TEMA 3 – Protección de Datos

1. Protección de Datos. Introducción

Normativa: desarrollo normativo
• RGPD-2016 [Vigente]
o Reglamento General de Protección de Datos - Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo
o Reglamento 2016/679
o Entra en vigor 25/05/2016 (2 años en transitoriedad)
o Obligado cumplimiento desde el 25/05/2018
• LOPD-GDD-2018 [Vigente]
o Ley Orgánica 3/18 de 5 de diciembre, de Protección de Datos y Garantía de Derechos
Digitales
o LOPD-GDD 3/18
o Adecuación española del RGPD
o No es una transposición del RGPD - tiene como fin armonizar la legislación española con las
disposiciones ya vigentes del RGPD
o Completa al RGPD
• Disposición derogatoria única LOPD-GDD
Sin perjuicio de lo previsto en la disposición adicional decimocuarta y en la disposición transitoria
cuarta, queda derogada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.
[Deroga LOPD, excepto art. 22, 23 y 24]
o [Vigentes 3 artículos LOPD, de 49]
o Art.22. Ficheros de las Fuerzas y Cuerpos de Seguridad.
o Art.23. Excepciones a los derechos de acceso, rectificación y cancelación.
o Art.24. Otras excepciones a los derechos de los afectados.
Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango contradigan, se
opongan,o resulten incompatibles
[Deroga RDLOPD-2007 en todo lo que contradiga LOPD-GDD]

2. Datos Personales
Objeto y Ámbito material de la aplicación
• Datos de carácter personal: afecta a los registrados en soporte físico que los haga susceptibles de
tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado
• Excluye datos relativos a
o empresas, asociaciones, personas jurídicas (¿autónomos?)…
o Sí les afecta LOPD-GDD: tratamiento específico de datos  personas fallecidas  personas
vinculadas al fallecido pueden ejercer derechos de acceso / rectificación / supresión.
o ficheros mantenidos en el ámbito de actividades personales, etc.

Conceptos
• Datos Personales: Cualquier información (numérica, alfabética, gráfica, fotográfica, voz humana,
vídeo captado por cámaras de vigilancia o cualquier tipo de información) concerniente a personas
físicas identificadas o identificables
• Tipología
o Características Personales o Información comercial
o Económicos Financieros o Transacciones
o Información Médica o Otros datos personales
o Empleo
o Circunstancias sociales
o Académicos y profesionales
 • Datos no sensibles
o Datos identificativos
o Datos de situación laboral
o Datos de situación financiera
• Categorías especiales de datos
o Relativos a la salud o la vida sexual y/o orientación sexual
o Origen racial o étnico
o Opiniones políticas
o Convicciones religiosas o fisiológicas
o Afiliación sindical
o Datos genéticos
o Datos biométricos

Tratamiento de datos

• Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de

datos personales, ya sea por procedimiento automatizados o no
• Recogida / grabación / conservación / elaboración / modificación / bloqueo / cancelación / cesiones
de datos
• Comunicaciones
• Consultas
• Interconexiones
• Transferencias
• Videovigilancia
o Finalidad: preservar seguridad de personas, bienes e instalaciones
o Solo imágenes de vía pública o extensión superior. Nunca de domicilios
o Supresión de datos en el plazo de un mes desde su captación
▪ Salvo conservación para aclarar circunstancias a autoridades
o No se aplica si una persona capta imágenes del interior de su domicilio
▪ A menos que contrate a una empresa de seguridad privada con acceso a esas
imágenes
o Principio de información

Tratamientos específicos

• Ficheros de solvencia patrimonial (Sistemas de Información Crediticia)

o Tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias,
financieras o de crédito
• Datos de contacto, empresarios y profesiones liberales (personas jurídicas)
o Tradicionalmente se excluyen estos datos (personas jurídicas/autónomos)
o LOPD-GDD es de aplicación cuando traten datos personales necesarios para la localización
profesional del afectado y la finalidad sea el mantenimiento de relaciones con la persona
jurídica
• Sistemas de Exclusión Publicitaria (Listas Robinson)
o Tratamiento de datos través de sistemas de exclusión publicitaria, que deberán ser
consultados por los responsables de tratamientos de marketing directo
• Canal de denuncias internas
o Sistemas de canales de denuncias internas (whistleblowing), incorporando la posibilidad de
que las comunicaciones a través del canal de denuncias puedan realizarse de forma
anónima

Fichero de Datos

Todo conjunto de estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea
centralizado, descentralizado o repartido de forma funcional o geográfica
Responsable del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que,
solo o junto con otros, determine los fines y medios del tratamiento

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que
trate datos personales por cuenta del responsable del tratamiento

Delegado de Protección de Datos: persona, física o jurídica, especialista en protección de datos. Será
designado por el responsable y el encargado del tratamiento atendiendo a sus cualidades profesionales y,
en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de
datos

3. Principios relativos al tratamiento

Principios de la protección de datos personales:
1. Licitud, lealtad y transparencia
a. Los datos deben ser tratados de manera lícita, leal y transparente
b. Información previa al tratamiento sobre objeto y fines del tratamiento, consecuencia y
riesgos (transparencia)
c. Obligación legal para el responsable
d. Consentimiento del interesado
i. Libre, específico, informado e ”inequívoco” - A través de declaraciones o “claras
acciones afirmativas”
ii. Únicamente para mayores de 14 años
e. Consentimiento de menores de edad
i. Menores de 14 años: necesario consentimiento en que conste el titular de patria
potestad
2. Limitación de finalidad
a. Datos personales recogidos para fines determinados, explícitos y legítimos
b. No serán tratados posteriormente de manera incompatible con dichos fines
3. Minimización de datos
a. Adecuación y pertinencia, no excesivos para el ámbito y finalidades y limitados a lo
necesario
4. Exactitud
a. Exactos y actualizados
5. Limitación del plazo de conservación
a. Serán cancelados cuando dejen de ser necesarios para la finalidad
i. Serán borrados o, al menos, desprovistos de todo elemento que permita identificar
a los interesados
ii. EXCEPCIÓN: conservados durante el tiempo en que puedan exigirse
responsabilidades. Concluido el período, sólo podrán conservarse previa
disociación
6. Integridad y confidencialidad
a. Garantía de adecuada seguridad - protección contra tratamiento no autorizado, pérdida,
destrucción o daño accidental
b. Quienes gestionen datos personales deben actuar proactivamente con el objetivo de
protegerlos frente a cualquier riesgo que amenace su seguridad
7. Responsabilidad proactiva
a. Catálogo de medidas:
i. Análisis de riesgos
ii. Registro de actividades de tratamiento
iii. Protección de datos desde el diseño y por defecto
iv. Medidas de seguridad
v. Notificación de violaciones de seguridad
vi. Evaluación de impacto
vii. Delegado de protección de datos
 viii. Códigos de conducta y esquemas de certificación

4. Categorías especiales de Datos Personales

Categorías especiales
• Ideología, afiliación sindical, religión y creencias
• Origen racial, la salud y vida sexual / orientación sexual
• Datos biométricos
• Excepciones a la consideración de categoría especial:
o Consentimiento
o Habilitación en el ámbito del derecho laboral y de seguridad o protección social (Convenio
Colectivo)
o Tratamiento por parte de asociaciones, fundaciones, partidos políticos, sindicatos…
o Tratamiento para la protección de intereses vitales del afectado o un tercero
o Datos manifiestamente públicos (el interesado los ha hecho públicos)
o Tratamiento necesario por razones de interés público

Otros datos a considerar

• Condenas e infracciones penales, y medidas cautelares
o Bajo supervisión de autoridades públicas
• Infracciones y sanciones administrativas
o Solo en Administraciones Públicas competentes

5. Derechos
Catálogo tradicional (A.R.C.O.)con tres novedades:
• Información • Limitación del tratamiento
• Acceso • Portabilidad
• Rectificación • Oposición
• Derecho al borrado y al olvido
* A.R.C.O. = Acceso / Rectificación / Cancelación / Oposición

Previsiones sobre ejercicio de estos derechos

• Ejercicio gratuito
• Plazos de respuesta - 1 mes
o Prórroga otros 2 meses más en caso de complejidad
• Lenguaje claro e inteligible
• Obligación de “facilitar el ejercicio”
• Formas de ejercicio - Posible vía electrónica

Derecho de Información, sobre:

• Identidad y los datos de contacto del responsable y, en su caso, de su representante

• Datos de contacto del delegado de protección de datos
• Fines y base jurídica del tratamiento
• Intereses legítimos del responsable o de un tercero
• Destinatarios o las categorías de destinatarios de los datos personales
• Transferencias previstas
• Plazo de conservación
• Derechos de acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad

Derecho de Información en recogida de datos

• Los titulares de los datos deberán ser previamente informados de:

o Finalidad de la recogida
o Destinatarios de la información
o Carácter obligatorio o facultativo de la respuesta
 o Consecuencias de la obtención de los datos o de la negativa a suministrarlos
o Posibilidad de ejercitar los derechos de A.R.C.O. y demás derechos
o Identidad y dirección del Responsable del Tratamiento

Derecho de acceso

• Obtener copia de datos personales que son objeto de tratamiento

• Los fines del tratamiento.
• Las categorías de datos personales de que se trate
• Los destinatarios de los datos personales
• Al plazo de conservación de datos
• Cuando los datos personales no se hayan obtenido directamente del interesado, cualquier
información disponible sobre su origen
• Cuando los datos se transfieran un tercer país, derecho a ser informado

Derecho de Rectificación

• Rectificación de datos inexactos

• Completar datos personales que puedan estar incompletos (Solicitud indicando a qué nos
referimos, incluyendo documentación justificativa de inexactitud)

Derecho de Oposición

• En misiones de interés público o legítimo, incluido la elaboración de perfiles (salvo que existan
motivos imperiosos que prevalezcan sobre los motivos del interesado)
• Cuando el tratamiento tenga finalidad de mercadotecnia directa, incluida la elaboración de perfiles

Derecho al borrado y al olvido

• DERECHO AL BORRADO
o Cuando ya no son necesario para los fines para los que fueron recogidos
o Cuando se retira el consentimiento al responsable de tratamiento
o Cuando se ejercita el derecho de oposición
o En tratamiento de interés público o legítimo y no prevalecen otros motivos para
legitimar el tratamiento
o Que los datos sean objeto de mercadotecnia directa, incluyendo la elaboración de
perfiles
o Si los datos han sido tratados ilícitamente
o Por cumplimiento de una obligación legal en el Derecho de la Unión o de los Estados
miembros
• DERECHO AL OLVIDO - AEPD fue pionera
o Sentencia Tribunal de Justicia de la Unión Europea, 2014
o tratamiento de datos que realizan los motores de búsqueda de internet, como Google,
Bing o Yahoo, está sometido a las normas de protección de datos de la Unión Europea
o los ciudadanos pueden solicitar, bajo ciertas condiciones, que los enlaces a sus datos
personales no aparezcan en los resultados de una búsqueda realizada por su nombre y
apellidos
o Derecho de cualquier ciudadano Europeo a impedir la difusión de sus datos de carácter
personal a través de internet. Supone el ejercicio del derecho de cancelación y/o
oposición a la publicación de los datos cuando no son pertinentes o ya han dejado de
tener relevancia o interés público en relación a la finalidad por la que se recabaron o
publicaron y la difusión de dicha información causa o pueda causar una lesión a los
derechos de las personas.
o La Agencia Española de Protección de Datos, encargada de velar por la protección de
datos personales de los ciudadanos Españoles estima que ese derecho se puede ejercer
frente a información obtenida a través de buscadores.
• Borrado de fotos y vídeos de internet
 o Fotos y vídeos  son datos personales - derecho de supresión
• Solicitar el borrado a quien los ha subido a internet
o Acreditando la identidad del propietario de datos personales
o Indicando los enlaces a fotos/vídeos
o Si no responden o la respuesta es insatisfactoria - reclamación AEPD
• RRSS ofrecen servicios de ayuda, formularios…
• Redes sociales: ámbito puramente personal. EXCEPTO
o El usuario actúe en la Red Social como empresa o asociación.
o El usuario facilita el acceso a la información más allá de los “amigos” elegidos
o El usuario no garantice los derechos de terceros en relación a los datos sensibles. 59
o Si el usuario tiene una lista “desmesurada” de amigos - protección de datos

Derecho de limitación del tratamiento

• Nuevo derecho en protección de datos

• Si el interesado quiere borrar/oponer/rectificar sus datos personales pero algún motivo legal lo
impide, éste puede solicitar la limitación del tratamiento, durante el plazo:
o Que permita al responsable la verificación de los datos (rectificar o borrar)
o Que permita determinar si unos motivos prevalecen sobre otros (oposición)
o Cuando el responsable ya no necesite los datos personales para los fines del
tratamiento, pero el interesado los necesite para reclamaciones (conservación)

Derecho de Portabilidad

• Nuevo derecho en protección de datos

• Control sobre los propios datos personales y su cesión
• Derecho a recibir los datos personales del interesado
• Que haya facilitado a un responsable del tratamiento
• Recibirlos en un formato estructurado, de uso habitual y de lectura mecánica:
o hoja de cálculo, CSV…
o PDF, imagen…
• Y derecho a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable del
tratamiento al que se hubieran facilitado los datos

6. Responsabilidad proactiva
Principios: 7. Responsabilidad proactiva

Catálogo de medidas:
Análisis de riesgos

• Antes de implementar medidas de seguridad

• Permite controlar la incertidumbre sobre una amenaza
• Determina si procede realizar la Evaluación de impacto
• Identificación y evaluación del riesgo
• Medidas para evitarlo o reducir su impacto (Medidas de seguridad)
• Posibles riesgos
o Posibles situaciones de discriminación, usurpación de identidad o fraude, pérdidas
financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al
secreto profesional, reversión no autorizada de la seudonimización o cualquier otro
perjuicio económico, moral o social significativo para los afectados
o Posible privación de derechos y libertades o del control sobre los datos
o Tratamiento de categorías especiales de datos
o Evaluación de aspectos personales de los afectados para creación de perfiles
o Afectados en situación de especial vulnerabilidad
o Tratamiento masivo de datos
 o Transferencia internacional a Estados sin nivel adecuado de protección
Registro de actividades de tratamiento

• Control del almacenamiento, usuarios, soportes y acceso a los datos

o Identificación de responsables de tratamientos de datos y delegado de protección de
datos
o Fines de tratamiento
o Categorías de interesados y categorías de datos
o Transferencias a un tercer país - documentación de garantía adecuada
Protección de datos desde el diseño y por defecto

• “Privacidad por diseño”

o Objetivo: cumplir los requisitos definidos en el RGPD
o Protección de datos desde las primeras fases de concepción de un proyecto
• “Privacidad por defecto”
o Objetivo: que solo se traten los datos personales que sean estrictamente necesarios
para cada uno de los fines de tratamiento
▪ Compartimentar el acceso a datos:
• NO Todos los tratamientos de una aplicación acceden a todos los datos
• SI Cada tratamiento accede exclusivamente a un subconjunto de datos
pertinente
Medidas de seguridad

• Evitar accesos no autorizados

• Realizar copias de seguridad
• La seudonimización y el cifrado de datos
• Control de acceso a almacenamiento y soportes
• Gestión de inventariado de dispositivos y soportes
• Uso de herramientas antifraude y antimalware

Notificación de violaciones de seguridad

• Violación de la seguridad de datos personales: todo incidente de seguridad que ocasione la

destrucción, pérdida, alteración accidental o ilícita de datos personales transmitidos,
conservados o tratado de otra forma, o la comunicación o acceso no autorizados a dichos datos
• Violación de seguridad:
o Destrucción o Pérdida
o Daño o Tratamiento no lícito
• Análisis y clasificación
o Tipo de amenaza o Sistemas afectados
o Origen o Usuarios afectados
o Impacto en la organización
▪ Nivel de criticidad
▪ Naturaleza y categoría de datos personales
▪ Volumen (datos / usuarios / sistemas)
o Requerimientos legales y regulatorios
Evaluación de impacto
Como mínimo:
• Descripción sistemática de operaciones de tratamiento previstas y fines del tratamiento
• Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad
• Una evaluación de los riesgos para los derechos y libertades de los interesados
 • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y
mecanismos que garanticen la protección de datos personales
• Riesgo=Probabilidad x Impacto

Delegado de protección de datos

Obligatorio en tres supuestos (RGPD):

• El tratamiento se realice por autoridad u organismo público en todo caso

• Las actividades principales de responsable o encargado consistan en operaciones de tratamiento
que requieran una observación habitual y sistemática de interesados a gran escala
• Las actividades principales de responsable o encargado consistan en el tratamiento a gran escala
de categorías especiales de datos personales y de datos relativos a condenas e infracciones
penales

Además, en LOPD-GDD:

• Colegios Profesionales, centros docentes

• Organizaciones de servicios de redes y comunicaciones electrónicas, prestadores de servicios
de sociedad de información
• Establecimientos financieros, aseguradoras, energía eléctrica, gas, publicidad…

Funciones:
• Informar y asesorar al responsable o encargado
• Supervisar la puesta en práctica de las políticas de protección de datos, incluidas
o asignación de responsabilidades
o concienciación y formación del personal
o las auditorías correspondientes
• Ofrecer asesoramiento sobre la evaluación de impacto
• Cooperar con la autoridad de control
Códigos de conducta y esquemas de certificación
Objetivo: Especificar aplicación de legislación sobre protección de datos

Contenido:
• Intereses legítimos de tratamiento en contextos específicos
• Recogida de datos personales
• Seudonimización de datos personales
• Información proporcionada al público y a los interesados
• Ejercicio de los derechos de los interesados…
• Mecanismos de resolución extrajudicial de reclamaciones y mediación
Certificaciones
• Objetivo:
o demostrar el cumplimiento de legislación sobre protección de datos
o permitir evaluar con mayor rapidez el nivel de protección de datos

7. Régimen sancionador
Sujetos responsables:
• Es de aplicación a:
o Los responsables de los tratamientos
o Los encargados de los tratamientos
o Los representantes de los responsables o encargados de los tratamientos no
establecidos en el territorio de la UE
o Las entidades de certificación
 o Las entidades acreditadas de supervisión de los códigos de conducta
• No será de aplicación a:
o Los delegados de protección de datos

Infracciones muy graves

• Las que supongan una vulneración sustancial de:
o Los principios básicos del tratamiento, incluidas las condiciones para el consentimiento
o Los derechos de los interesados
o Las transferencias de datos personales a un destinatario de un tercer país o una
organización internacional (cuando no concurran las garantías legales exigidas)
o El incumplimiento de una resolución o de una limitación temporal o definitiva del
tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control
• Prescriben a los 3 años
• Cuantía
o RGPD: 20 Millones € / Hasta el 4% (la mayor de esas cuantías)

Infracciones graves
• Las que supongan una vulneración de:
o Las obligaciones del responsable y del encargado
o Las obligaciones de los organismos de certificación
o Las obligaciones de la autoridad de control
• Prescriben a los 2 años
o Cuantía
o RGPD: 10 Millones € / Hasta el 2% (la mayor de esas cuantías)

Infracciones leves
• Las restantes infracciones de carácter meramente formal
• Prescriben al año
• Cuantía
o RGPD: No especificada una cantidad concreta

Neutralidad en Internet
Toda información que circula por la red sea tratada de la misma forma

8. Garantía de los Derechos Digitales

LOPD-GDD: 17 nuevos derechos digitales

Acceso universal a Internet

Acceso asequible, de calidad y no discriminatorio para la población, sin importar su condición personal,
social, económica o geográfica

Derecho a seguridad digital

Seguridad de las comunicaciones que transmitan y reciban

Derecho a educación digital

Garantizar aprendizaje de un uso de los medios digitales que sea seguro, respetuoso e inclusivo

El profesorado recibirá las competencias digitales y la formación necesaria

Protección de los menores en Internet

Padres/madres/representantes legales, procurarán que los menores de edad hagan un uso equilibrado y
responsable de los dispositivos digitales y de los servicios de la sociedad de la información

Derecho a rectificación en Internet

Protocolos efectivos para garantizar ese derecho ante usuarios que difundan contenidos que atenten contra
el derecho al honor, la intimidad personal y familiar

Derecho a actualización de información en medios digitales

Solicitar motivadamente que los medios digitales actualicen noticias que no reflejen la situación actual
(decisiones judiciales posteriores)

Derechos digitales en el ámbito laboral

• Derecho a la intimidad y uso de dispositivos digitales

o El empleador podrá acceder a los contenidos derivados del uso de medios digitales
facilitados a los trabajadores solo para controlar el cumplimiento de obligaciones y
garantizar la integridad de dichos dispositivos
• Derecho a la desconexión digital
o Garantizar el respeto del tiempo de descanso, permisos y vacaciones
• Derecho a la intimidad ante la utilización de sistemas de geolocalización
o Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización
para el ejercicio de las funciones de control

Derechos digitales en el ámbito laboral

• Derechos digitales en la negociación colectiva

o Los convenios colectivos podrán establecer garantías adicionales de los derechos y
libertades relacionados con el tratamiento de los datos personales de los trabajadores
• Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos
o Los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o
videocámaras para el ejercicio de las funciones de control
o Cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y
personas

Protección de datos de menores en Internet

En la publicación o difusión de datos personales por parte de centros educativos y personas físicas/jurídicas
en actividades en las que participen menores de edad

Derechos al olvido en búsquedas de Internet

Motores de búsqueda en Internet eliminen los resultados que se obtuvieran tras una búsqueda efectuada a
partir de su nombre: los enlaces que contuvieran información inadecuada, inexacta o hubiera devenido
como tal por el transcurso del tiempo

No impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios
de búsqueda distintos del nombre

Derechos al olvido en redes sociales y equivalentes

Supresión de datos personales que hubiese facilitado para su publicación en redes sociales y equivalentes

Derechos a portabilidad en servicios de redes sociales y equivalentes

Recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, así como a
que los prestadores los transmitan directamente a otro prestador

Testamento digital

Las personas vinculadas al fallecido podrán dirigirse a los prestadores de servicios para acceder a dichos
contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión,
salvo cuando la persona fallecida lo hubiese prohibido expresamente, o así lo establezca una ley