Este documento presenta la unidad didáctica 1.3 sobre el Reglamento Europeo de Protección de Datos y la actualización de la LOPD española. Explica los objetivos específicos de la unidad, su estructura con diferentes secciones, e introduce los principios más relevantes del nuevo reglamento como la responsabilidad, protección de datos por defecto y transparencia. Además, analiza conceptos como el binomio derecho-deber, la licitud del tratamiento, el consentimiento, la lealtad y transparencia y la limitación de la final
1. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3.
EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
2. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
OBJETIVOS ESPECÍFICOS
Identificar los ámbitos de aplicación.
DIferenciar entre los sujetos obligados a cumplir con el Reglamento.
3. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
OBJETIVOS ESPECÍFICOS
ESTRUCTURA DIDÁCTICA
Introducción
1.3.1. El binomio derecho/deber en la protección de datos
1.3.2. Licitud del tratamiento
1.3.3. Lealtad y transparencia
1.3.4. Limitación de la finalidad
1.3.5. Minimización de datos
1.3.6. Exactitud
4. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
INTRODUCCIÓN
El RGPD fue aprobado por la Unión Europea (Reglamento 2016/679, del Parlamento y el Consejo, de 27 de
abril de 2016). Los principios que atienden el tratamiento de los datos personales son una ampliación a los ya
elaborados por la LOPD. Destacamos como los principios más relevantes:
-Principio de responsabilidad.
-Principio de protección de datos por defecto y desde el diseño.
-Principio de transparencia.
5. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.1 EL BINOMIO DERECHO/DEBER EN LA PROTECCIÓN DE DATOS
Toda persona tiene derecho a la protección de datos de carácter personal:
«Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen; el secreto de las
comunicaciones; un marco legal que limite el uso de la informática de acuerdo con los derechos de las personas.»
Constitución de 1978 *2.
Este derecho es fundamental e irrenunciable y por parte de los sujetos obligados, es imperativo y obligatorio.
Respaldando una seguridad adecuada de los datos personales, además de asegurar una protección contra el
tratamiento no autorizado o ilegal y contra su pérdida, destrucción o daño accidental. El artículo 5 del PLOPD *31,
deber de confidencialidad, dictamina:
Todos sujeto que intervenga en el tratamiento de datos deben de estar sujetas al de deber de confidencialidad.
Será de deber de secreto profesional de conformidad con su normativa aplicable todo los establecido en el PLOPD.
Aún tras haber finalizado la relación del responsable o encargado del tratamiento, seguirá en vigor el deber de
confidencialidad.
6. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.1 LICITACIÓN DEL TRATAMIENTO
¿Cuáles serán las condiciones para que sea lícito el
tratamiento de datos?
Intereses vitales, mandatos legislativos o fines
humanitarios.
Consentimiento.
Relación contractual.
Obligación legal para el responsable.
Protección de intereses vitales.
Interés público o ejercicio de poderes públicos.
Intereses legítimos.
Relación empresarial.
7. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.1 LICITACIÓN DEL TRATAMIENTO
¿Cuáles serán las condiciones para que sea lícito según los interese del Responsable?
Cuestiones legales.
Ordenamiento de los poderes públicos.
Intereses que no denieguen los intereses, derechos y libertades del interesado.
Cuando el interesado sea un menor.
INTERÉS LEGÍTIMO (el interesado es cliente o está al servicio del responsable)
● Consentimiento.
● Relación contractual.
● Intereses vitales del interesado o de otras personas.
● Obligación legal para el responsable.
● Interés público o ejercicio de poderes públicos.
● Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
8. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.1 LICITACIÓN DEL TRATAMIENTO
CASUÍSTICAS ESPECÍFICAS
El Título IV del Proyecto de Ley de Protección de Datos *31 [PLOPD] recoge “Disposiciones aplicables
a tratamientos concretos”.
1. Presunción iuris tantum de prevalencia del interés legítimo:
Tratamiento de datos de contacto y de empresarios individuales (Art. 19 PLOPD).
Sistemas de información crediticia (Art. 20 PLOPD).
Tratamientos relacionados con la realización de determinadas operaciones mercantiles (Art. 21
PLOPD).
Tratamientos con fines de video-vigilancia (Art. 22 PLOPD).
Sistemas de exclusión publicitaria (Art. 23 PLOPD).
Sistemas de información de denuncias internas en el sector privado (Art. 24 PLOPD).
Tratamiento de datos en el ámbito de la función estadística pública (Art. 25 PLOPD).
Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones
Públicas (Art. 26 PLOPD).
Tratamiento de datos relativos a infracciones y sanciones administrativas (Art. 27 PLOPD).
9. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y ACTUALIZACIÓN
DE LOPD. PRINCIPIOS
1.3.1 LICITACIÓN DEL TRATAMIENTO
CONSENTIMIENTO
-El interesado afirma o declara el consentimiento del tratamiento de sus datos personales.
Debe de ser
demostrada por el
responsable
Declaración por escrito
o mediante medios
electrónicos o
verbalmente
Puede retirar el
consentimiento.
Sin dificultades.
Previamente
informado.
Continúa la licitud del
tratamiento.
10. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.1 LICITACIÓN DEL TRATAMIENTO
CONSENTIMIENTO DE MENORES
La utilización de datos personales en la sociedad de la información por parte de los menores,
será lícito para mayores de 16 años. Aunque el nuevo Reglamento es flexible en cuanto a la
edad, ya que se puede consentir en edades inferiores a 16 años y establecer su edad propia en
cada Estado miembro de la UE . Cumpliendo como requisitos que no sea inferior a los 13 años.
Para que un menor , debajo de los 13 años pueda utilizar sus datos personales, deberá contar
con el consentimiento del tutor ( patria potestad). En España , la edad límite era a los 14 años,
y con la Nueva Ley Organica 3/2018 de Protección de Datos se mantiene en 14 años.
Recuerda que:
El consentimiento debe ser libre, específico, de forma informada e inequívoca.
11. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE
DATOS Y ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.2. LEALTAD Y TRANSPARENCIA
Dividiremos los dos principios relacionados:
El principio de lealtad se basa principalmente
en mantener la confianza del interesado, para
ello debe comunicarse el tratamiento de sus
datos personales de manera clara, lícita y leal.
El principio de transparencia, obliga a informar
y comunicar el tratamiento de sus datos,
mediante un fácil acceso y lenguaje sencillo.
12. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
Los principios relativos al tratamiento de datos personales se regulan en el art 5 y en el considerando 39 del
RGPD.
Artículo 5: Principios relativos al tratamiento
Los datos personales serán:
- Tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y
transparencia“);
- Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera
incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1 (Investigación Científica, estadística),
el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación
científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (“limitación de
la finalidad“);
1.3.2. LEALTAD Y TRANSPARENCIA
13. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.2. LEALTAD Y TRANSPARENCIA
- Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman
o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se
tratan (“exactitud“);
- Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del
necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse
durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público,
fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo
89 (Investigación Científica, estadística), apartado 1, sin perjuicio de la aplicación de las medidas técnicas y
organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del
interesado (“limitación del plazo de conservación“);
- Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la
protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental,
mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad“).
14. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.2. LEALTAD Y TRANSPARENCIA.
-El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de
demostrarlo (“responsabilidad proactiva“).
-A los tradicionales principios de calidad: proporcionalidad, finalidad, exactitud y actualidad, cancelación de
oficio y licitud, el RGPD incorpora través del art. 5, seis principios básicos.
-Licitud, lealtad y transparencia: “tratados de manera lícita, leal y transparente en relación con el interesado”.
Queda vinculado nuestro principio de licitud al principio de transparencia, el cual queda igualmente vinculado
con la información, ya que la misma debe facilitarse de forma comprensible y accesible. Por tanto, el
tratamiento no será leal y lícito si la información no está accesible o no es comprensible. Así lo establece
el considerando 39, que exige:
“Toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y
que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados
sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un
tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y
comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben
tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos
personales, así como del modo de hacer valer sus derechos en relación con el tratamiento”.
15. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.2. LEALTAD Y TRANSPARENCIA
INFORMAR
LOPD debía informar
RGPD debe informar
- Un fichero, la finalidad del tratamiento de los
datos y los usuarios.
- Derechos ARCO.
- Datos de contacto y de identidad del
responsable del fichero.
- No obligatoriedad en el consentimiento.
- Datos de contacto DPD.
- Tratamiento basado en la normativa.
- Conservación limitada en un plazo.
- Si se trata de datos automatizados o elaboración
de perfiles.
- Transferencias internacionales.
- Derecho a reclamar.
16. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.3. LIMITACIÓN DE LA FINALIDAD
Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos, y no serán
tratados ulteriormente de manera incompatible con dichos fines. A este respecto al RGPD aclara
la posibilidad de realizar tratamientos de datos con finalidades distintas de las recogidas siempre
y cuando se de una serie de presupuestos. Así en el 6.4 se establece que el responsable de
tratamiento con objeto de determinar si dicho fin es compatible tendrá en cuenta una serie de
cuestiones:
1. Cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los
fines del tratamiento ulterior previsto;
2. el contexto en que se hayan recogido los datos personales, en particular por lo que respecta
a la relación entre los interesados y el responsable del tratamiento;
3. La naturaleza de los datos personales, en concreto cuando se traten categorías especiales de
datos personales, de conformidad con el artículo 9, (Categorías especiales de datos
personales) o datos personales relativos a condenas e infracciones penales, de conformidad
con el artículo 10 (Datos relativos a condenas e infracciones);
4. Las posibles consecuencias para los interesados del tratamiento ulterior previsto;
5. la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.
17. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.4 MINIMIZACIÓN DE DATOS
Minimización de datos: “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que
son tratados”. Es el correspondiente a nuestro principio de proporcionalidad, el cual establecía que los datos
deben de ser adecuados pertinentes y no excesivos en relación con la finalidad y el ámbito para la que fueron
recabados. Sin embargo, en el caso del RGPD no se limita por el exceso si no por la necesidad. Es decir, los datos
personales serán adecuados pertinentes y limitados a la necesidad para la que fueron recabados. Cobra especial
valor el sentido de la “Necesidad” (ya establecido por la Jurisprudencia del Tribunal Constitucional), de tal manera
que, si el objetivo podría alcanzarse sin realizar un tratamiento de datos, los mismos no deberían ser tratados. Por
otro lado, dicha limitación a lo necesario debe ser evaluada desde un punto de vista cuantitativo (volumen de
datos) como cualitativo (categoría de datos). Así se establece en el considerando 39:
“Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por
otros medios.”
18. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.3. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. PRINCIPIOS
1.3.5 EXACTITUD
Exactitud: exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas
razonables para que se supriman o rectifiquen sin dilación los datos personales que sean
inexactos con respecto a los fines para los que se tratan. A este respecto señala también el
considerando 39 que:
1. “Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o
supriman los datos personales que sean inexactos.”
2. Limitación en el plazo de conservación: “mantenidos de forma que se permita la
identificación de los interesados durante no más tiempo del necesario para los fines del
tratamiento de los datos personales”. Si bien en nuestra normativa ya se establece que
deberán ser cancelados cuando los datos dejen de ser útiles para la finalidad en la que fueron
recabados, el RGPD además de limitar el plazo de conservación establece la obligación al
responsable de incluir plazos para la supresión o revisión periódica.
Recuerda que:
Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del
tratamiento ha de establecer plazos para su supresión o revisión periódica.