realiza mediante copia, por la cual puede cobrarse
precio, que en todo caso habrá de ser razonable y estando justificado por los costes
administrativos de facilitarla. La copia se dará en formato electrónico de uso común.

El derecho de rectificación se regula en el art. 16, estableciendo que “El interesado

tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la
rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los
fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales
que sean incompletos, inclusive mediante una declaración adicional”.

El art. 17 introduce una novedad con respecto a la Directiva 95/46/CE, producto de

la jurisprudencia del TJUE7 y es una regulación concreta del derecho de supresión, más
conocido como derecho al olvido. De esta forma el interesado tendrá derecho a obtener sin
dilación indebida del responsable del tratamiento la supresión de los datos personales que le
conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales
cuando concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que
fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad

con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se
base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no

prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al
tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación

legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique
al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la

sociedad de la información mencionados en el artículo 8, apartado 1.

Otro de los derechos de los interesados que regula el Reglamento es el de la

limitación del tratamiento. El art. 18 establece que el interesado tendrá derecho a obtener
del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla
alguna de las condiciones siguientes:

7
STJUE de 13 de mayo de 2014.
 10

a) el interesado impugne la exactitud de los datos personales, durante un plazo que

permita al responsable verificar la exactitud de los mismos;

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos

personales y solicite en su lugar la limitación de su uso;

c) el responsable ya no necesite los datos personales para los fines del tratamiento,
pero el interesado los necesite para la formulación, el ejercicio o la defensa de
reclamaciones;

d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1,

mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del
interesado.

Otra novedad introducida por el Reglamento respecto de la Directiva 95/46/CE viene

constituida por la regulación de la denominada portabilidad de los datos, regulada en el
art. 20 y que consiste en la posibilidad de que el interesado tendrá derecho a recibir los datos
personales que le incumban, que haya facilitado a un responsable del tratamiento, en un
formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable
del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, siempre y
cuando exista consentimiento y el tratamiento se realice por medios automatizados, y
siempre y cuando no se vulnere el derecho al olvido, se realice en interés público o por
poderes públicos, y no afecte negativamente a derechos y libertades de terceros.

El art. 21 regula el derecho de oposición del interesado al tratamiento, pudiéndolo

hacer en cualquier momento. Ello obliga al responsable del tratamiento a dejar de tratar los
datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que
prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la
formulación, el ejercicio, o la defensa de reclamaciones. Cuando el tratamiento de datos
personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse
en todo momento al tratamiento de los datos personales que le conciernan, incluida la
elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.

Por último, el art. 22 prohíbe las decisiones individuales automatizadas, incluida

la elaboración de perfiles, y de forma concreta se establece que “Todo interesado tendrá
derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado,
incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte
significativamente de modo similar”. Se excepciona de este contenido cuando la decisión
individualizada o la elaboración de perfiles es necesaria para la celebración o la ejecución
de un contrato entre el interesado y un responsable del tratamiento, hay consentimiento
explícito, o lo permite el Derecho de la Unión Europea o los Estados miembros.

Los derechos de los interesados están sometidos a límites en su ejercicio. Se

establecen en el art. 23. Los límites deben constituirse en una medida necesaria y
proporcionada en una sociedad democrática, y de forma concreta son:

a) la seguridad del Estado;

b) la defensa;
 11

c) la seguridad pública;

d) la prevención, investigación, detección o enjuiciamiento de infracciones penales

o la ejecución de sanciones penales, incluida la protección frente a amenazas a la
seguridad pública y su prevención;

e) otros objetivos importantes de interés público general de la Unión o de un Estado

miembro, en particular un interés económico o financiero importante de la Unión o
de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario,
la sanidad pública y la seguridad social;

f) la protección de la independencia judicial y de los procedimientos judiciales;

g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de

normas deontológicas en las profesiones reguladas;

h) una función de supervisión, inspección o reglamentación vinculada, incluso

ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados
en las letras a) a e) y g);

i) la protección del interesado o de los derechos y libertades de otros;

j) la ejecución de demandas civiles.

5. EL REGLAMENTO 1725/2018 DE LA UNIÓN EUROPEA

El Reglamento General de Protección de Datos de la UE establece la obligación de

actualizar el Reglamento 45/2001, en virtud del cual se regulaba el derecho a la protección
de datos de carácter personal en la actividad de las instituciones y organismos de la UE. Este
mandato se cumple en 2018 con la aprobación del Reglamento 1725 de 2018, y se hace
siguiendo los contenidos del RGPD, los cuales reproduce en gran parte de sus contenidos.
Por ello analizamos dos grandes bloques del mismo: el primero viene constituido por los
principios por los que deben regirse las instituciones y organismos de la UE en su tratamiento
de datos; la segunda parte objeto de análisis es la regulación del Supervisor Europeo de
Protección de Datos, que se constituye en la parte más relevante del Reglamento que
analizamos.

El art. 4 del Reglamento establece los principios relativos al tratamiento de datos personales
con el siguiente texto:

1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad
y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente
de manera incompatible con dichos fines; de acuerdo con el artículo 13, el tratamiento
ulterior de los datos personales con fines de archivo en interés público, fines de
investigación científica e histórica o fines estadísticos no se considerará incompatible con
los fines iniciales («limitación de la finalidad»);
 12

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que
son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para
que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con
respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más
tiempo del necesario para los fines del tratamiento de los datos personales; los datos
personales podrán conservarse durante períodos más largos siempre que se traten
exclusivamente con fines de archivo en interés público, fines de investigación científica o
histórica o fines estadísticos, de conformidad con el artículo 13, sin perjuicio de la
aplicación de las medidas técnicas y organizativas apropiadas que impone el presente
Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo
de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales,
incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida,
destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas
apropiadas («integridad y confidencialidad»).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el

apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

Los artículos 7 y 8 regulan la prestación del consentimiento, el primero de ellos de forma

genérica, y el segundo de forma específica referida a los menores. El art. 7 establece:

Condiciones para el consentimiento

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá

ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se presta en el contexto de una declaración escrita

que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal
forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso
y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración
que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a revocar su consentimiento en cualquier momento. La

revocación del consentimiento no afectará a la licitud del tratamiento basada en el
consentimiento previo a su revocación. Antes de prestar su consentimiento, el interesado
será informado de ello. Será tan fácil revocar el consentimiento como prestarlo.

4. Al evaluar si el consentimiento se ha prestado libremente, se tendrá en cuenta en la mayor

medida posible el hecho de si, entre otras cosas, el cumplimiento de un contrato, incluida la
prestación de un servicio, se supedita a consentir el tratamiento de datos personales que son
innecesarios para el cumplimiento de dicho contrato.

Respecto a los menores, el art. 8 establece las condiciones aplicables al consentimiento del
niño en relación con los servicios de la sociedad de la información

1. Cuando se aplique el artículo 5, apartado 1, letra d), en relación con la oferta directa a
niños de servicios de la sociedad de la información, el tratamiento de los datos personales
 13

de un niño se considerará lícito cuando tenga como mínimo 13 años. Si el niño es menor de
13 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo prestó o
autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se
prestó o autorizó.

2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que
el consentimiento fue prestado o autorizado por el titular de la patria potestad o tutela sobre
el niño, teniendo en cuenta la tecnología disponible.

3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los

Estados miembros, como las normas relativas a la validez, formación o efectos de un
contrato en relación con un niño.

Es probable que el contenido de mayor virtualidad del Reglamento 1725/2018 sea la

regulación del Supervisor Europeo de Protección de Datos, que se realiza en el Capítulo VI.
Su principal función es la establecida en el art. 52 “…velará porque los derechos y libertades
fundamentales de las personas físicas, en particular el derecho de las mismas a la protección
de datos, sean respetados por las instituciones y organismos de la Unión”. El apartado 3 del
artículo que venimos citando establece además que “… garantizará y supervisará la
aplicación de las disposiciones del presente Reglamento y de cualquier otro acto de la Unión
relacionado con la protección de los derechos y libertades fundamentales de las personas
físicas en lo que respecta al tratamiento de datos personales por parte de una institución u
organismo de la Unión, y asesorará a las instituciones y organismos de la Unión, así como a
los interesados, en todas las cuestiones relacionadas con el tratamiento de datos personales”8.

6. DIRECTIVA 58/2002/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO

Esta norma deroga la Directiva 97/66, de 15 de diciembre de 1997, dado que la

evolución tecnológica la había envejecido de forma significativa. Se transpone al
ordenamiento jurídico español a través de Real Decreto 424/2005, de 15 de abril, y
parcialmente también a través de la Ley 32/2003, de 3 de noviembre, de
Telecomunicaciones.

Recoge esta Directiva normas relativas al tratamiento de datos personales y a la

protección de la intimidad en el sector de las comunicaciones electrónicas. Su objetivo
principal es eliminar el envío de correos electrónicos no solicitados, lo que se conoce como
“spam”. Para ello, establece reglas que garanticen la seguridad y la confidencialidad de las
comunicaciones en redes electrónicas de la Unión Europea, incluidos internet y los servicios
móviles. Lo más significativo de la misma se concentra en los art. 5 y 6. El primero regula
la confidencialidad de las comunicaciones, estableciendo que “Los Estados miembros
garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones,
y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de
comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público.
En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de
intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por
personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo
cuando dichas personas estén autorizadas legalmente a hacerlo”. Por su parte, el art. 6

8
Se analiza esta institución de forma más destalla da en el Tema 12.
 14

establece obligaciones relativas a datos de tráfico, y de forma concreta que “ … los datos de
tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el
proveedor de una red pública de comunicaciones o de un servicio de comunicaciones
electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea
necesario a los efectos de la transmisión de una comunicación”. Continúa afirmando el
apartado dos de este mismo artículo que “Podrán ser tratados los datos de tráfico necesarios
a efectos de la facturación de los abonados y los pagos de las interconexiones. Se autorizará
este tratamiento únicamente hasta la expiración del plazo durante el cual pueda impugnarse
legalmente la factura o exigirse el pago”. En todo caso el proveedor del servicio deberá
informar al abonado o al usuario de los tipos de datos de tráfico que son tratados y de la
duración de este tratamiento.

Además, la Directiva pretende impedir que se camufle la identidad del remitente del
correo o la utilización de una dirección de expedición falsa. Como hemos manifestado, esta
norma se aplica también a los SMS (mensajes cortos a través de teléfonos móviles).
De igual forma, se regulan las condiciones relativas a las “cookies” (archivos que
llevan la orden de instalación en el disco duro de los ordenares personales cuando el usuario
se conecta a una página WEB). Lo mismo ocurre con los programas espías (spyware), que
no podrán recoger información sobre los usuarios de internet, ni tampoco utilizarla, sin
consentimiento de los mismos.
Por último, regula la Directiva la imposibilidad de explotar comercialmente los datos
relativos a localización generados por teléfonos móviles, si no es con consentimiento
explícito del usuario. Se excepciona de este contenido a los servicios de urgencia y a las
Fuerzas y Cuerpos de Seguridad del Estado, cuando prime la seguridad nacional o la
investigación criminal.

El Reglamento UE 2016/679, establece respecto de esta Directiva en su art. 95 que

su entrada en vigor “… no impondrá obligaciones adicionales a las personas físicas o
jurídicas en materia de tratamiento en el marco de la prestación de servicios públicos de
comunicaciones electrónicas en redes públicas de comunicación de la Unión en ámbitos en
los que estén sujetas a obligaciones específicas con el mismo objetivo establecidas en la
Directiva 2002/58/CE.”. No obstante, el Considerando 173 de la misma norma, establece
que “… para aclarar la relación entre el presente Reglamento y la Directiva 2002/58/CE, esta
última debe ser modificada en consecuencia. Una vez que se adopte el presente Reglamento,
debe revisarse la Directiva 2002/58/CE, en particular con objeto de garantizar la coherencia
con el presente Reglamento.