Tema 2

Deontología y Legislación Informática

Tema 2. Protección de datos

de carácter personal (I)
Índice
Esquema

Ideas clave

2.1. ¿Cómo estudiar este tema?

2.2. El derecho fundamental de protección de datos

2.3. El Reglamento general de protección de datos:

ámbito de aplicación

2.4. Algunas definiciones del RGPD

2.5. Principios del RGPD

2.6. La legitimación para el tratamiento de datos

personales

2.7. Los derechos de los afectados o titulares de los datos

2.8. Referencias bibliográficas

A fondo

Publicidad no deseada

¿Por qué me vigilan, si no soy nadie?

El impacto del Nuevo Reglamento general de protección

de datos en el sector digital

El futuro del derecho de las TIC y la protección de datos

Test
 Esquema

Deontología y Legislación Informática 3

Tema 2. Esquema
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.1. ¿Cómo estudiar este tema?

Deberás leer y comprender las Ideas clave expuestas en este documento.

En este tema realizaremos una introducción al derecho a la protección de datos de

carácter personal y su regulación:

▸ Analizar el derecho fundamental a la protección de datos y su regulación a

nivel nacional e internacional.

▸ Comprender la posición jurídica y las obligaciones del responsable y encargado

del tratamiento.

▸ Entender las principales definiciones del Reglamento general de protección de

datos.

▸ Estudiar los principios generales del Reglamento general de protección de datos

y su afección en la normativa nacional.

▸ Conocer la legitimación que existe para tratar los datos personales.

▸ Estudiar cuales son los derechos de los afectados o titulares de los datos

personales.

Deontología y Legislación Informática 4

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.2. El derecho fundamental de protección de

datos

E l artículo 8 de la Carta Europea de Derechos Humanos reconoce el derecho

fundamental a la protección de datos. Más adelante, el derecho de protección de

datos se elevó a la categoría de derecho fundamental autónomo, independiente

del derecho a la intimidad, lo que quedó demostrado en el hecho de que la propia

Carta reconociese el derecho a la intimidad personal y familiar en un artículo

distinto, el artículo 7.

En el artículo 16 del TFUE (Tratado de Funcionamiento de la Unión Europea) se

reconoció este derecho al afirmar que: «1. Toda persona tiene derecho a la

protección de los datos de carácter personal que le conciernan».

Respecto a la jurisprudencia y mención de este derecho, hay dos

pronunciamientos altamente significativos, los cuales son las sentencias 254/1993

y 292/2000:

▸ En la primera de ellas, la STC 254/1993:

• Se define por primera vez lo que entonces se denominó «libertad

informática».

• El recurso de amparo que dio lugar al pronunciamiento tuvo su origen en la

petición de información por parte de un ciudadano vasco al gobernador civil de
Guipúzcoa sobre la existencia de ficheros automatizados de
la Administración del Estado que pudiesen contener datos relativos a su
persona.

Deontología y Legislación Informática 5

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

• Se solicitaba también, en caso de que estos existieran, la indicación del

organismo estatal en el que se encontraban, la finalidad de los ficheros, la
autoridad que los controlase y su residencia habitual y, además, se pedía la

comunicación de los datos existentes que le afectasen, de forma inteligible y sin

demora.

• La solicitud fue denegada por la Administración y, agotada la vía

administrativa, la denegación fue confirmada por las sucesivas instancias
judiciales, interponiéndose finalmente recurso de amparo al Tribunal
Constitucional.

• El TC subraya la importancia que posee la satisfacción de estos derechos,

tomando como referencia el artículo 18 de la Constitución Española (CE).

▸ Respecto a la sentencia 292/2000:

• Se reafirma la importancia de las cuestiones relacionadas con la protección

jurídica de los datos personales, consolidando de modo definitivo su

consideración como un derecho fundamental.

• Concibe el derecho fundamental a la protección de datos como un derecho

netamente prestacional del que dimanan los derechos del afectado —que
operan como obligaciones paralelas del responsable— junto con específicas
obligaciones para este último.

Deontología y Legislación Informática 6

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

• El art. 18.4 CE tendrá plena autonomía respecto al derecho de intimidad (art.

18.1 CE). Es importante diferenciar:

Figura 1. Derecho a la intimidad y libertad a la informática. Fuente: elaboración propia.

La llamada libertad informática es el «derecho a controlar el uso de los mismos

datos insertos en un programa informático (habeas data) y comprende, entre otros

aspectos, la oposición del ciudadano a que determinados datos personales sean

utilizados para fines distintos de aquel legítimo que justificó su obtención (STC

11/1998, F.J. 5, 94/1998, F.J. 4)» (STC 292/2000).

El derecho fundamental de protección de datos: de la antigua Directiva al

Reglamento general de protección de datos o RGPD actual

La antigua Directiva 95/46/CE es previa a la Carta y al TFUE, por lo que no pudo

reflejar lo contenido en estos dos últimos, pero sí tuvo en cuenta el Convenio

Europeo de Derechos Humanos y el Convenio 108. La Directiva pretende que los

tratamientos de datos no violen los derechos fundamentales y en particular el

derecho a la intimidad, así lo establece en el considerando 2.

El Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril

de 2016 relativo a la protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de estos datos y por el que se

deroga la Directiva 95/46/CE (Reglamento general de protección de datos) ya no solo

considera que los tratamientos de datos personales pueden violar los derechos

Deontología y Legislación Informática 7

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

fundamentales de las personas (en particular, el derecho a la intimidad) sino que

parte de la base de que el simple hecho de tratar datos personales puede violar el

propio derecho a la protección de datos de carácter personal. En definitiva, el

Reglamento general de protección de datos tiene como uno de sus objetos

principales la regulación del derecho fundamental a la protección de datos de

carácter personal reconocido en el artículo 8 de la Carta Europea de Derechos

Humanos.

El Reglamento general de protección de datos en el considerando 7 afirma que «las

personas físicas deben tener el control de sus propios datos personales». El control

al que se refiere el legislador es la piedra angular del derecho, el que reconoce sus

principios y los derechos de los afectados, tal y como se reflejan en el artículo 12 y

13 del Reglamento Europeo.

Deontología y Legislación Informática 8

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.3. El Reglamento general de protección de datos:

ámbito de aplicación

El estudio del ámbito de la aplicación de una disposición es uno de los análisis

esenciales que debe realizarse de forma previa a cualquier otro acto de

interpretación de la norma.

Ámbito de aplicación material

El Reglamento general de protección de datos establece que se aplica a los

tratamientos total o parcialmente automatizados y a los tratamientos no

automatizados de datos personales que se contengan o en un futuro vayan a ser

incluidos en un fichero.

NO se aplican a:

▸ Las actividades fuera del ámbito de aplicación del derecho de la Unión. La

excepción afectaría meramente a los tratamientos de datos que fuesen necesarios

para el desarrollo de estas actividades. Ej.: actividades relativas a la seguridad
nacional.

▸ Las actividades de política exterior y de seguridad común realizadas por los

Estados miembros (PESC). El objetivo de PESC es mantener la paz y reforzar la

seguridad.

▸ Las actividades personales o domésticas.

Deontología y Legislación Informática 9

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Estos tratamientos no deben tener ninguna conexión profesional, comercial o interés

oneroso.

▸ La exención se aplica a las personas físicas que tuviesen en su móvil un

listado de contactos.

▸ Las actividades de persecución de infracciones penales.

• Los Estados pueden limitar los tratamientos a entidades privadas e

imponer obligaciones y derechos siempre que dicha limitación sea
una medida proporcional y necesaria en una sociedad democrática.

• Pensemos en los tratamientos de datos necesarios para la

expedición de DNI, en los tratamientos de datos realizados por la
policía científica o de ciberataques.

Ámbito de aplicación territorial

El objetivo del Reglamento, a diferencia de la Directiva que trataba de armonizar la

protección de las normas estatales de protección de datos, es establecer un nivel de

protección «equivalente en todos los Estados miembros» y garantizar una

aplicación de estas normas «coherente y homogénea».

A partir de ahora las sociedades establecidas fuera de la UE pero que actúan en su

territorio tendrán que aplicar las mismas reglas cuando ofrezcan bienes y servicios

en el mercado comunitario.

El Reglamento contempla tres escenarios para su aplicación:

A. En el contexto de las actividades de un establecimiento del responsable o del

encargado en la Unión (Art. 3.1) independientemente de que dicho tratamiento

tenga lugar en la Unión o no. (El concepto ‘establecimiento’ se extiende a cualquier

actividad real y efectiva, aunque sea mínimamente ejercida mediante una instalación

estable. Ej. Google España).

Deontología y Legislación Informática 10

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

B. Cuando el responsable no esté establecido en la Unión sino en un lugar en que el

derecho de los Estados miembros se aplique en virtud del derecho internacional

público.

C. Cuando el responsable o encargado del tratamiento no esté establecido en la

Unión. Para que se apliquen las normas europeas es necesario que:

▸ Los datos personales sean de residentes de la Unión.

▸ Las actividades del tratamiento se refieran a un objeto determinado que puede ser:

• La oferta de bienes o servicios a dichos interesados. Ej.: la página web, el

idioma o la moneda.

• La observación del comportamiento de dichos interesados en la medida que

este comportamiento tenga lugar en la Unión.

Caso Google Spain (TJUE 13 mayo 2014)

Era la primera ocasión en la que se solicitaba al TJUE que se interpretara en la

antigua Directiva en relación con los motores de búsqueda de Internet para

responder a los cambios propiciados por el desarrollo tecnológico. La Audiencia

Nacional planteó cuestión prejudicial al TJUE preguntando cuáles eran las

obligaciones que tenían los gestores de motores de búsqueda en la protección de los

datos personales de aquellos interesados que no desean que determinada

información (publicada en páginas web de terceros), que contiene sus datos

personales y permite relacionarles con esta, sea localizada, indexada y puesta a

disposición de los internautas de forma indefinida. Google disponía de un

establecimiento en un Estado miembro europeo (España).

Deontología y Legislación Informática 11

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

El Tribunal de Justicia sostiene que procede considerar que el tratamiento de datos

personales realizado estaba «indisociablemente ligado al establecimiento creado

por esta misma empresa en España», aun cuando este último no realice el

tratamiento de datos personales o actividad directamente relacionada con estos,

pues se trata de actividades de publicidad de la empresa. Sin publicidad, Google no

podría ofertar sus servicios de motor de búsqueda.

Deontología y Legislación Informática 12

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.4. Algunas definiciones del RGPD

Dato personal

Es toda información sobre una persona física identificada o identificable (el

interesado). Se considerará persona física identificable a toda persona cuya

identidad pueda determinarse, directa o indirectamente, en particular mediante un

identificador.

Por ejemplo, son datos personales:

▸ Un nombre.

▸ Un número de identificación.

▸ Datos de localización o un identificador en línea.

▸ O mediante el uso de uno o varios elementos propios de la identidad física,

fisiológica, genética, psíquica, económica, cultural o social de las personas.

El IP del ordenador, nuestro DNI, nuestro ADN, nuestra huella dactilar, la forma de

caminar o la forma de escribir en el teclado son datos personales.

También existen los denominados datos especialmente protegidos, en los que,

además de los datos de salud, se encuentran los que hagan referencia a tu

ideología, religión, origen racial, vida sexual y comisión de infracciones penales y

administrativas.

Deontología y Legislación Informática 13

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Tratamiento de datos

Se trata de cualquier operación o conjunto de operaciones realizadas sobre datos

personales o conjuntos de datos mediante:

▸ Procedimientos automatizados o no (por ejemplo, la recogida, registro, organización,

estructuración, conservación, adaptación o modificación, extracción, consulta,

utilización, comunicación por transmisión, difusión).

▸ Cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación,

supresión o destrucción.

Elaboración de perfiles

Todo tratamiento automatizado de datos que se utiliza para evaluar o analizar

aspectos personales. En concreto, para predecir cuestiones relacionadas con:

▸ Rendimiento profesional.

▸ Situación económica.

▸ Salud, preferencias personales.

▸ Intereses, fiabilidad.

▸ Comportamiento.

▸ Ubicación.

▸ Movimientos de dicha persona física.

Fichero

Podemos decir, en términos generales, que se trata de todo conjunto estructurado

de datos personales accesibles con arreglo a criterios determinados, ya sea

centralizado, descentralizado o repartido de forma funcional o geográfica.

Deontología y Legislación Informática 14

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Datos biométricos

Son datos personales obtenidos a partir de un tratamiento técnico específico y

relacionados con las características físicas, fisiológicas o conductuales de una

persona física que permitan o confirmen la identificación única de dicha persona,

como imágenes faciales o datos dactiloscópicos. Por ejemplo, las huellas dactilares o
el iris de los ojos.

Datos genéticos

Se tratan de datos personales relativos a las características genéticas heredadas o

adquiridas de una persona física que proporcionan una información única sobre su

fisiología o salud obtenidos, en particular, del análisis de una muestra biológica de

tal persona.

Seudonimización (Art. 4.5 RGPD)

Es un tratamiento de datos personales donde estos NO pueden atribuirse a un

interesado sin utilizar información adicional, siempre que dicha información figure

por separado y esté sujeta a medidas técnicas y organizativas destinadas a

garantizar que los datos personales no se atribuyan a una persona física identificada

o identificable.

Responsable del tratamiento

Se trata de la persona física o jurídica, autoridad pública, servicio u otro organismo

que, solo o junto con otros, determine los fines y medios del tratamiento.

Encargado del tratamiento

Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate

datos personales por cuenta del responsable del tratamiento.

Deontología y Legislación Informática 15

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Según el RGPD:

▸ No recurrirá a otro encargado sin la autorización por escrito, específica o general, del

responsable.

▸ El tratamiento se regirá por un contrato con el responsable (objeto, duración,

finalidad del tratamiento, tipo de datos y categorías de interesados, obligaciones y

derechos del responsable) u otro acto jurídico, por ejemplo: resolución

administrativa.

▸ La Comisión podrá fijar cláusulas contractuales tipo.

▸ El contrato será por escrito y en formato electrónico.

▸ Tratará los datos siguiendo instrucciones del responsable.

▸ Garantizará la confidencialidad por parte de las personas autorizadas para el

tratamiento.

▸ Tomará las medidas necesarias en materia de seguridad.

▸ Cuando recurra a otro encargado, dispondrá de un contrato con las mismas

obligaciones estipuladas en el contrato con el responsable. Por escrito y en formato

electrónico.

▸ Seguirá siendo responsable ante el responsable del tratamiento.

▸ Asistirá al responsable con medidas técnicas y organizativas.

▸ Ayudará a este a garantizar el cumplimiento de la seguridad, notificar violación a la

autoridad de control e interesado.

Deontología y Legislación Informática 16

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ Suprimirá o devolverá todos los datos al finalizar el servicio y suprimirá las copias,

salvo que se requiera su conservación.

▸ Pondrá a disposición del responsable toda la información necesaria para demostrar

el cumplimiento de las obligaciones, permitir inspecciones, auditorias.

▸ Si infringe el RGPD al determinar los fines y medios del tratamiento será considerado

responsable.

Destinatario

El RGPD lo define como a la persona física o jurídica, autoridad pública, servicio u

otro organismo al que se le comuniquen datos personales, se trate o no de un

tercero. No obstante, no se considerarán destinatarios a las autoridades públicas que

puedan recibir datos personales en el marco de una investigación concreta de

conformidad con el derecho de la Unión o de los Estados miembro. El tratamiento de

tales datos por dichas autoridades será conforme con las normas en materia de

protección de datos aplicables a los fines del tratamiento.

Tercero

Por otro lado, el tercero se define como la persona física o jurídica, autoridad pública,

servicio u organismo distinto del:

▸ Interesado.

▸ Responsable del tratamiento.

▸ Encargado del tratamiento.

▸ Las personas autorizadas para tratar los datos personales bajo la autoridad directa

del responsable o del encargado.

Deontología y Legislación Informática 17

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.5. Principios del RGPD

El artículo 5 del RGPD establece los principios que deben cumplirse a la hora de

tratar los datos personales, que serán:

a) Licitud, lealtad y transparencia: los datos deberán ser tratados de manera lícita,

leal y transparente en relación con el interesado.

b ) Limitación de la finalidad: los datos serán «recogidos con fines determinados,

explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con

dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los

datos personales con fines de archivo en interés público, fines de investigación

científica e histórica o fines estadísticos no se considerará incompatible con los fines

iniciales».

c ) Minimización de datos: adecuados, pertinentes y limitados a lo necesario en

relación con los fines para los que son tratados.

d ) Exactitud: los datos serán exactos y, si fuera necesario, actualizados. Se

adoptarán todas las medidas razonables para que se supriman o rectifiquen sin

dilación los datos personales que sean inexactos con respecto a los fines para los

que se tratan.

Deontología y Legislación Informática 18

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

e) Limitación del plazo de conservación:

«[...] mantenidos de forma que se permita la identificación de los

interesados durante no más tiempo del necesario para los fines del

tratamiento de los datos personales; los datos personales podrán

conservarse durante períodos más largos siempre que se traten

exclusivamente con fines de archivo en interés público, fines de

investigación científica o histórica o fines estadísticos, de

conformidad con el artículo 89, apartado 1, sin perjuicio de la

aplicación de las medidas técnicas y organizativas apropiadas que

impone el […] Reglamento a fin de proteger los derechos y libertades

del interesado» (art. 5 RGPD).

f ) Integridad y confidencialidad: tratados de tal manera que se garantice una

seguridad adecuada de los datos personales, incluida la protección contra el

tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental,

mediante la aplicación de medidas técnicas u organizativas apropiadas.

Hay que tener en cuenta que el responsable del tratamiento debe cumplir con estos

principios y ser capaz de demostrar que los cumple (responsabilidad proactiva).

Deontología y Legislación Informática 19

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.6. La legitimación para el tratamiento de datos

personales

El Reglamento general de protección de datos, para el cumplimiento del principio de

licitud, enumera las diversas bases jurídicas que legitiman el tratamiento de datos

personales en términos de igualdad.

Figura 2. Legitimación. Fuente: elaboración propia.

El consentimiento

Es una manifestación de voluntad libre, específica, informada e inequívoca por

la que el afectado acepta el tratamiento mediante una declaración o una clara acción
afirmativa. Se considera que puede existir un acto afirmativo claro en supuestos

como una declaración por escrito, inclusive por medios electrónicos, o una

declaración verbal. También puede considerarse un acto afirmativo:

▸ Marcar una casilla de un sitio web en Internet.

▸ Escoger parámetros técnicos para la utilización de servicios de la sociedad de la

información.

Deontología y Legislación Informática 20

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ O cualquier otra declaración o conducta que indique claramente en este contexto

que el interesado acepta la propuesta de tratamiento de sus datos personales.

Por tanto, el silencio, las casillas premarcadas o la inacción del afectado no

constituyen un consentimiento válido. En el caso de que el tratamiento tenga

varios fines deberá prestarse para cada uno de ellos.

El interés legítimo

Será necesario realizar en cada caso concreto una ponderación para poder

determinar la prevalencia o no del interés legítimo. Ponderación que deberá tener en

cuenta no solo la incidencia del tratamiento en los derechos y libertades del afectado,

sino también en sus propios intereses. Se recogen algunos ejemplos de intereses

legítimos, aunque sin considerarlos por sí mismos como prevalentes, entre ellos se
citan los siguientes:

▸ La prevención del fraude, siempre que se cumpla el principio de minimización.

▸ El marketing directo.

▸ Las transmisiones de datos en grupos de empresas para fines administrativos

internos, como puede ser la centralización de datos de clientes o empleados.

▸ Las transmisiones de datos para garantizar la seguridad de las redes, para impedir el

acceso no autorizado a las redes de comunicaciones electrónicas y la distribución

malintencionada de códigos, frenar ataques de «denegación de servicio» y daños a
los sistemas informáticos y de comunicaciones electrónicas.

La normativa recoge una previsión de gran importancia al establecer que una ley

pueda considerar que un tratamiento fundado en el interés legítimo del

responsable o de un tercero prevalece sobre los derechos del afectado. En cuyo

caso, no sería necesario que los responsables que tratan los datos tengan
que realizar una ponderación adicional.

Deontología y Legislación Informática 21

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Finalmente, el Reglamento establece que el interés legítimo NO puede ser una

base jurídica aplicable a los tratamientos realizados por las autoridades públicas

en el ejercicio de sus funciones al señalar que es el propio legislador el que debe

establecer por ley la base jurídica para el tratamiento de datos por parte de las

autoridades públicas.

Tratamientos necesarios para el cumplimiento de una obligación legal

Respecto de estas bases jurídicas el Reglamento prevé que deben ser establecidas

por el derecho de la Unión o de los Estados miembro. La finalidad del tratamiento

para el cumplimiento de una obligación legal debe quedar determinada en la norma

que la establezca.

Tratamientos necesarios para el tratamiento para el cumplimiento del interés vital

El tratamiento de datos personales es lícito cuando sea necesario para proteger

intereses vitales del interesado o de otra persona física. Esta base jurídica para el
tratamiento tiene un carácter que podría calificarse como subsidiario, ya que indica

que esta únicamente debe aplicarse cuando el tratamiento no puede basarse en otra

base jurídica distinta. En este sentido se citan como ejemplos el tratamiento con fines

humanitarios, incluido el control de epidemias y su propagación, o las situaciones de

emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen

humano.

Tratamiento necesario para el cumplimiento de un interés público

La finalidad del tratamiento para el cumplimiento de una misión de interés público o

para el ejercicio de poderes debe ser necesaria para el cumplimiento o ejercicio

de estos. Ahora bien, el tratamiento de datos para estas finalidades deberá estar

sujeto a garantías adecuadas para asegurar los derechos y libertades de los

afectados conforme al Reglamento.

Deontología y Legislación Informática 22

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.7. Los derechos de los afectados o titulares de

los datos

El principio de transparencia que se exige para tratar los datos personales supone

que el responsable del tratamiento facilite al interesado, de forma concisa,

transparente, inteligible, de fácil acceso y utilizando un lenguaje claro y sencillo, la

siguiente información (detallada en el artículo 13 y 14 del Reglamento general de

protección de datos) cuando se obtengan sus datos personales:

▸ La identidad del responsable del tratamiento o su representante.

▸ Los datos del delegado de protección de datos, en su caso.

▸ Los fines del tratamiento para los que se destinaran los datos personales, así como

también la base jurídica de estos tratamientos.

▸ Los destinatarios de los datos o las categorías de destinatarios.

▸ La intención de si se transferirán los datos a un tercer país u organización

internacional.

▸ El plazo de conservación de los datos o los criterios para determinar este plazo.

▸ La existencia de los derechos que puede ejercitar el interesado, como son el acceso,

rectificación, supresión, limitación, oposición, portabilidad y no sometimiento a

decisiones automatizadas.

Deontología y Legislación Informática 23

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ La existencia del derecho a presentar una reclamación ante la autoridad de control.

▸ Si existe la obligatoriedad de facilitar los datos, cuando es un requisito legal o

contractual, y las consecuencias si los datos personales no se facilitan.

▸ El derecho a retirar el consentimiento, si fue este la base de licitud de los

tratamientos de datos personales.

▸ La existencia de decisiones automatizadas, incluida la elaboración de perfiles con la

información de la lógica aplicada, junto con la importancia y las consecuencias

previstas de dicho tratamiento para el interesado.

▸ Si se fueran a tratar los datos para otros fines distintos a los de la recogida, informar

de estos otros fines.

Cuando no se recaben los datos directamente del interesado, también se facilitará

información sobre las categorías de datos personales que se recaban y la fuente

de la que proceden los datos en el plazo de un mes desde el momento que se

recabaron los datos, cuando se lleve a cabo una comunicación con el interesado o

cuando vayan a comunicarse estos datos a un tercero. Toda esta información se

debe facilitar por escrito, en soporte papel o electrónico, o de forma verbal cuando se

recaben los datos o el interesado lo solicite y esté acreditada su identidad.

Deontología y Legislación Informática 24

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Ejercicio de derechos

Junto con la información que por transparencia debe facilitarse al interesado en el

momento de la recogida de sus datos, también se deben satisfacer los siguientes

derechos regulados en los artículos 15 y 22 del RGPD, en el plazo de un mes y de

forma gratuita:

Figura 3. Derechos regulados en los artículos 15 y 22 del RGPD. Fuente: elaboración propia.

Derecho de acceso: derecho a obtener del responsable del tratamiento la siguiente

información relativa al tratamiento de los datos:

▸ Los fines del tratamiento.

▸ Las categorías de datos personales tratados.

▸ Los destinatarios o categorías de destinatarios y los de terceros países u

organizaciones internacionales.

▸ El plazo de conservación o los criterios para determinar este plazo.

▸ La existencia de otros derechos como son los de rectificación, supresión, limitación,

oposición, portabilidad y no sometimiento a decisiones automatizadas.

Deontología y Legislación Informática 25

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ El derecho a reclamar a una autoridad de control.

▸ El origen de los datos cuando no se recabaron del propio interesado.

▸ La existencia o no de decisiones automatizadas, incluso la elaboración de perfiles.

Sin embargo, con este derecho no tiene que facilitarse ningún documento, sino solo

esta información y la relación de los datos personales que se están tratando. Por

lo tanto, si alguien quiere obtener algún documento del responsable del tratamiento
(como, por ejemplo, un informe, un certificado, un expediente, etc.) no deberá

solicitarlo como un derecho de acceso.

Derecho de rectificación: derecho a que sin dilación indebida se proceda a la

rectificación de los datos que sean inexactos. El responsable del tratamiento puede

exigir que, para rectificar estos datos, se solicite algún documento que justifique esta

rectificación en los datos.

Derecho de supresión o derecho al olvido: es el derecho que tiene el interesado a

que sin dilación indebida se supriman los datos cuando:

▸ Los datos ya no son necesarios para los fines para los que se recogieron.

▸ Se retire el consentimiento para el tratamiento de los datos.

▸ Exista una oposición al tratamiento y que no haya otros motivos legítimos para que

se sigan tratando.

▸ Se estén tratando los datos ilícitamente.

▸ Exista una obligación legal.

Deontología y Legislación Informática 26

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

También tiene derecho el interesado, cuando se hayan hecho públicos los datos por

parte del responsable, a que este haga efectivo el derecho al olvido de los datos,

teniendo en cuenta los medios tecnológicos disponibles y el coste de aplicación,

mediante la supresión de los enlaces a estos datos o a cualquier copia de estos.

Derecho de limitación: derecho que tiene el interesado a que se limite el

tratamiento de los datos personales por parte del responsable del tratamiento
cuando:

▸ El interesado impugne la exactitud de los datos personales.

▸ El tratamiento sea ilícito y se oponga el interesado a la supresión, solicitando la

limitación de uso.

▸ El responsable del tratamiento no necesite los datos personales para los fines del

tratamiento, pero deba conservarlos para formular, ejercer o defender una

reclamación.

▸ El interesado se haya opuesto al tratamiento, mientras se verifica si los intereses

legítimos del responsable del tratamiento prevalecen sobre los intereses del
interesado.

Derecho a la portabilidad: derecho por el cual el interesado puede exigir que le

faciliten los datos en un formato estructurado, de uso común y lectura mecánica,

cuando el tratamiento se lleve a cabo por el consentimiento del interesado.

Es un derecho similar al de acceso para obtener una copia de los datos. Sin

embargo, la forma de obtenerlos será en formato electrónico para que puedan

copiarse en otra aplicación o base de datos.

Deontología y Legislación Informática 27

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Derecho de oposición: el interesado podrá oponerse, por motivos relacionados con

su situación particular, a que los datos sean tratados en base al interés público y los

intereses legítimos. El responsable debe dejar de tratar los datos salvo que acredite

motivos legítimos imperiosos que prevalezcan sobre los intereses, los derechos y las

libertades del interesado.

En caso de llevarse a cabo el tratamiento de los datos para fines de mercadotecnia

directa, el interesado tendrá derecho a oponerse a este tratamiento, aunque se

conservan para tratarlos para otros fines.

Decisiones individuales automatizados y elaboración de perfiles: este derecho

supone que todo interesado no debe ser objeto de una decisión basada únicamente

en el tratamiento automatizado, incluida la elaboración de perfiles, cuando este

tratamiento produzca efectos jurídicos en él o le afecten significativamente de modo

similar.

Deontología y Legislación Informática 28

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.8. Referencias bibliográficas

Constitución Española. Boletín Oficial del Estado, núm. 311, de 29 de diciembre de

1978, 29313-29424. [Link]

Pleno. Sentencia 292/2000, de 30 de noviembre de 2000. Recurso de

inconstitucionalidad 1.463/2000. Promovido por el Defensor del Pueblo respecto de

los arts. 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal. Vulneración del derecho fundamental a la

protección de datos personales. Nulidad parcial de varios preceptos de la Ley

Orgánica. Boletín Oficial del Estado, núm. 4, de 4 de enero de 2001, páginas 104 a

118.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de

2016, relativo a la protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de estos datos y por el que se

deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Diario

Oficial de la Unión Europea, núm. 119, de 4 de mayo de 2016, páginas 1 a 88.

Sentencia 254/1993, de 20 de julio de 1993. Recurso de amparo 1.827/1990. Contra

denegación presunta por parte del Gobernador Civil de Guipúzcoa y del Ministro del

Interior de solicitud de información de los datos de carácter personal existentes en

ficheros automatizados de la Administración del Estado, confirmada en la vía

contencioso-administrativa. Vulneración del derecho a la intimidad personal. Voto

particular. Boletín Oficial del Estado, núm. 197, de 18 de agosto de 1993, páginas 28

a 34.

Deontología y Legislación Informática 29

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Sentencia del Tribunal de Justicia (Gran Sala) de 13 de mayo de 2014 (petición de

decisión prejudicial planteada por la Audiencia Nacional -España). Google Spain,

S.L., Google Inc. contra Agencia Española de Protección de Datos (AEPD) y Mario

Costeja González (Asunto C-131/12). Tribunal de Justicia de la Unión Europea.

ECLI:EU:C:2014:317.

Tratado de Funcionamiento de la Unión Europea, Diario Oficial de la Unión Europea

de 13 de diciembre de 2007.

Deontología y Legislación Informática 30

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Publicidad no deseada

Publicidad no deseada. (2022, abril 6). Agencia Española de Protección de Datos.

[Link]

La Agencia Española de Protección de Datos nos da unas pautas de cómo dejar de

recibir publicidad no deseada.

Deontología y Legislación Informática 31

Tema 2. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

¿Por qué me vigilan, si no soy nadie?

TEDx Talks. (2016). ¿Por qué me vigilan, si no soy nadie? | Marta Peirano |

TEDxMadrid [Vídeo]. Youtube. [Link]

Marta Peirano avisa en esta charla que es urgente preocuparse y proteger nuestro

anonimato en la red.

Deontología y Legislación Informática 32

Tema 2. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

El impacto del Nuevo Reglamento general de

protección de datos en el sector digital

UNIR | La Universidad en Internet. (2017, julio 17). El impacto del Nuevo Reglamento

Europeo de Protección de Datos en el sector digital l UNIR OPENCLASS [Vídeo].

Youtube. [Link]

Openclass sobre el impacto del Nuevo Reglamento general de protección de datos

de la Unión Europea en el sector digital. A cargo de Paula Ortíz, responsable de la

dirección jurídica y de relaciones institucionales de IAB Spain, y de Lucía Conde,

Legal Counsel en Huawei Technologies. Fue moderada por Ricard Martínez, director

del Máster Universitario de Protección de datos de UNIR.

Deontología y Legislación Informática 33

Tema 2. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

El futuro del derecho de las TIC y la protección de

datos

UNIR | La Universidad en Internet. (2017, agosto 3). El futuro del derecho de las TIC

y la protección de datos | #UNIRderecho [Vídeo]. Youtube.

[Link]

En esta Openclass analizaremos cómo la evolución tecnológica y la necesidad de

proteger los datos afecta al área jurídico-legal sobre todo tras el impacto de las TIC

(Tecnologías de la Información y de las Comunicaciones) en las empresas.

Hablaremos sobre cloud computing, inteligencia artificial (machine learning y deep

learning), el Internet of Things (wearables, asistentes inteligentes) y la

ciberseguridad.

Deontología y Legislación Informática 34

Tema 2. A fondo
© Universidad Internacional de La Rioja (UNIR)
 Test

1. ¿Cuál de los siguientes términos se refiere a la persona física o jurídica que

determina los medios y fines del tratamiento?

A. El interesado.

B. El encargado del tratamiento.

C. El responsable del tratamiento.

D. El afectado.

2. La «libertad informática»:

A. Es el derecho a controlar el uso de los mismos datos insertos en un

programa informático (habeas data).

B. Comprende, entre otros aspectos, la oposición del ciudadano a que

determinados datos personales sean utilizados para fines distintos de aquel

legítimo que justificó su obtención.

C. Está recogido en el art. 18.4 CE.

D. Todas las anteriores.

3. Según el nuevo RGPD, el consentimiento debe ser:

A. Libre, tácito, informado.

B. Libre, específico, informado e inequívoco.

C. Libre y específico valiendo las casillas preseleccionadas.

D. Ninguna de las anteriores.

Deontología y Legislación Informática 35

Tema 2. Test
© Universidad Internacional de La Rioja (UNIR)
 Test

4. Los datos personales obtenidos a partir de un tratamiento técnico específico

relativos a las características físicas, fisiológicas o conductuales de una persona

física son:

A. Datos genéticos.

B. Datos biométricos.

C. Datos disociados.

D. Datos sensibles.

5. Los datos personales obtenidos a partir de una muestra biológica son:

A. Datos genéticos.

B. Datos biométricos.

C. Datos disociados.

D. Datos sensibles.

6. El principio de minimización se refiere expresamente a:

A. La cantidad limitada de los datos recogidos.

B. El número de personas que acceden a los mismos.

C. El período del tratamiento.

D. Las tres anteriores.

7. El principio de limitación de la finalidad se refiere expresamente a:

A. Los límites temporales del tratamiento de los datos.

B. Los fines determinados, explícitos y legítimos del manejo de datos.

C. Los fines económicos del manejo de los datos.

D. Los límites territoriales en el manejo de datos.

Deontología y Legislación Informática 36

Tema 2. Test
© Universidad Internacional de La Rioja (UNIR)
 Test

8. El derecho de acceso en el RGPD se refiere a:

A. El derecho de acceso a internet que tienen los seres humanos.

B. El derecho a la tecnología que tienen las personas.

C. El derecho al acceso a la información.

D. El derecho a saber qué datos personales se están tratando.

9. El derecho de limitación se refiere a:

A. Que se limite el número de encargados del tratamiento.

B. Que se limite el número de dispositivos con datos personales.

C. Que se limite el tratamiento de los datos.

D. Todas las anteriores.

10. ¿En qué consiste el derecho de portabilidad en el tratamiento de los datos

personales?

A. El derecho de las personas a portar sus datos en su teléfono, ordenador,

tablet, etc.

B. El derecho de las personas a pedir que se transporten los datos por las

redes de comunicación.

C. El derecho de las personas a exigir que las empresas porten los datos a

dispositivos seguros.

D. El derecho de las personas a pedir una copia de los datos que se tratan en

un formato electrónico.

Deontología y Legislación Informática 37

Tema 2. Test
© Universidad Internacional de La Rioja (UNIR)