Tema 4 Oficinas Públicas

P.º Gral. Martínez Campos, 5 28010 MADRID Tel.
914 444 920

Gran de Gràcia, 171 08012 BARCELONA Tel. 934 150 988
Alboraya, 23 46010 VALENCIA Tel. 963 614 199
Ponzano, 15 28010 MADRID Tel. 914 444 920
www.cef.es [email protected] 902 88 89 90
SUMARIO GENERAL TEMA 4
1. La protección de datos personales. Régimen jurídico

2. El Reglamento (UE) 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos
2.1. Objeto
2.2. Ámbito de aplicación material
2.3. Ámbito territorial
2.4. Definiciones
3. Principios relativos al tratamiento

3.1. Principios relativos al tratamiento
3.2. Licitud del tratamiento
3.3. Condiciones para el consentimiento
3.4. Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la
información
3.5. Tratamiento de categorías especiales de datos personales
3.6. Tratamiento de datos personales relativos a condenas e infracciones penales
3.7. Tratamiento que no requiere identificación
4. Derechos de los interesados

4.1. Transparencia y modalidades
4.1.1. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del
interesado
4.2. Información y acceso a los datos personales
4.2.1. Información que deberá facilitarse cuando los datos personales se obtengan del interesado
4.2.2. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del inte-
resado
4.3. Derecho de acceso del interesado
4.4. Derecho de rectificación
4.5. Derecho de supresión («el derecho al olvido»)
4.6. Derecho a la limitación del tratamiento
4.7. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del
tratamiento
4.8. Derecho a la portabilidad de los datos
4.9. Derecho de oposición
www.cef.es MAYO 2021 Sumario

ADMINISTRATIVOS DEL ESTADO (TURNO LIBRE)
Oposiciones
4.10. Decisiones individuales automatizadas, incluida la elaboración de perfiles

4.11. Limitaciones
4.12. Otros derechos: reclamación, tutela judicial e indemnización
5. Obligaciones del responsable del tratamiento y encargado del tratamiento

5.1. Obligaciones generales
5.1.1. Responsabilidad del responsable del tratamiento
5.1.2. Protección de datos desde el diseño y por defecto
5.1.3. Corresponsables del tratamiento
5.1.4. Representantes de responsables o encargados del tratamiento no establecidos en la Unión
5.1.5. Encargado del tratamiento
5.1.6. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento
5.1.7. Registro de las actividades de tratamiento
5.1.8. Cooperación con la autoridad de control
5.2. Seguridad de los datos personales
5.2.1. Seguridad del tratamiento. El análisis del riesgo
5.2.2. Notificación de una violación de la seguridad de los datos personales a la autoridad de control
5.2.3. Comunicación de una violación de la seguridad de los datos personales al interesado
5.3. Evaluación de impacto relativa a la protección de datos y consulta previa
5.3.1. Evaluación de impacto relativa a la protección de datos
5.3.2. Consulta previa
5.4. Delegado de protección de datos
5.4.1. Designación del delegado de protección de datos
5.4.2. Posición del delegado de protección de datos
5.4.3. Funciones del delegado de protección de datos
6. La Agencia de Protección de Datos: competencias y funciones

6.1. Introducción
6.2. La Agencia de Protección de Datos
6.3. Estructura orgánica
6.4. Funciones de la Agencia Española de Protección de Datos
Sumario www.cef.es
P.º Gral. Martínez Campos, 5 28010 MADRID Tel. 914 444 920
Gran de Gràcia, 171 08012 BARCELONA Tel. 934 150 988
Alboraya, 23 46010 VALENCIA Tel. 963 614 199
Ponzano, 15 28010 MADRID Tel. 914 444 920
www.cef.es [email protected] 902 88 89 90
TEMA
La protección de datos personales. Régimen jurídico. El Reglamento (UE) 2016/679,
4 de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de estos datos. Principios
y derechos. Obligaciones. La Agencia de Protección de Datos: competencias y
funciones
1. LA PROTECCIÓN DE DATOS PERSONALES. RÉGIMEN JURÍDICO
En España, la Constitución española de 1978 (CE) prevé en su artículo 18.1 que se garanti-
za el derecho al honor, a la intimidad personal y familiar y a la propia imagen y en el artículo 18.4
que el legislador limitará el uso de la informática para proteger los derechos fundamentales de los
ciudadanos.
Los derechos del artículo 18 de la Constitución española, al encontrarse en la sección 1.ª del capí-
tulo II del título I de la Constitución, están sometidos a reserva de ley orgánica (art. 81 de la CE), que en
todo caso deberá respetar su contenido esencial, y vinculan a todos los poderes públicos (art. 53.1 de la
CE), y, entre las garantías jurisdiccionales podrá recabarse la tutela de los tribunales ordinarios median-
te un procedimiento basado en los principios de preferencia y sumariedad y, subsidiariamente, la tutela
del Tribunal Constitucional mediante un recurso de amparo (art. 53.2 de la CE).
El derecho a la intimidad se vincula a la esfera más reservada de las personas, al ámbito que estas
siempre preservan de las miradas ajenas, aquel que desea mantenerse oculto a los demás por pertene-
cer a su esfera más privada (SSTC 151/1997, de 29 de septiembre), vinculada con la dignidad y el libre
desarrollo de la personalidad (art. 10.1 de la CE). De esta forma el derecho a un núcleo inaccesible de
intimidad se reconoce incluso a las personas más expuestas al público (STC 134/1999, de 15 de julio).
La intimidad, de acuerdo con el propio precepto constitucional, se reconoce no solo al individuo aisla-
damente considerado, sino también al núcleo familiar (SSTC 197/1991, de 17 de octubre o 231/1988,
de 2 de diciembre).
Por su parte, es nuestra Constitución, una de las primeras en introducir la protección de los datos
frente al uso de la informática, dado que es precisamente en los años de su redacción cuando comienzan
a apreciarse los peligros que puede entrañar el archivo y uso ilimitado de los datos informáticos. Nues-
tros constituyentes tomaron, en este caso, el ejemplo de la Constitución portuguesa, solo dos años ante-
rior a la española.
www.cef.es MAYO 2021 4 ‒ 1

Oposiciones
Una primera interpretación llevó a considerar este derecho como una especificación del derecho a
la intimidad, pero el Tribunal Constitucional ha interpretado que se trata de un derecho independiente,
aunque obviamente estrechamente relacionado con aquel (SSTC 254/1993, de 20 de julio y 290/2000,
de 30 de noviembre). El Alto Tribunal además señaló la vinculación directa de este derecho para los po-
deres públicos sin necesidad de desarrollo normativo (STC 254/1993).
En concreto, la STC 94/1988 señaló que nos encontramos ante un derecho fundamental a la pro-
tección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos per-
sonales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y
los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una
facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distin-
tos a aquel que justificó su obtención.
Este derecho se halla estrechamente vinculado con la libertad ideológica, pues evidentemente el al-
macenamiento y la utilización de datos informáticos puede suponer un riesgo para aquella, no solamente
por lo que se refiere a 'datos sensibles', entre los que se encuentran los de carácter ideológico o religio-
so sobre los cuales según indica el artículo 16 de la Constitución, nadie estará obligado a declarar, sino
también por su posible utilización ajena a las finalidades para los que fueron recabados (SSTC 11/98,
de 13 de enero; 44 y 45/1999, de 22 de marzo, entre otras, en relación con la libertad sindical), o la in-
clusión de datos sin conocimiento del afectado (STC 202/1999, de 8 de noviembre). Otro riesgo puede
provenir por efectuarse accesos indebidos a ficheros ajenos (STC 144/1999, de 22 de julio, en torno a
una indebida utilización por parte de una Junta Electoral de Zona de datos incluidos en el Registro Cen-
tral de Penados y Rebeldes).
El Tribunal Constitucional, por su parte, proclamó en su Sentencia 292/2000 que el derecho a la

protección de datos es un verdadero derecho fundamental, autónomo y claramente diferenciado de los
demás que se garantizan en el mismo artículo 18 de la Constitución Española: «persigue garantizar a esa
persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de im-
pedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado».
Desde un punto de vista histórico, la primera mención al derecho a la intimidad fue realizada por
Lord William Pitt, Conde de Chatham en 1763 en un célebre discurso ante la Cámara de los Comunes
del Reino Unido en el que reclamó el derecho de toda persona por humilde que fuera su morada a ex-
cluir la entrada de extraños, incluidas «todas las fuerzas del rey» (en el caso aludido se refería a los re-
caudadores de la Corona, autoridades públicas con competencia para la recolección de los impuestos).
Se reconoce así el derecho a la intimidad y la inviolabilidad del domicilio que se recoge hoy en nuestra
Constitución de 1978 en su artículo 18.
Más tarde, en 1890 los juristas norteamericanos Samuel D. Warren y Louis Branden escribieron
un artículo titulado «El derecho a la privacidad» en el que reclamaban la existencia de un derecho «a
ser dejado en paz» o derecho a la exclusión de la atención de otros o a ser observado en sitios privados.
En Sentencia del 15 de diciembre de 1983, el Tribunal Constitucional de la RFA, en un asunto sobre

la interpretación de las obligaciones que imponía la Ley del Censo alemana a sus ciudadanos reconoció
el derecho a la autodeterminación informativa o derecho a la protección de datos personales. El artículo
18.4 de la Constitución española recoge por primera vez este derecho en las leyes españolas.
No es casualidad el hecho de que este derecho fuera especialmente recogido en las leyes de la Repú-
blica Federal Alemana puesto que la preocupación del poder judicial alemán por el derecho fundamental
a la protección de los datos personales tiene su origen en el hecho de que el régimen nacionalsocialista
alemán utilizó los datos personales de sus ciudadanos para determinar que personas debían ser detenidas
4 ‒ 2 www.cef.es
Organización de oficinas públicas
Oposiciones
o eliminadas en función de su ideología, religión o etnia. De ahí que estos datos personales tengan en la
actualidad la consideración de «especialmente sensibles» en casi todas las legislaciones nacionales o in-
ternacionales. Se reconoce así el derecho a la limitación de la intromisión que la informática puede pro-
ducir en el ámbito íntimo de los ciudadanos. Se trata pues del derecho a la protección de datos personales.
En la Alemania de los años 30 existía una legislación según la cual las confesiones religiosas de-
bían ser sostenidas económicamente por los fieles. Existía un también un Registro de Confesiones Reli-
giosas que recogía la identidad de las personas que hacían aportaciones a cada confesión y las cuantías,
con el fin de aplicar las leyes tributarias. El Régimen Nacionalsocialista solo tuvo que acudir a dichos
registros para determinar quiénes profesaban la religión judaica, lo que facilitó la persecución que llevo
al holocausto judío.
Dos años después de la Sentencia del Tribunal Constitucional Alemán reconociendo el derecho a
la autodeterminación informativa, el 1 de octubre de 1985, entró en vigor Convenio 108 del Consejo de
Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carác-
ter personal. El Convenio hecho en Estrasburgo el 28 de enero de 1981 fue sometido al procedimiento
aprobación y ratificación y fue ratificado por España el 27 de enero de 1984. El convenio reconoce el
derecho a la intimidad y a la protección de datos respectivamente.
Ambos derechos son igualmente reconocidos en la Carta Europea de Derechos Fundamentales, in-
corporada al articulado del Tratado de Lisboa. Reconociendo que sus políticas podrían tener un impac-
to sobre los derechos humanos y en un esfuerzo para que los ciudadanos se sientan «más cerca» de la
Unión Europea, la Unión Europea proclamó en 2000 la Carta de Derechos Fundamentales de la Unión
Europea (Carta). Esta Carta incorpora todos los derechos civiles, políticos, económicos y sociales de los
ciudadanos europeos y constituye la síntesis de las tradiciones constitucionales y obligaciones interna-
cionales que son comunes a los Estados miembros.
Los derechos descritos en la Carta se agrupan en seis secciones: dignidad, libertad, igualdad, soli-
daridad, ciudadanía y justicia. Aunque en su origen la Carta era únicamente un documento político, pasó
a ser jurídicamente vinculante como derecho primario de la Unión Europea (véase el art. 6, apartado 1,
del TUE) con la entrada en vigor del Tratado de Lisboa el 1 de diciembre de 2009.
El derecho primario de la Unión Europea también incluye una competencia general de la Unión
Europea para legislar en materia de protección de datos (art. 16 del TFUE). La Carta no solo garanti-
za el respeto a la vida privada y familiar (art. 7), sino que también establece el derecho a la protección
de datos (art. 8), elevando explícitamente el nivel de dicha protección al de derecho fundamental en el
derecho de la Unión Europea. Tanto las instituciones de la Unión Europea como los Estados miembros
deberán respetar y garantizar este derecho, el cual también es aplicable a los Estados miembros cuando
apliquen el derecho de la Unión (art. 51 de la Carta).
Al haber sido formulado varios años después de la Directiva de protección de datos, debe enten-
derse que el artículo 8 de la Carta recoge la legislación de la Unión Europea preexistente en materia de
protección de datos. Por lo tanto, la Carta no solo menciona expresamente un derecho a la protección de
los datos en el artículo 8, apartado 1, sino que también hace referencia a los principios clave en materia
de protección del apartado 2 de dicho artículo. Por último, el artículo 8, apartado 3, de la Carta garantiza
el control de la aplicación de dichos principios por parte de una autoridad independiente.
La normativa de protección de datos en España comenzó en el año 1992 con la Ley Orgánica de
Regulación del Tratamiento Automatizado de los Datos de carácter personal (LORTAD). La ley tenía
por objeto desarrollar el derecho fundamental a la autodeterminación informativa reconocido en el art.
18.4 de la Constitución española.

Oposiciones
Posteriormente, la Unión Europea aprobó la Directiva 95/46/CE del parlamento europeo y del con-
sejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tra-
tamiento de datos personales y a la libre circulación de estos datos. A ella siguió la Directiva 97/63 de
protección de datos personales en las comunicaciones electrónicas.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal (LOPD)

tenía por objeto la transposición de la Directiva 95/46/CE. En el año 2007, se aprobó el Real Decreto
1720/2007, de 21 de diciembre, por el que se aprobaba el Reglamento de desarrollo de la LOPD (RD-
LOPD).
En el año 2016 se aprobó el reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de
27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Re-
glamento general de protección de datos) que entró en vigor el 25 de mayo de 2016.
Si bien, los Reglamentos europeos gozan de aplicación directa, se concedió a los países miembros
un periodo de dos años para su aplicación debido a su complejidad. Por tanto, si bien el Reglamento ge-
neral de protección de datos entró en vigor el 25 de Mayo de 2016, el mismo no ha sido de aplicación
hasta el 25 de mayo de 2018.
La adaptación al Reglamento general de protección de datos, según establece su artículo 99, reque-
ría, en suma, la elaboración de una nueva ley orgánica que sustituyera a la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter personal y ello ha tenido lugar con la Ley Orgá-
nica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Por tanto, el régimen jurídico actual en materia de protección de datos va a venir determinado por:
• El Reglamento (UE) 2016/679, de 27 de abril, relativo a la protección de las personas físi-

cas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos
datos.
• La Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía
de los derechos digitales, que ha derogado la Ley Orgánica 15/1999, a excepción de los ar-
tículos 22 y sus disposiciones de desarrollo (recogida y tratamiento por parte de las Fuerzas
y Cuerpos de Seguridad) y los artículos 23 y 24 (excepciones al ejercicio de derechos por
parte del interesado), que siguen vigentes en tanto no sean expresamente modificados, sus-
tituidos o derogados.
Esta ley orgánica consta de noventa y siete artículos estructurados en diez títulos, veintidós dispo-
siciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposicio-
nes finales:
• El Título I, relativo a las disposiciones generales, comienza regulando el objeto de la ley

orgánica, que es, doble. Así, en primer lugar, se pretende lograr la adaptación del ordena-
miento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Con-
sejo, de 27 de abril de 2016, Reglamento general de protección de datos, y completar sus
disposiciones. A su vez, establece que el derecho fundamental de las personas físicas a la
protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejer-
cerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
• En el Título II, «Principios de protección de datos», se establece que a efectos del Regla-
mento (UE) 2016/679 no serán imputables al responsable del tratamiento, siempre que este
4 ‒ 4 www.cef.es
Oposiciones
haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación,
la inexactitud de los datos obtenidos directamente del afectado, cuando hubiera recibido los
datos de otro responsable en virtud del ejercicio por el afectado del derecho a la portabili-
dad, o cuando el responsable los obtuviese del mediador o intermediario cuando las normas
aplicables al sector de actividad al que pertenezca el responsable del tratamiento establezcan
la posibilidad de intervención de un intermediario o mediador o cuando los datos hubiesen
sido obtenidos de un registro público. También se recoge expresamente el deber de confi-
dencialidad, el tratamiento de datos amparado por la ley, las categorías especiales de datos
y el tratamiento de datos de naturaleza penal, se alude específicamente al consentimiento,
que ha de proceder de una declaración o de una clara acción afirmativa del afectado, exclu-
yendo lo que se conocía como «consentimiento tácito», se indica que el consentimiento del
afectado para una pluralidad de finalidades será preciso que conste de manera específica e
inequívoca que se otorga para todas ellas, y se mantiene en catorce años la edad a partir de
la cual el menor puede prestar su consentimiento.
• El Título III, dedicado a los derechos de las personas, adapta al Derecho español el princi-
pio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los
afectados a ser informados acerca del tratamiento y recoge la denominada «información por
capas» ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación
de dispositivos de almacenamiento masivo de datos (tales como las «cookies»), facilitan-
do al afectado la información básica, si bien, indicándole una dirección electrónica u otro
medio que permita acceder de forma sencilla e inmediata a la restante información.
• En el Título IV se recogen «Disposiciones aplicables a tratamientos concretos», incorpo-
rando una serie de supuestos que en ningún caso debe considerarse exhaustiva de todos los
tratamientos lícitos.
• El Título V se refiere al responsable y al encargado del tratamiento.
• El Título VI, relativo a las transferencias internacionales de datos, procede a la adaptación
de lo previsto en el Reglamento (UE) 2016/679 y se refiere a las especialidades relacionadas
con los procedimientos a través de los cuales las autoridades de protección de datos pueden
aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autoriza-
ción de una determinada transferencia, o información previa.
• El Título VII se dedica a las autoridades de protección de datos, que siguiendo el mandato
del Reglamento (UE) 2016/679 se han de establecer por ley nacional. Manteniendo el es-
quema que se venía recogiendo en sus antecedentes normativos, la ley orgánica regula el
régimen de la Agencia Española de Protección de Datos y refleja la existencia de las autori-
dades autonómicas de protección de datos y la necesaria cooperación entre las autoridades
de control. La Agencia Española de Protección de Datos se configura como una autoridad
administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen
Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Jus-
ticia.
• El Título VIII regula el «Procedimientos en caso de posible vulneración de la normativa de
protección de datos».
• El Título IX, que contempla el régimen sancionador, parte de que el Reglamento (UE)
2016/679 establece un sistema de sanciones o actuaciones correctivas que permite un am-
plio margen de apreciación.
• Finalmente, el Título X de esta ley acomete la tarea de reconocer y garantizar un elenco de
derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución.
En particular, son objeto de regulación los derechos y libertades predicables al entorno de

Oposiciones
Internet como la neutralidad de la Red y el acceso universal o los derechos a la seguridad y

educación digital así como los derechos al olvido, a la portabilidad y al testamento digital.
Ocupa un lugar relevante el reconocimiento del derecho a la desconexión digital en el marco
del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la protec-
ción de los menores en Internet. Finalmente, resulta destacable la garantía de la libertad de
expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales.
Pasamos pues, a analizar en el epígrafe siguiente el Reglamento (UE) 2016/679, de 27 de abril.
2. EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL, RELATIVO A LA PROTEC-

CIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL TRATAMIENTO
DE DATOS PERSONALES Y A LA LIBRE CIRCULACIÓN DE ESTOS DATOS
La regulación de la protección de datos personales en el ámbito de la Unión Europea ha experimen-

tado un cambio sustancial a raíz de la aprobación de este reglamento.
A diferencia de las directivas comunitarias, no precisa de ninguna norma de transposición en los

Estados y es de aplicación inmediata. No obstante, este reglamento ha tenido un periodo de adaptación
de 2 años, es decir, que cada Estado ha dispuesto de un tiempo para establecer a nivel interno todos los
cambios que se derivan de la entrada en vigor del mismo.
La aprobación de este reglamento, responde a la necesidad de armonizar las diferentes regulacio-

nes estatales en esta materia dado que eran muy dispares y ello influía en el tratamiento de la protección
de los datos personales por parte de los poderes públicos, pero sobre todo en el sector privado que venía
demandando desde hace tiempo una seguridad jurídica equivalente dentro de toda la Unión.
Las principales materias que se abordan en el Reglamento de Protección de Datos son las siguientes:
1. En cuanto al ámbito de aplicación material y territorial del Reglamento, el mismo se aplicará

al tratamiento total o parcialmente automatizado, así como al tratamiento no automatizado
de datos personales contenidos o destinados a ser incluidos en un fichero, en el contexto de
las actividades de un establecimiento, por responsables o encargados de tratamiento esta-
blecidos en la Unión Europea o en aquellos lugares fuera de la Unión Europea en el que sea
de aplicación la legislación de un Estado miembro.
El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de
datos establecidos en la Unión Europea, y se amplía a responsables y encargados no esta-
blecidos en la Unión Europea siempre que realicen tratamientos derivados de una oferta de
bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una moni-
torización y seguimiento de su comportamiento.
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organiza-
ciones deberán nombrar un representante en la Unión Europea, que actuará como punto de
contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario,
podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los
datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados
entre la información relativa a los tratamientos de sus datos personales.
Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad,
para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que
4 ‒ 6 www.cef.es
Oposiciones
el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo
a la realidad del mundo de internet.
Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar
tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras
regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa
europea.
Asimismo queda bien definido que el Reglamento no será de aplicación a los datos de las
personas jurídicas. También queda comprendido en esta exclusión el supuesto de que la
persona jurídica contenga los nombres de una o más personas físicas (Por ejemplo. Fernán-
dez y Pérez Asociados S.L). Si bien hay que determinar la finalidad de los tratamientos de
datos: si a través de la dirección de una persona jurídica y los datos de sus socios incorpo-
rados a su denominación, se llegara a una persona física estaríamos hablando de tratamien-
to de datos personales.
2. Por lo que respecta a la transparencia, lealtad, licitud, consentimiento y categorías especia-
les de datos, ahora queda claro que el consentimiento debe ser explícito y que la persona
debe ser consciente de que está prestando este consentimiento. Y es que una de las bases
fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que
el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para
poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una
declaración de los interesados o una acción positiva que indique el acuerdo del interesado.
El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
Las empresas deben revisar la forma en la que obtienen y registran el consentimiento. Prác-
ticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la ac-
tual normativa dejarán de serlo cuando el Reglamento sea de aplicación.
Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos,
como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más
estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente me-
diante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran
explícitamente al consentimiento y al tratamiento en cuestión.
Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes re-
copilen datos personales deben ser capaces de demostrar que el afectado les otorgó su con-
sentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para
que sea posible verificarlo ante una auditoría.
Además, ya no se prevé específicamente la comunicación o cesiones de datos, por lo que,
salvo que una ley lo prevea, habrá que analizar los supuestos caso por caso.
Se hace un especial hincapié en que cualquier información que se deba facilitar a los inte-
resados se haga en forma inteligible y utilizando un lenguaje claro, sencillo y adaptado a
los mismos y, de forma muy especial, cuando dicha información se dirija a los niños.
El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos
su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios
de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo,
permite rebajar esa edad y que cada Estado miembro establezca la suya propia, establecien-
do un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por
debajo de esa edad, es necesario el consentimiento de padres o tutores. Así el artículo 7 de
la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales, establece que «el tratamiento de los datos personales de un menor de
edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.

Oposiciones
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria po-
testad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el
consentimiento para el tratamiento.
El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento,
solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que deter-
minen los titulares de la patria potestad o tutela».
En el caso de las empresas que recopilen datos personales, es importante recordar que el
consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en
un lenguaje que los niños puedan entender.
3. Otra novedad es el llamado «derecho al olvido» en el que se trata de adaptar a la actual so-
ciedad digital global el tradicional derecho de cancelación de los datos personales así como
el derecho de portabilidad.
El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la por-
tabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos
personales que confían a terceros.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciuda-
danos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos
cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron
recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de
forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea
de 13 de mayo de 2014, Sentencia del TJUE, asunto Google vs. España que reconoció por
primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el
interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los
vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incomple-
tas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
En este caso, el responsable de dicha publicación, además de suprimirlos de sus propios sis-
temas, adoptará todas las medidas razonables, incluidas las de carácter técnico, para infor-
mar a los terceros que estén tratando dichos datos de que deben suprimir cualquier enlace
a esos datos personales, o cualquier copia o réplica de los mismos.
Finalmente, se obliga a que el responsable ponga en marcha mecanismos adecuados que ga-
ranticen primero, la fijación de los plazos de conservación de la información y, segundo, los
mecanismos necesarios para asegurar que se respetan los plazos fijados para la supresión de
datos personales o, en su caso, la evaluación periódica de la necesidad de conservar los datos.
Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado
sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar re-
cuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello
sea técnicamente posible, el responsable deberá transferir los datos directamente al nuevo
responsable designado por el interesado.
4. Dos elementos de carácter general constituyen la mayor innovación del Reglamento para
los responsables y, en su caso, encargados, y se proyectan sobre todas las obligaciones de
las organizaciones: el principio de responsabilidad proactiva y el enfoque de riesgo.
Para lo cual, el Reglamento introduce los siguientes mecanismos: registro de actividades de
tratamiento de datos, protección de datos desde el diseño y por defecto, medidas de segu-
ridad, análisis de riesgos, notificación de violaciones de seguridad de los datos, evaluación
de impacto sobre la protección de datos, y finalmente, la figura del delegado de protección
de datos.
4 ‒ 8 www.cef.es
Oposiciones
• Protección de datos desde el diseño y por defecto. La protección de datos desde el di-
seño exige al responsable, que implante desde los primeros momentos de concepción
de un nuevo sistema de información, las medidas y procedimientos técnicos y orga-
nizativos apropiados para garantizar su conformidad con la normativa de protección
de datos y, así, garantizar los derechos y libertades de las personas cuyos datos serán
tratados.
Igualmente, se deberá garantizar que, por defecto, solo se traten los datos personales
estrictamente imprescindibles para la finalidad o finalidades legítimas del tratamiento
y que no se conserven más allá del tiempo mínimo necesario para conseguir dichas
finalidades y, en particular, se garantizará que, también por defecto, los datos perso-
nales no sean accesibles a un número indeterminado de personas.
• En el apartado de medidas de seguridad, la novedad más llamativa es que se deja al
criterio del responsable o encargado del tratamiento el establecimiento de las medi-
das técnicas y organizativas necesarias. Para ello se establece la obligatoriedad de
llevar a cabo un análisis de riesgos de seguridad para determinar las medidas que se
deben de implantar.
A este respecto la Comisión Europea se reserva la posibilidad de establecer y espe-
cificar criterios y condiciones aplicables a las medidas de seguridad.
• Se establece la obligatoriedad de notificar las violaciones de la seguridad de los datos
personales –comúnmente conocidas como «quiebras de seguridad»– a la autoridad
de control en un plazo máximo de 72 horas desde que se tiene conocimiento de las
mismas. Asimismo, en determinados supuestos –entrañen un alto riesgo para los de-
rechos o libertades de los interesados– también se deberán notificar a estos últimos.
• También se introduce la obligación de llevar a cabo una evaluación de impacto rela-
tiva a la protección de datos cuando las operaciones de tratamiento entrañen riesgos
específicos para los derechos y libertades de los interesados en razón de su naturaleza,
alcance o fines. El contenido mínimo de esta evaluación incluirá una descripción ge-
neral de las operaciones de tratamiento previstas, una evaluación de los riesgos para
los derechos y libertades de los interesados, las medidas contempladas para hacer
frente a dichos riesgos, y las garantías, medidas de seguridad y mecanismos destina-
dos a salvaguardar la protección de datos personales y a probar la conformidad con
la legislación de protección de datos.
Si la evaluación de impacto indica que es probable que el tratamiento de datos per-
sonales de que se trate entrañe un elevado nivel de riesgo específicos para los de-
rechos y libertades de los interesados, será obligatorio consultar a la autoridad de
control independiente competente en materia de protección de datos, para garanti-
zar la conformidad del mismo con la normativa de protección de datos y, así, ate-
nuar los riesgos detectados. La autoridad de control de protección de datos también
podrá determinar la obligatoriedad de que se proceda a consultarle previamente, en
aquellas operaciones que considere potencialmente peligrosas para la privacidad
de las personas. Para ello, establecerá y hará pública una lista detallando los trata-
mientos de datos personales sometidos a este control previo.
Finalmente, también son un reflejo de la responsabilidad proactiva la obligatoriedad
de documentar adecuadamente las operaciones de tratamiento de datos personales;
y la regulación de la figura del delegado de protección de datos independiente cuya
designación será obligatoria, entre otras organizaciones, en las Administraciones pú-
blicas.

Oposiciones
5. Se agrava el régimen sancionador y que además se aplica sin distinción a todos los respon-
sables y encargados de tratamiento.
6. Creación del Comité Europeo de Protección de Datos. Al Comité, que actuará con plena
independencia en el desempeño de sus funciones, le corresponde garantizar la aplicación
coherente del Reglamento, para lo cual emitirá dictámenes, directrices, recomendaciones y
buenas prácticas en los términos establecidos en el mismo. Además, le corresponde aseso-
rar a la Comisión en materia de protección de datos.
Una vez expuestos los principales puntos que regula el reglamento, pasaremos a hacer una mención
expresa del contenido de aquellos de sus artículos relativos a las materias solicitados en los epígrafes de
la convocatoria.
2.1. OBJETO (ART. 1)
El Reglamento establece:
• Las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento
de los datos personales y las normas relativas a la libre circulación de tales datos.
• Protege los derechos y libertades fundamentales de las personas físicas y, en particular, su
derecho a la protección de los datos personales.
• La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibi-
da por motivos relacionados con la protección de las personas físicas en lo que respecta al
tratamiento de datos personales.
2.2. ÁMBITO DE APLICACIÓN MATERIAL (ART. 2)
El Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como
al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Queda excluido el tratamiento de datos personales:
a) En el ejercicio de una actividad no comprendida en el ámbito de aplicación del derecho de

la Unión.
b) Por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el
ámbito de aplicación del capítulo 2 del título V del TUE.
c) Efectuado por una persona física en el ejercicio de actividades exclusivamente personales
o domésticas.
d) Por parte de las autoridades competentes con fines de prevención, investigación, detección
o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la
de protección frente a amenazas a la seguridad pública y su prevención.
Si hacemos referencia a la Ley Orgánica 3/2018, excluye de su ámbito de aplicación, además de los
tratamientos anteriormente citados, los sometidos a la normativa sobre protección de materias clasifica-
das y los tratamientos de datos de personas fallecidas. No obstante, las personas vinculadas al fallecido
por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado
4 ‒ 10 www.cef.es
Oposiciones
del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectifi-
cación o supresión, salvo que la persona fallecida lo hubiese prohibido expresamente o una ley establez-
ca que no se pueda acceder, ni solicitar la rectificación o supresión de los datos.
2.3. ÁMBITO TERRITORIAL (ART. 3)
El Reglamento se aplica:
• Al tratamiento de datos personales en el contexto de las actividades de un establecimien-

to del responsable o del encargado en la Unión, independientemente de que el tratamiento
tenga lugar en la Unión o no.
• Al tratamiento de datos personales de interesados que residan en la Unión por parte de un
responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento
estén relacionadas con:
a) La oferta de bienes o servicios a dichos interesados en la Unión, independientemente

de si a estos se les requiere su pago, o
b) El control de su comportamiento, en la medida en que este tenga lugar en la Unión.
• Al tratamiento de datos personales por parte de un responsable que no esté establecido en

la Unión sino en un lugar en que el derecho de los Estados miembros sea de aplicación en
virtud del derecho internacional público.
2.4. DEFINICIONES (ART. 4)
A efectos del presente Reglamento se entenderá por:
1. «Datos personales»: toda información sobre una persona física identificada o identificable
(«el interesado»); se considerará persona física identificable toda persona cuya identidad
pueda determinarse, directa o indirectamente, en particular mediante un identificador, como
por ejemplo un nombre, un número de identificación, datos de localización, un identifica-
dor en línea o uno o varios elementos propios de la identidad física, fisiológica, genética,
psíquica, económica, cultural o social de dicha persona;
2. «Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos perso-
nales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como
la recogida, registro, organización, estructuración, conservación, adaptación o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra
forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
3. «Limitación del tratamiento»: el marcado de los datos de carácter personal conservados con
el fin de limitar su tratamiento en el futuro;
4. «Elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales con-
sistente en utilizar datos personales para evaluar determinados aspectos personales de una
persona física, en particular para analizar o predecir aspectos relativos al rendimiento pro-
fesional, situación económica, salud, preferencias personales, intereses, fiabilidad, compor-
tamiento, ubicación o movimientos de dicha persona física;

Oposiciones
5. «Seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atri-

buirse a un interesado sin utilizar información adicional, siempre que dicha información adicio-
nal figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar
que los datos personales no se atribuyan a una persona física identificada o identificable;
6. «Fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a crite-
rios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o
geográfica;
7. «Responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pú-
blica, servicio u otro organismo que, solo o junto con otros, determine los fines y medios
del tratamiento; si el derecho de la Unión o de los Estados miembros determina los fines
y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su
nombramiento podrá establecerlos el derecho de la Unión o de los Estados miembros;
8. «Encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
9. «Destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al
que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se conside-
rarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco
de una investigación concreta de conformidad con el derecho de la Unión o de los Estados
miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con
las normas en materia de protección de datos aplicables a los fines del tratamiento;
10. «Tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del
interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas
autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del
encargado;
11. «Consentimiento del interesado»: toda manifestación de voluntad libre, específica, infor-
mada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una
clara acción afirmativa, el tratamiento de datos personales que le conciernen;
12. «Violación de la seguridad de los datos personales»: toda violación de la seguridad que
ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trans-
mitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados
a dichos datos;
13. «Datos genéticos»: datos personales relativos a las características genéticas heredadas o adqui-
ridas de una persona física que proporcionen una información única sobre la fisiología o la salud
de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;
14. «Datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico especí-
fico, relativos a las características físicas, fisiológicas o conductuales de una persona física
que permitan o confirmen la identificación única de dicha persona, como imágenes faciales
o datos dactiloscópicos;
15. «Datos relativos a la salud»: datos personales relativos a la salud física o mental de una per-
sona física, incluida la prestación de servicios de atención sanitaria, que revelen informa-
ción sobre su estado de salud;
16. «Establecimiento principal»:
a) En lo que se refiere a un responsable del tratamiento con establecimientos en más

de un Estado miembro, el lugar de su administración central en la Unión, salvo que
las decisiones sobre los fines y los medios del tratamiento se tomen en otro estable-
4 ‒ 12 www.cef.es
Oposiciones
cimiento del responsable en la Unión y este último establecimiento tenga el poder

de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado
tales decisiones se considerará establecimiento principal.
b) En lo que se refiere a un encargado del tratamiento con establecimientos en más de
un Estado miembro, el lugar de su administración central en la Unión o, si careciera
de esta, el establecimiento del encargado en la Unión en el que se realicen las prin-
cipales actividades de tratamiento en el contexto de las actividades de un estableci-
miento del encargado en la medida en que el encargado esté sujeto a obligaciones
específicas con arreglo al presente Reglamento.
17. «Representante»: persona física o jurídica establecida en la Unión que, habiendo sido de-
signada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo
27, represente al responsable o al encargado en lo que respecta a sus respectivas obligacio-
nes en virtud del presente Reglamento;
18. «Empresa»: persona física o jurídica dedicada a una actividad económica, independiente-
mente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regu-
larmente una actividad económica;
19. «Grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empre-
sas controladas;
20. «Normas corporativas vinculantes»: las políticas de protección de datos personales asumi-
das por un responsable o encargado del tratamiento establecido en el territorio de un Estado
miembro para transferencias o un conjunto de transferencias de datos personales a un res-
ponsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una
unión de empresas dedicadas a una actividad económica conjunta.
21. «Autoridad de control»: la autoridad pública independiente establecida por un Estado miem-
bro con arreglo a lo dispuesto en el artículo 51;
22. «Autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de
datos personales debido a que:
a) El responsable o el encargado del tratamiento está establecido en el territorio del Es-

tado miembro de esa autoridad de control.
b) Los interesados que residen en el Estado miembro de esa autoridad de control se ven
sustancialmente afectados o es probable que se vean sustancialmente afectados por
el tratamiento.
c) Se ha presentado una reclamación ante esa autoridad de control.
23. «Tratamiento transfronterizo»:
a) El tratamiento de datos personales realizado en el contexto de las actividades de es-

tablecimientos en más de un Estado miembro de un responsable o un encargado del
tratamiento en la Unión, si el responsable o el encargado está establecido en más de
un Estado miembro.
b) El tratamiento de datos personales realizado en el contexto de las actividades de un
único establecimiento de un responsable o un encargado del tratamiento en la Unión,
pero que afecta sustancialmente o es probable que afecte sustancialmente a interesa-
dos en más de un Estado miembro.

Oposiciones
24. «Objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la exis-
tencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente
Reglamento de acciones previstas en relación con el responsable o el encargado del trata-
miento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de
decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para
la libre circulación de datos personales dentro de la Unión.
25. «Servicio de la sociedad de la información»: todo servicio conforme a la definición del ar-
tículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del
Consejo.
26. «Organización internacional»: una organización internacional y sus entes subordinados de
derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre
2 o más países o en virtud de tal acuerdo.
3. PRINCIPIOS RELATIVOS AL TRATAMIENTO (ARTS. 5 A 11)
En los artículos 5 a 11 se precisan los principios o reglas a los que debe ser sometido el tratamien-
to, recogida y el contenido de los datos personales.
3.1. PRINCIPIOS RELATIVOS AL TRATAMIENTO (ART. 5)
En virtud de este principio, los datos personales serán:
a) Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad
y transparencia»).
b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormen-
te de manera incompatible con dichos fines (el tratamiento ulterior de los datos persona-
les con fines de archivo en interés público, fines de investigación científica e histórica o
fines estadísticos no se considerará incompatible con los fines iniciales («limitación de
la finalidad»).
c) Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son
tratados («minimización de datos»).
d) Exactos y si fuera necesario, actualizados; se adoptarán todas las medidas razonables para
que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con
respecto a los fines para los que se tratan («exactitud»). En este sentido, la Ley Orgánica
3/2018 apunta que no será imputable al responsable del tratamiento, siempre que este haya
adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la
inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando
los datos inexactos hubiesen sido obtenidos por el responsable directamente del afectado,
cuando hubiesen sido obtenidos por el responsable de un mediador o intermediario, si fue-
sen sometidos a tratamiento por el responsable por haberlos recibido de otro responsable o,
por último, si fuesen obtenidos de un registro público por el responsable.
e) Mantenidos de forma que se permita la identificación de los interesados durante no más
tiempo del necesario para los fines del tratamiento de los datos personales. También, en
este caso, se permite su conservación durante periodos más largo con fines de interés pú-
4 ‒ 14 www.cef.es
Oposiciones
blico, fines de investigación científica o histórica o fines estadísticos («limitación del plazo
de conservación»).
f) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales,
incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, des-
trucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas
(«integridad y confidencialidad»). En este aspecto, la Ley Orgánica 3/2018 señala que esta
obligación de confidencialidad será complementaria de los deberes de secreto profesional
de conformidad con su normativa aplicable.
El responsable del tratamiento será responsable del cumplimiento de los principios relativos al tra-
tamiento y capaz de demostrarlo («responsabilidad proactiva»).
3.2. LICITUD DEL TRATAMIENTO (ART. 6)
El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o
varios fines específicos.
b) El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte
o para la aplicación a petición de este de medidas precontractuales;
c) El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al res-
ponsable del tratamiento. La Ley Orgánica 3/2018 apunta que este tratamiento solo podrá
considerarse fundado cuando así lo prevea una norma de Derecho de la Unión Europea o
una norma con rango de ley, que podrá determinar las condiciones generales del tratamien-
to y los tipos de datos objeto del mismo.
d) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona
física;
d) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona
física;
e) El tratamiento es necesario para el cumplimiento de una misión realizada en interés públi-
co o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. En este
caso, la Ley Orgánica 3/2018 apunta que este tratamiento solo podrá considerarse fundado
cuando derive de una competencia atribuida por una norma con rango de ley.
f) El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no preva-
lezcan los intereses o los derechos y libertades fundamentales del interesado que requieran
la protección de datos personales, en particular cuando el interesado sea un niño. Lo dis-
puesto en este apartado no será de aplicación al tratamiento realizado por las autoridades
públicas en el ejercicio de sus funciones.
El Reglamento mantiene, por tanto, el principio ya recogido en la Directiva 95/46 de que todo tra-
tamiento de datos necesita apoyarse en una base jurídica que lo legitime, recogiendo las mismas bases
jurídicas que contenía la Directiva y la Ley 15/1999: Consentimiento, relación contractual, intereses vi-
tales del interesado o de otras personas, obligación legal para el responsable, interés público o ejercicio
de poderes públicos, e intereses legítimos prevalentes del responsable o de terceros a los que se comu-
nican los datos.

Oposiciones
3.3. CONDICIONES PARA EL CONSENTIMIENTO (ART. 7)
El Reglamento define el consentimiento del interesado como toda manifestación de voluntad, libre,
específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o
una clara acción afirmativa, el tratamiento de los datos personales que le conciernen.
Las condiciones para el consentimiento son: que el responsable deberá ser capaz de demostrar que
aquel consintió el tratamiento de sus datos personales; que si se da en el contexto de una declaración
escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma
que se distinga claramente de los demás asuntos y que el interesado tendrá derecho a retirar su consen-
timiento en cualquier momento.
3.4. CONDICIONES APLICABLES AL CONSENTIMIENTO DEL NIÑO EN RELA-

CIÓN CON LOS SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN (ART. 8)
En relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento

de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño
es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o au-
torizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta
no sea inferior a 13 años. En España, la Ley Orgánica 3/2018 establece que el tratamiento de los datos
personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de
14 años. El tratamiento de los datos de los menores de 14 años, fundado en el consentimiento, solo será
lícito si consta el del titular de la patria potestad o tutela.
3.5. TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS PERSONALES

(ART. 9)
Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opi-
niones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos
genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relati-
vos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
No obstante, el Reglamento contempla varias excepciones y, por lo tanto, no será de aplicación

cuando concurra una de las circunstancias siguientes. Entre otras mencionamos:
• Si el interesado dio su consentimiento explícito para el tratamiento de dichos datos para

fines concretos, salvo que el derecho de la Unión o de los Estados miembros lo prohíba. En
concreto, en el caso de España, si atendemos a la Ley Orgánica 3/2018, se recoge que a fin
de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para
levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su
ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
• Si el tratamiento es preciso en el ámbito laboral y de la seguridad y protección social.
• Si el tratamiento es necesario para la protección de intereses vitales del interesados o de ter-
ceros.
• Si se refiere a datos que el interesado ha hecho públicos intencionadamente.
4 ‒ 16 www.cef.es
Oposiciones
• Si el tratamiento es necesario por razones de un interés público esencial, sobre la base del
derecho de la Unión o de los Estados miembros, para fines de medicina preventiva o la-
boral, evaluación de la capacidad laboral de trabajadores, tratamiento sanitario o social, la
salud pública; fines de archivo de interés público, investigación científica o histórica o de
estadística, entre otros.
3.6. TRATAMIENTO DE DATOS PERSONALES RELATIVOS A CONDENAS E

INFRACCIONES PENALES (ART. 10)
El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de se-

guridad conexas sobre la base del artículo 6, apartado 1, solo podrá llevarse a cabo bajo la supervisión
de las autoridades públicas o cuando lo autorice el derecho de la Unión o de los Estados miembros que
establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse
un registro completo de condenas penales bajo el control de las autoridades públicas. En España, el
registro completo de los datos referidos a condenas e infracciones penales podrá realizarse conforme
con lo establecido en la regulación del sistema de registros administrativos de apoyo a la Administra-
ción de Justicia.
3.7. TRATAMIENTO QUE NO REQUIERE IDENTIFICACIÓN (ART. 11)
Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la
identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar
información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presen-
te reglamento.
4. DERECHOS DE LOS INTERESADOS
El Reglamento consagra su capítulo III (arts. 12 a 23) a la regulación de los derechos de los inte-
resados.
En el artículo 12 se establecen las obligaciones generales que deberá observar el responsable del
tratamiento en el ejercicio de los derechos reconocidos al interesado.
A continuación, se regulan los distintos derechos: transparencia (art. 12), información (arts. 13 y 14),
acceso (art. 15), rectificación (art. 16), supresión o derecho al olvido (art. 17), limitación del tratamiento
(art. 18), portabilidad de datos (art. 20) y oposición (art. 21 y, en lo relativo a decisiones individualizas,
art. 22). La Ley Orgánica 3/2018 establece que los derechos reconocidos en los artículos 15 a 22 del Re-
glamento (UE) 2016/679 podrán ejercerse directamente o por medio de representante legal o voluntario.
Finalmente, este capítulo se cierra con el artículo 23, el cual permite que, a través de medidas le-
gislativas y por las causas tasadas en dicho artículo, se puedan establecer limitaciones al alcance de los
derechos reconocidos a los interesados.
Ahora bien, la regulación de los derechos de los interesados no se agota en dicho capítulo. Así, en
el capítulo VIII (arts. 77 a 84) se pone a disposición de los interesados mecanismos de reclamación ante
la autoridad de control y de tutela judicial contra una autoridad de control, además de reconocerles el

Oposiciones
derecho a ser indemnizados por el responsable o encargado del tratamiento por los daños y perjuicios
sufridos como consecuencia de la infracción del Reglamento.
Finalmente, téngase en cuenta el carácter hibrido de algunos principios y obligaciones, en la medi-

da que los mismos constituyen a su vez obligaciones para el responsable y/o encargado del tratamiento
y correlativamente derechos para los interesados. Expresamente así lo recoge el Reglamento en el caso
de las notificaciones de violaciones de seguridad (art. 34).
4.1. TRANSPARENCIA Y MODALIDADES
4.1.1. Transparencia de la información, comunicación y modalidades de ejercicio de

los derechos del interesado (art. 12)
En este artículo se recogen un conjunto de obligaciones que deberá observar el responsable del tra-
tamiento en relación con los derechos reconocidos al interesado.
En lo relativo a la información y comunicaciones dirigidas al interesado, en cumplimiento de los

artículos 13 y 14, 15 a 22, y 34, se exige al responsable que adopte las medidas oportunas para garan-
tizar que sea concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en
particular cualquier información dirigida específicamente a un niño. La información será facilitada por
escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el intere-
sado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesa-
do por otros medios.
Se establece, además, en el apartado f) de este artículo, que la información que deberá facilitarse a
los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos norma-
lizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una ade-
cuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico
serán legibles mecánicamente.
En lo relativo al ejercicio de los derechos que el Reglamento reconoce al interesado en sus artícu-
los 15 a 22, el responsable deberá:
• Facilitar al interesado el ejercicio de esos derechos.

• Cuando el interesado ejercite cualquiera de esos derechos, el responsable le facilitará la in-
formación relativa a sus actuaciones en el plazo de un mes a partir de la recepción de la so-
licitud. Este plazo podrá prorrogase 2 meses más, en atención a la complejidad y número
de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en
el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la di-
lación. Cuando el interesado presente la solicitud por medios electrónicos, la información
se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite
que se facilite de otro modo.
• Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin
dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones
de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de
control y de ejercitar acciones judiciales.
La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier
actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito.
4 ‒ 18 www.cef.es
Oposiciones
Ahora bien, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente
debido a su carácter repetitivo, el responsable del tratamiento podrá cobrar un canon o negarse a actuar
respecto a la solicitud. El responsable del tratamiento soportará la carga de demostrar el carácter mani-
fiestamente infundado o excesivo de la solicitud.
4.2. INFORMACIÓN Y ACCESO A LOS DATOS PERSONALES
4.2.1. Información que deberá facilitarse cuando los datos personales se obtengan
del interesado (art. 13)
De acuerdo con el apartado 1 del artículo 13 del Reglamento, el responsable del tratamiento, en el
momento en que se obtengan los datos personales, deberán informar al interesado de:
a) La identidad y datos de contacto del responsable y, en su caso, del representante.

b) De existir esta figura, de los datos de contacto del delegado de protección de datos.
c) Los fines y base jurídica del tratamiento.
d) Los destinatarios o categorías de destinatarios de los datos personales en su caso.
e) Los intereses legítimos del responsable o de un tercero, si de conformidad con el artículo
6.1f), el tratamiento se basa en ellos.
f) En su caso, de su intención de transferir datos personales a un tercer país u organización in-
ternacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en
el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1,
párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para ob-
tener una copia de estas o al hecho de que se hayan prestado.
Además de la información mencionada en el apartado 1 del artículo 13, se establece en el apartado

2 que el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos
personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los
criterios utilizados para determinar este plazo.
b) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos
personales relativos al interesado, y su rectificación o supresión, o la limitación de su trata-
miento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
c) Si el tratamiento se basa en el consentimiento, su derecho a revocarlo en cualquier momen-
to, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su
retirada.
d) El derecho a presentar una reclamación ante una autoridad de control.
e) Si la comunicación de datos personales es un requisito legal o contractual, o un requisito
necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos per-
sonales y está informado de las posibles consecuencias de que no facilitar tales datos.
f) La existencia de decisiones automatizas, incluida la elaboración de perfiles, así como sobre
la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Oposiciones
Lo previsto en este artículo no será aplicable cuando y en la medida en que el interesado ya dispon-
ga de esta información.
4.2.2. Información que deberá facilitarse cuando los datos personales no se hayan
obtenido del interesado (art. 14)
Asimismo, si los datos no se han obtenido del interesado será necesario facilitarle cierta informa-
ción, en un determinado plazo. Esta información coincide con la información prevista en el artículo 13.1
salvo el apartado d) –es decir, con la información a facilitar si los datos personales se recaban directa-
mente del interesado– debiendo, además, informarle de las categorías de datos personales de que se trate.
Asimismo, para garantizar un tratamiento de datos leal y transparente, el responsable deberá pro-
porcionarle la información relacionada en el subepígrafe (art. 13.2) anterior para el mismo fin, y además
informarle sobre la fuente de la que procedan los datos personales y, en su caso, si proceden de fuentes
de acceso público.
El responsable del tratamiento facilitará la información anterior:
a) Dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro
de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.
b) Si los datos personales han de utilizarse para comunicación con el interesado, a más tardar
en el momento de la primera comunicación a dicho interesado.
c) Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los
datos personales sean comunicados por primera vez.
Finalmente, también se recogen al final de este artículo, aquellos supuestos en que no habrá que fa-
cilitar esta información interesado (el interesado ya tenga la información, la comunicación resulte impo-
sible o un esfuerzo desproporcionado, en particular para el tratamiento de datos con fines de archivo en
interés público, fines de investigación o fines estadísticos, etc.).
4.3. DERECHO DE ACCESO DEL INTERESADO (ART. 15)
El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están
tratando o no datos personales que le conciernen y, en tal caso, tendrá derecho de acceso a los datos per-
sonales –copia de los datos personales objeto de tratamiento– y a la siguiente información:
a) Los fines del tratamiento; categorías de datos personales de que se traten y de las posibles
comunicaciones de datos y sus destinatarios (en particular, destinatarios en terceros países
u organizaciones internacionales).
b) De ser posible, el plazo de conservación de los datos. De no serlo, los criterios para deter-
minar este plazo.
c) La existencia del derecho a solicitar del responsable la rectificación o supresión de datos
personales o la limitación del tratamiento de datos personales relativos al interesado, o a
oponerse a dicho tratamiento.
d) El derecho a presentar una reclamación ante la autoridad de control.
4 ‒ 20 www.cef.es
Oposiciones
e) Si se produce una transferencia internacional de datos, recibir información de las garantías

adecuadas.
f) De la existencia de decisiones automatizadas (incluyendo perfiles), la lógica aplicada y con-
secuencias de este tratamiento.
Cuando se transfieran datos personales a un tercer país o a una organización internacional, el inte-
resado tendrá derecho a ser informado de las garantías adecuadas.
El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El
responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable ba-
sado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos,
y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato elec-
trónico de uso común.
Al efecto del ejercicio de este derecho, la Ley Orgánica 3/2018 completa algunas cuestiones, tales
como las siguientes:
• Cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite
su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el res-
ponsable podrá solicitarle, antes de facilitar la información, que especifique los datos o ac-
tividades de tratamiento a los que se refiere la solicitud.
• El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afec-
tado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de
modo permanente, el acceso a su totalidad. En este sentido, si el afectado elige un medio dis-
tinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada
excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte.
• Se podrá entender repetitivo el ejercicio del derecho de acceso cuando este tenga lugar en
más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para
ello. Si fuera repetitivo, el responsable del tratamiento podrá cobrar un canon o negarse a
actuar respecto a la solicitud.
4.4. DERECHO DE RECTIFICACIÓN (ART. 16)
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la recti-
ficación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamien-
to, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive
mediante una declaración adicional.
En cuanto a la forma de ejercer el derecho, la Ley Orgánica 3/2018 recoge que el afectado deberá
indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse, debiendo acompañar,
cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos
objeto de tratamiento.
4.5. DERECHO DE SUPRESIÓN («EL DERECHO AL OLVIDO») (ART. 17)
Este derecho es una novedad introducida por el Reglamento, si bien, supone la evolución y adapta-
ción del derecho de cancelación recogido en la normativa anterior.

Oposiciones
En virtud del mismo, y de acuerdo con lo establecido en el apartado 1 del artículo 17, el interesado
tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos
personales que le conciernan, cuando concurra alguna de las circunstancias siguientes:
a) Los datos personales ya no sean necesarios en relación con los fines para los que fueron re-
cogidos o tratados de otro modo.
b) En el caso de que el tratamiento se base únicamente en el consentimiento del interesado –
artículo 6.1 a) o artículo 9.2 a)–, cuando el interesado lo retire.
c) El interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no preva-
lezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamien-
to con arreglo al artículo 21, apartado 2 (en el art. 21 se regula el derecho de oposición, en
concreto, en su apartado 2, cuanto el tratamiento tenga por objeto la mercadotecnia directa).
En este supuesto, la Ley Orgánica 3/2018 señala que el responsable podrá conservar los
datos identificativos del afectado necesarios, con el fin de impedir tratamientos futuros para
fines de mercadotecnia directa.
d) Los datos personales hayan sido tratados ilícitamente.
e) Los datos personales deban suprimirse para el cumplimiento de una obligación legal esta-
blecida en el derecho de la Unión o de los Estados miembros que se aplique al responsable
del tratamiento.
f) Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad
de la información mencionados en el artículo 8, apartado 1 (consentimiento de menores en
relación con los servicios de la sociedad de la información).
Por su parte, se establece en el apartado 2 de este artículo que cuando haya hecho públicos los datos
personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el res-
ponsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adop-
tará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén
tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos
personales, o cualquier copia o réplica de los mismos.
Son excepciones a este derecho y no procederá, por tanto, la supresión de datos cuando el trata-
miento sea necesario:
a) Para ejercer el derecho a la libertad de expresión e información.

b) Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impues-
ta por el derecho de la Unión o de los Estados miembros que se aplique al responsable del
tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejer-
cicio de poderes públicos conferidos al responsable.
c) Por razones de interés público en el ámbito de la salud pública de conformidad con el ar-
tículo 9, apartado 2, letras h) e i), y apartado 3.
d) Con fines de archivo en interés público, fines de investigación científica o histórica o fines
estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho
indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los
objetivos de dicho tratamiento.
e) Para la formulación, el ejercicio o la defensa de reclamaciones.
4 ‒ 22 www.cef.es
Oposiciones
Como especificidad, destacar que la Ley Orgánica 3/2018, en relación con el derecho al olvido,
lo proyecta fundamentalmente en su título X, relativo a la garantía de los derechos digitales, pudien-
do ejercerse el citado derecho en búsquedas de internet y en servicios de redes sociales y equivalentes
(arts. 93 y 94).
4.6. DERECHO A LA LIMITACIÓN DEL TRATAMIENTO (ART. 18)
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento
de los datos cuando se cumpla alguna de las condiciones siguientes:
a) El interesado impugne la exactitud de los datos personales, durante un plazo que permita al
responsable verificar la exactitud de los mismos;
b) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y
solicite en su lugar la limitación de su uso;
c) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el in-
teresado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) El interesado se haya opuesto al tratamiento –haya ejercitado el derecho de oposición pre-
visto en el art. 21– mientras se verifica si los motivos legítimos del responsable prevalecen
sobre los del interesado.
Cuando el tratamiento de datos personales se haya limitado, dichos datos solo podrán ser objeto de
tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación,
el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física
o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.
Todo interesado que haya obtenido la limitación del tratamiento, será informado por el responsable
antes del levantamiento de dicha limitación.
Además, en la Ley Orgánica 3/2018 se establece que cuando el tratamiento de los datos personales
esté limitado deberá constar claramente en los sistemas de información del responsable.
4.7. OBLIGACIÓN DE NOTIFICACIÓN RELATIVA A LA RECTIFICACIÓN O

SUPRESIÓN DE DATOS PERSONALES O LA LIMITACIÓN DEL TRATAMIENTO
(ART. 19)
El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales

o limitación del tratamiento a cada uno de los destinatarios a los que se hayan comunicado los datos per-
sonales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al in-
teresado acerca de dichos destinatarios, si este así lo solicita.
4.8. DERECHO A LA PORTABILIDAD DE LOS DATOS (ART. 20)
Junto con el derecho al olvido, es otra de las novedades más importantes, en lo relativo a los dere-
chos de los interesados, introducidas por el Reglamento.

Oposiciones
El mismo implica que el interesado tendrá derecho a recibir los datos personales que le incumban,
que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectu-
ra mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que
se los hubiera facilitado, cuando:
a) El tratamiento esté basado en el consentimiento o en un contrato con arreglo al artículo 6.1 b).
b) El tratamiento se efectúe por medios automatizados.
El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable
a responsable cuando sea técnicamente posible.
4.9. DERECHO DE OPOSICIÓN (ART. 21)
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su
situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en
lo dispuesto en el artículo 6, apartado 1, letras e) o f) (el tratamiento es necesario para el cumplimien-
to de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al res-
ponsable del tratamiento o que el tratamiento es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la pro-
tección de datos personales, en particular cuando el interesado sea un niño) incluida la elaboración de
perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos
personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre
los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defen-
sa de reclamaciones.
Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa (convencer al
cliente para el consumo), el interesado tendrá derecho a oponerse en todo momento al tratamiento de los
datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacio-
nada con la citada mercadotecnia.
Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos perso-
nales dejarán de ser tratados para dichos fines.
Cuando los datos personales se traten con fines de investigación científica o histórica o fines es-
tadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos
relacionados con su situación particular, a oponerse al tratamiento de datos personales que le con-
ciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés
público.
4.10. DECISIONES INDIVIDUALES AUTOMATIZADAS, INCLUIDA LA ELABO-

RACIÓN DE PERFILES (ART. 22)
Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamien-
to automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte sig-
nificativamente de modo similar.
4 ‒ 24 www.cef.es
Oposiciones
No será posible el ejercicio de ese derecho, si la decisión:
a) Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un res-

ponsable del tratamiento.
b) Está autorizada por el derecho de la Unión o de los Estados miembros que se aplique al res-
ponsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar
los derechos y libertades y los intereses legítimos del interesado.
c) Se basa en el consentimiento explícito del interesado.
4.11. LIMITACIONES (ART. 23)
El derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del
tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los dere-
chos establecidos en los artículos 12 a 22 y el artículo 34 (notificación de violaciones de seguridad al in-
teresado), así como en el artículo 5 (principios relativos al tratamiento), cuando tal limitación respete en
lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una
sociedad democrática para salvaguardar:
a) La seguridad del Estado.
b) La defensa.
c) La seguridad pública.
d) La prevención, investigación, detección o enjuiciamiento de infracciones penales o la eje-

cución de sanciones penales, incluida la protección frente a amenazas a la seguridad públi-
ca y su prevención.
e) Otros objetivos importantes de interés público general de la Unión o de un Estado miem-

bro, en particular un interés económico o financiero importante de la Unión o de un Estado
miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y
la seguridad social.
f) La protección de la independencia judicial y de los procedimientos judiciales.
g) La prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas

deontológicas en las profesiones reguladas.
h) Una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmen-

te, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y
g) seguridad del Estado, objetivos de interés público de la Unión o de los Estados miembros
e infracciones de normas deontológicas).
i) La protección del interesado o de los derechos y libertades de otros.
j) La ejecución de demandas civiles.
Las medidas legislativas adoptadas deberán recoger las disposiciones específicas previstas en el
apartado 2 de artículo 23.

Oposiciones
4.12. OTROS DERECHOS: RECLAMACIÓN, TUTELA JUDICIAL E INDEMNIZACIÓN

(CAPÍTULO VIII DEL RGPD)
Tal y como se ha indicado al inicio de este epígrafe, la regulación de los derechos no se agota en
el capítulo III.
Así, en el capítulo VIII (arts. 77 a 84) se recogen distintos derechos distinguiendo entre los dere-
chos reconocidos a los interesados -en los términos que el RGPD define interesado en su art. 4.1) - y los
derechos reconocidos, en general, a las personas.
Los derechos reservados a los interesados son:
• El derecho a presentar una reclamación ante una autoridad de control (art. 77), al margen
de otros recursos o acciones judiciales, si considera que el tratamiento de datos personales
que le conciernen infringe el Reglamento. En este sentido, la Ley Orgánica 3/2018 recoge
que el interesado podrá, con carácter previo a la presentación de una reclamación contra el
responsable o el encargado del tratamiento ante la Agencia Española de Protección de Datos
o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al delegado
de protección de datos de la entidad contra la que se reclame. En este caso, el delegado de
protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo
máximo de dos meses a contar desde la recepción de la reclamación.
• Derecho a la tutela judicial efectiva contra una autoridad de control (art. 78), bien contra las
decisiones jurídicamente vinculantes dictadas por esta autoridad, bien porque no dé curso
a una reclamación o no sea informado en el plazo de 3 meses sobre el curso o resultado de
la reclamación mencionada anteriormente (reclamación del art. 77).
• El derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento
(art. 79), al margen de otros recursos o acciones judiciales, incluida la reclamación regulada
en el artículo 77, cuando el interesado considere que sus derechos en virtud del Reglamento
han sido vulnerados como consecuencia de un tratamiento de sus datos personales.
Finalmente, el Reglamento reconoce con carácter general a las personas el derecho a la tutela ju-
dicial efectiva contra una autoridad de control anteriormente mencionado (art. 78) y el derecho a la in-
demnización y responsabilidad (art. 82). En virtud de este último derecho toda persona que haya sufrido
daños y perjuicios materiales o inmateriales como consecuencia de una infracción del Reglamento ten-
drá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y
perjuicios sufridos en los términos establecidos en el artículo 82.
5. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO Y ENCARGADO

DEL TRATAMIENTO
Se encuentran reguladas en el capítulo IV (arts. 24 a 39) del RGPD. Este capítulo se estructura en
4 secciones, distinguiéndose así 4 categorías de obligaciones:
1. Generales.
2. Relativas a la seguridad de los datos personales.
3. Relativas a la evaluación de impacto y consulta previa.
4. Relativas al delegado de protección de datos.
4 ‒ 26 www.cef.es
Oposiciones
5.1. OBLIGACIONES GENERALES
5.1.1. Responsabilidad del responsable del tratamiento (art. 24)
Se recoge la obligación general de que, en atención a la naturaleza, fines del tratamiento y riesgos
probables para los derechos y libertades de las personas físicas, el responsable del tratamiento aplique
las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamien-
to es conforme con el presente RGPD. Estas medidas se revisarán y actualizarán cuando sea necesario.
Para demostrar el cumplimiento de sus obligaciones, el responsable podrá utilizar la adhesión a códi-
gos de conducta o mecanismos de certificación, que cumplan los requisitos establecidos en el Reglamento.
5.1.2. Protección de datos desde el diseño y por defecto (art. 25)
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, con-

texto y fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas,
el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento
como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seu-
donimización o la minimización de datos, e integrará las garantías necesarias en el tratamiento, a fin de
cumplir los requisitos del Reglamento y proteger los derechos de los interesados.
El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras
a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios
para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos
personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.
Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la
intervención de la persona, a un número indeterminado de personas físicas.
5.1.3. Corresponsables del tratamiento (art. 26)
Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamien-
to serán considerados corresponsables del tratamiento. Los corresponsables determinarán sus responsa-
bilidades respectivas en el cumplimiento de las obligaciones impuestas por el reglamento, salvo, y en
la medida en que, sus responsabilidades respectivas se rijan por el derecho de la Unión o de los Estados
miembros que se les aplique a ellos. En este aspecto, la Ley Orgánica 3/2018 matiza que la determina-
ción de las responsabilidades se realizará atendiendo a las actividades que efectivamente desarrolle cada
uno de los corresponsables del tratamiento.
Independientemente de los términos del acuerdo, los interesados podrán ejercer los derechos que
les reconoce el Reglamento frente a, y en contra de, cada uno de los responsables.
5.1.4. Representantes de responsables o encargados del tratamiento no establecidos

en la Unión (art. 27)
Cuando sea de aplicación el artículo 3, apartado 2 (El Reglamento se aplica al tratamiento de datos
personales de interesados que residan en la Unión por parte de un responsable o encargado no estableci-
do en la Unión, cuando las actividades de tratamiento estén relacionadas con ciertas circunstancias que

Oposiciones
se describen en el precepto), el responsable o el encargado del tratamiento designará por escrito un re-
presentante en la Unión. Se regulan supuestos de no aplicación.
5.1.5. Encargado del tratamiento (art. 28)
Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá
únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizati-
vas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento
y garantice la protección de los derechos del interesado.
El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, es-
pecífica o general, del responsable. En este último caso, el encargado informará al responsable de cual-
quier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la
oportunidad de oponerse a dichos cambios.
El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al derecho
de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca
el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías
de interesados y las obligaciones y derechos del responsable. En este sentido, la Ley Orgánica 3/2018
establece que el responsable del tratamiento determinará si, cuando finalice la prestación de los servi-
cios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en
su caso, a un nuevo encargado.
5.1.6. Tratamiento bajo la autoridad del responsable o del encargado del tratamien-
to (art. 29)
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del
encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del res-
ponsable, a no ser que estén obligados a ello en virtud del derecho de la Unión o de los Estados miembros.
5.1.7. Registro de las actividades de tratamiento (art. 30)
Cada responsable y, en su caso, su representante llevarán un registro de las actividades de trata-

miento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada
en el artículo 30 del Reglamento.
Están exentas las empresas y organizaciones que empleen a menos de 250 trabajadores, a menos que
el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no
sea ocasional o incluya categorías especiales de datos o datos relativos a condenas o infracciones penales.
La Ley Orgánica 3/2018 establece que cuando el responsable o el encargado del tratamiento hubie-
ran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación
o exclusión en el contenido del registro. Además, para sujetos tales como órganos constitucionales o con
relevancia constitucional, órganos jurisdiccionales, la Administración General del Estado, Administra-
ciones de las comunidades autónomas, entidades que integran la Administración Local o las autoridades
administrativas independientes, entre otros, tendrán que hacer público un inventario de sus actividades
de tratamiento accesible por medios electrónicos en el que constará la información prevista en el artícu-
lo 30 del RGPD.
4 ‒ 28 www.cef.es
Oposiciones
5.1.8. Cooperación con la autoridad de control (art. 31)
El responsable y el encargado del tratamiento y, en su caso, sus representantes cooperarán con la

autoridad de control que lo solicite en el desempeño de sus funciones.
5.2. SEGURIDAD DE LOS DATOS PERSONALES
5.2.1. Seguridad del tratamiento. El análisis del riesgo (art. 32)
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el

contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los de-
rechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán me-
didas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que
en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales;

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia per-
manentes de los sistemas y servicios de tratamiento;
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rá-
pida en caso de incidente físico o técnico;
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas
técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que
presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración
accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comuni-
cación o acceso no autorizados a dichos datos.
El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier per-
sona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo
pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en vir-
tud del derecho de la Unión o de los Estados miembros.
5.2.2. Notificación de una violación de la seguridad de los datos personales a la au-

toridad de control (art. 33)
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la no-
tificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y,
de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea im-
probable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de
las personas físicas.
Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acom-

pañada de indicación de los motivos de la dilación. El encargado del tratamiento notificará sin dilación
indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que
tenga conocimiento.

Oposiciones
El responsable del tratamiento documentará cualquier violación de la seguridad de los datos perso-
nales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha
documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el pre-
sente artículo.
5.2.3. Comunicación de una violación de la seguridad de los datos personales al in-

teresado (art. 34)
Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto ries-
go para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al
interesado sin dilación indebida.
La comunicación al interesado no será necesaria en los siguientes casos:
a) El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas

apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de
la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos
personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
b) El responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista
la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado;
c) Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comu-
nicación pública o una medida semejante por la que se informe de manera igualmente efec-
tiva a los interesados.
5.3. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Y

CONSULTA PREVIA
5.3.1. Evaluación de impacto relativa a la protección de datos (art. 35)
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su
naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las perso-
nas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de
las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar
una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha

sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento
que requieran una evaluación de impacto relativa a la protección de datos. La autoridad de control co-
municará esas listas al Comité Europeo de Protección de Datos.
La evaluación deberá incluir como mínimo:
a) Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del
tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable
del tratamiento.
4 ‒ 30 www.cef.es
Oposiciones
b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con

respecto a su finalidad.
c) Una evaluación de los riesgos para los derechos y libertades de los interesados.
d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad
y mecanismos que garanticen la protección de datos personales, y a demostrar la conformi-
dad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de
los interesados y de otras personas afectadas.
5.3.2. Consulta previa (art. 36)
El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una

evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tra-
tamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.
Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado an-
terior podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado
o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde
la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar
cualquiera de sus poderes mencionados en el artículo 58, entre ellos, prohibir el tratamiento.
Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto.
La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo
de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos
plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a
los fines de la consulta.
5.4. DELEGADO DE PROTECCIÓN DE DATOS (ARTS. 37-39)
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Oﬃcer), constituye uno
de los elementos claves del Reglamento, y un garante del cumplimiento de la normativa de la protección
de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control. Es
decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del dere-
cho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie
de funciones reguladas en el artículo 39 del Reglamento, entre las que destacan informar y asesorar, así
como supervisar el cumplimiento del Reglamento por parte del responsable o encargado.
No obstante, lo anterior, conviene precisar dos cuestiones al respecto:
• El Reglamento no exige que deba ser un jurista, pero sí que cuente con ese conocimiento
en derecho anteriormente citado.
• El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta
materia.
La designación de un delegado de protección de datos por el responsable y el encargado del trata-

miento será obligatoria en los casos en que:

Oposiciones
a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que
actúen en ejercicio de su función judicial.
b) Las actividades principales del responsable o del encargado consistan en operaciones de
tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación ha-
bitual y sistemática de interesados a gran escala.
c) Las actividades principales del responsable o del encargado consistan en el tratamiento a
gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos
relativos a condenas e infracciones penales a que se refiere el artículo 10.
Un grupo empresarial podrá nombrar un único delegado siempre que sea fácilmente accesible desde
cada establecimiento.
En el caso de los organismos públicos, se podrá asimismo designar un único delegado, en función
de su estructura organizativa y tamaño.
Según lo establecido en la Ley Orgánica 3/2018, también deberán designar delegado de protección
de datos, entre otras, entidades como los colegios profesionales, los centros docentes, los establecimientos
financieros de crédito o las entidades aseguradoras y reaseguradoras (resto de supuestos en el art. 34 de la
Ley Orgánica 3/2018). Por su parte, los responsables y encargados del tratamiento comunicarán en el plazo
de 10 días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de
protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos.
5.4.1. Designación del delegado de protección de datos
En relación con la designación del delegado de protección datos, el artículo 37 del Reglamento es-
tablece lo siguiente:
• El responsable o el encargado del tratamiento designarán el delegado de protección de datos

atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especiali-
zados de la legislación y las prácticas en materia de protección de datos, y a su capacidad
para ejecutar las tareas contempladas en el artículo 39. El nivel de conocimientos especia-
lizados requerido se determinará, en particular, en función del tratamiento de datos llevado
a cabo y de la protección exigida para los datos personales tratados por el responsable o el
encargado del tratamiento.
• El delegado de protección de datos podrá ser empleado por el responsable o el encargado del
tratamiento –relación laboral– o desempeñar sus tareas sobre la base de un contrato de servicios.
• La designación será para un mandato de 2 años, renovables. Durante su mandato, el dele-
gado de protección de datos solo podrá ser destituido si deja de cumplir las condiciones re-
queridas para el ejercicio de sus funciones.
• El responsable o el encargado del tratamiento comunicarán el nombre y los datos de con-
tacto del delegado de protección de datos a la autoridad de control y al público.
5.4.2. Posición del delegado de protección de datos
En el artículo 38 del Reglamento se regula la posición del delegado de protección de datos. Así, en
virtud de lo establecido en dicho artículo, el responsable o encargado del tratamiento:
4 ‒ 32 www.cef.es
Oposiciones
• Velarán por que el delegado de protección de datos se implique adecuadamente y en su de-

bido momento en todas las cuestiones relativas a la protección de datos personales.
• Velarán por que el delegado de protección de datos desempeñe sus funciones y tareas con
independencia y no reciba ninguna instrucción en lo que respecta al ejercicio de sus funcio-
nes. El delegado de protección de datos informará directamente a la dirección del respon-
sable o del encargado del tratamiento.
• Respaldarán al delegado de protección de datos en el desempeño de sus tareas y facilitarán
el personal, los locales, los equipamientos y cualesquiera otros recursos necesarios para el
desempeño de las funciones y tareas.
• Velarán por que cualesquiera otras funciones profesionales del delegado de protección de
datos sean compatibles con sus tareas y funciones en calidad de delegado de protección de
datos y no planteen conflictos de intereses. Cabe, por tanto, que el delegado desempeñe sus
funciones a tiempo parcial.
Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que res-
pecta a todas las cuestiones relativas al tratamiento de sus datos de carácter personal y al ejercicio de
sus derechos.
5.4.3. Funciones del delegado de protección de datos
Por último, en el artículo 39 se regulan las funciones mínimas del delegado de protección de datos,
estableciendo lo siguiente:
• Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les
incumben en virtud del Reglamento y de cualquier otra normativa, nacional o de la Unión
Europea, en materia de protección de datos. Supervisar el cumplimiento de la normativa
indicada.
• Supervisar la implementación y aplicación de las políticas del responsable o del encargado
del tratamiento en materia de protección de datos personales, incluida la asignación de res-
ponsabilidades, la formación del personal que participa en las operaciones de tratamiento,
y las auditorías correspondientes;
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la
protección de datos y supervisar su aplicación.
• Cooperar con la autoridad de control. En este aspecto, la Ley Orgánica 3/2018 señala que
el delegado de protección de datos actuará como interlocutor del responsable o encargado
del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonó-
micas de protección de datos.
• Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tra-
tamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en
su caso, sobre cualquier otro asunto.
Con el objetivo de ofrecer seguridad y fiabilidad a las empresas y entidades que van a incorporar
esta figura a sus organizaciones, la Agencia Española de Protección de Datos ha desarrollado un esquema
de certificación de los delegados de protección de datos. Ahora bien, esta certificación no es obligatoria
para poder ejercer como delegado de protección de datos y se puede actuar como tal sin estar certificado
bajo este o cualquier otro esquema. En este sentido, la Ley Orgánica 3/2018 apunta que el cumplimiento

Oposiciones
de los requisitos establecidos para la designación del delegado de protección de datos, sea persona física
o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación
que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conoci-
mientos especializados en el derecho y la práctica en materia de protección de datos.
6. LA AGENCIA DE PROTECCIÓN DE DATOS: COMPETENCIAS Y FUNCIONES
6.1. INTRODUCCIÓN
La existencia de una autoridad independiente que vele por el derecho a la protección de datos está
prevista en el Convenio 108 del Consejo de Europa de 1981, el primer texto internacional sobre la mate-
ria, y obtiene su configuración más acabada en la Directiva 95/46/CE, relativa a la protección de las per-
sonas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos:
«La creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno
de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que res-
pecta al tratamiento de datos personales» (Considerando 62 de la Directiva 95/46).
El artículo 28.1 de la directiva prevé que «estas autoridades ejercerán las funciones que le son atri-
buidas con total independencia».
En España se adoptó el criterio organizativo y funcional propuesto en el Convenio 108 y que luego
pasaría a ser un rasgo esencial del modelo europeo: la atribución de la función de velar por el cumpli-
miento de la normativa de protección de datos a una autoridad independiente.
Así, a través del título VI de la derogada Ley 5/1992, de 29 de octubre, de regulación del tratamiento
automatizado de los datos de carácter personal (LORTAD), se reguló la creación de la Agencia Española
de Protección de Datos como ente independiente, con presupuesto propio y plena autonomía funcional,
encargada de velar por la máxima eficacia de sus disposiciones.
Mediante el Real Decreto 428/1993, de 26 de marzo, se aprobó el Estatuto de la Agencia Española

de Protección de Datos (hoy derogado por el actual RD 389/2021 por el que se aprueba el Estatuto de la
Agencia de Protección de Datos).
Actualmente existen, además, dos agencias autonómicas: la Autoridad Catalana de Protección de

Datos y la Agencia Vasca de Protección de Datos.
Las mismas ejercen las funciones de control respecto de los ficheros de datos de carácter personal
creados o gestionados por las comunidades autónomas y por la Administración local de su ámbito terri-
torial. Los ficheros privados de estas comunidades autónomas son competencia de la Agencia Española
de Protección de Datos.
6.2. LA AGENCIA DE PROTECCIÓN DE DATOS
La Agencia Española de Protección de Datos es la autoridad estatal de control independiente encar-

gada de velar por el cumplimiento de la normativa sobre protección de datos. Garantiza y tutela el dere-
cho fundamental a la protección de datos de carácter personal de los ciudadanos.
4 ‒ 34 www.cef.es
Oposiciones
La agencia es un ente de derecho público, con personalidad jurídica propia y plena capacidad públi-
ca y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus
funciones. Se relaciona con el Gobierno a través del Ministerio de Justicia. Su denominación oficial, de
conformidad con lo establecido en el artículo 109.3 de la Ley 40/2015, será «Agencia Española de Pro-
tección de Datos, Autoridad Administrativa Independiente».
Tendrá la condición de representante común de las autoridades de protección de datos del Reino de
España en el Comité Europeo de Protección de Datos.
La Agencia Española de Protección de Datos, el Consejo General del Poder Judicial y, en su caso,
la Fiscalía General del Estado, colaborarán en aras del adecuado ejercicio de las respectivas competen-
cias que la Ley orgánica 6/1985, de 1 de julio, del Poder Judicial, les atribuye en materia de protección
de datos personales en el ámbito de la Administración de justicia.
El marco normativo de la Agencia Española de Protección de Datos está constituido por las siguien-
tes disposiciones:
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/
CE (Reglamento general de protección de datos).
• Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los
derechos digitales.
• Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Es-
pañola de Protección de Datos.
• Supletoriamente, en cuanto sea compatible con su plena independencia, se regirá por las
normas citadas en el artículo 110.1 de la Ley 40/2015, de 1 de octubre, de régimen jurídico
del sector público.
6.3. ESTRUCTURA ORGÁNICA
La Agencia Española de Protección de Datos se estructura en los siguientes órganos:
• La Presidencia de la Agencia Española de Protección de Datos (art. 48 de la LOPD).

• De la Presidencia depende directamente, como órgano directivo, la adjuntía a la Presi-
dencia.
Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos
a instrucción alguna en su desempeño. Les será aplicable la legislación reguladora del ejer-
cicio del alto cargo de la Administración general del Estado (art. 48.2 de la LOPD).
• Asimismo, dependen directamente de la presidencia los siguientes órganos con nivel orgá-
nico de subdirección general:
a) La Subdirección General de Inspección de Datos.

b) La Subdirección General de Promoción y Autorizaciones.
c) La Secretaría General.

Oposiciones
También dependen directamente de la Presidencia, con el nivel que se determine en la re-

lación de puestos de trabajo, las siguientes divisiones:
a) La División de Relaciones Internacionales.

b) La División de Innovación Tecnológica. (art. 12.7 del RD 389/2021, de 1 de junio,
por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos).
• El consejo consultivo (art. 49 de la LOPD).
6.4. FUNCIONES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Según el artículo 47 de la LOPD, la Agencia Española de Protección de Datos está encargada de

velar por el cumplimiento de la normativa de protección de datos y controlar su aplicación. Para ello,
ejercerá las siguientes funciones establecidas en el artículo 57 del Reglamento de la Unión Europea y
las potestades previstas en el artículo 58 del Reglamento UE.
En primer lugar, en lo relativo a las funciones, la Agencia Española de Protección de Datos ejerce
las siguientes:
• Controlar la aplicación del RGPD y del resto de la normativa de protección de datos, así
como proceder a que se apliquen.
• Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías
y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los
niños deberán ser objeto de especial atención.
• Asesorar, con arreglo al derecho de los Estados miembros, al Parlamento nacional, al Go-
bierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas
relativas a la protección de los derechos y libertades de las personas físicas con respecto al
tratamiento.
• Promover la sensibilización de los responsables y encargados del tratamiento acerca de las
obligaciones que les incumben en virtud del presente reglamento.
• Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de
sus derechos en virtud del presente reglamento y, en su caso, cooperar con tal fin con las
autoridades de control de otros Estados miembros.
• Tratar las reclamaciones presentadas por un interesado o por un organismo, organización
o asociación e investigar, en la medida oportuna, el motivo de la reclamación e informar
al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en
particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con
otra autoridad de control.
• Cooperar, en particular compartiendo información, con otras autoridades de control y pres-
tar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del
presente reglamento.
• Llevar a cabo investigaciones sobre la aplicación del presente reglamento, en particular ba-
sándose en información recibida de otra autoridad de control u otra autoridad pública.
• Hacer un seguimiento de cambios que sean de interés, en la medida en que tengan inciden-
4 ‒ 36 www.cef.es
Oposiciones
cia en la protección de datos personales, en particular el desarrollo de las tecnologías de la

información y la comunicación y las prácticas comerciales.
• Adoptar las cláusulas contractuales tipo cuando el tratamiento se lleve a cabo por parte de
un encargado del tratamiento que vincule a dicho encargado respecto del responsable.
• Elaborar y mantener una lista de los tipos de operaciones de tratamiento que requieran una
evaluación de impacto.
• Ofrecer asesoramiento sobre las operaciones de tratamiento que supongan un alto riesgo
para los derechos y libertades de las personas físicas (consulta previa).
• Alentar la elaboración de códigos de conducta y dictaminar y aprobar los códigos de con-
ducta que den suficientes garantías para contribuir a la correcta aplicación del RGPD.
• Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos
y marcas de protección de datos y aprobar los criterios de certificación a fin de demostrar
el cumplimiento de lo dispuesto en el RGPD en las operaciones de tratamiento de los res-
ponsables y los encargados.
• Llevar a cabo, si procede, una revisión periódica de las certificaciones del punto anterior.
• Elaborar y publicar los criterios de acreditación y efectuar dicha acreditación tanto de
organismos de supervisión de los códigos de conducta como de organismos de certifica-
ción.
• Autorizar las cláusulas contractuales entre responsables del tratamiento ante transmisiones
de datos personales a un tercer país u organización internacional.
• Aprobar normas corporativas que sean jurídicamente vinculantes y se apliquen y sean cum-
plidas por todos los miembros del grupo empresarial que se trate.
• Contribuir a las actividades del comité.
• Llevar registros internos de las infracciones del presente reglamento y de las medidas adop-
tadas.
Además, la Agencia Española de Protección de Datos desempeñará funciones como:
• Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunica-
ciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas rea-
lizadas a través de correo electrónico o medios de comunicación electrónica equivalente
(spam).
• Recibir las notificaciones de las eventuales quiebras de seguridad que se produzcan en los
sistemas de los proveedores de servicios de comunicaciones electrónicas y que puedan afec-
tar a datos personales.
• Cooperación con diversos organismos internacionales y con los órganos de la Unión Euro-
pea en materia de protección de datos.
• Representación de España en los foros internacionales en la materia.
• Elaboración de una memoria anual, presentada por el director de la agencia ante las Cortes.
En segundo lugar, en lo relativo a los poderes, la Agencia Española de Protección de Datos tendrá:

Oposiciones
• Poderes de investigación:
– Ordenar al responsable y al encargado del tratamiento y, en su caso, al representan-

te del responsable o del encargado que faciliten cualquier información que requiera
para el desempeño de sus funciones.
– Llevar a cabo investigaciones en forma de auditorías de protección de datos.
– Llevar a cabo una revisión de las certificaciones expedidas en materia de protección
de datos.
– Notificar al responsable o al encargado del tratamiento las presuntas infracciones de
la normativa de protección de datos.
– Obtener del responsable y del encargado del tratamiento el acceso a todos los datos
personales y a toda la información necesaria para el ejercicio de sus funciones.
– Obtener el acceso a todos los locales del responsable y del encargado del tratamien-
to, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad
con el derecho procesal de la Unión o de los Estados miembros.
• Poderes correctivos:
– Sancionar a todo responsable o encargado del tratamiento con una advertencia cuan-
do las operaciones de tratamiento previstas puedan infringir lo dispuesto en la nor-
mativa de protección de datos.
– Sancionar a todo responsable o encargado del tratamiento con apercibimiento cuan-
do las operaciones de tratamiento hayan infringido lo dispuesto en la normativa de
protección de datos.
– Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de
ejercicio de los derechos del interesado en virtud del presente RGPD.
– Ordenar al responsable o encargado del tratamiento que las operaciones de tratamien-
to que se ajusten a las disposiciones de la normativa de protección de datos, cuando
proceda, de una determinada manera y dentro de un plazo especificado.
– Ordenar al responsable del tratamiento que comunique al interesado las brechas de
seguridad de los datos personales.
– Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.
– Ordenar la rectificación o supresión de datos personales o la limitación de tratamien-
to y la notificación de dichas medidas a los destinatarios a quienes se hayan comuni-
cado datos personales.
– Retirar una certificación u ordenar al organismo de certificación que retire una certi-
ficación u ordenar al organismo de certificación que no se emita una certificación si
no se cumplen o dejan de cumplirse los requisitos para la certificación.
– Imponer una multa administrativa, además o en lugar de las medidas mencionadas
en el presente apartado, según las circunstancias de cada caso particular.
– Ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer
país o hacia una organización internacional.
• Poderes de autorización y consultivos:
4 ‒ 38 www.cef.es
Oposiciones
– Asesorar al responsable del tratamiento conforme al procedimiento de consulta previa.

– Emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento
nacional, al Gobierno del Estado miembro o, con arreglo al Derecho de los Estados
miembros, a otras instituciones y organismos, así como al público, sobre cualquier
asunto relacionado con la protección de los datos personales.
– Autorizar el tratamiento, en relación con el tratamiento por un responsable en el ejer-
cicio de una misión realizada en interés público, si el Derecho del Estado miembro
requiere tal autorización previa.
– Emitir un dictamen y aprobar proyectos de códigos de conducta a fin de contribuir a
la correcta aplicación del RGPD.
– Acreditar los organismos de certificación, así como expedir certificaciones y aprobar
criterios de certificación.
– Adoptar las cláusulas tipo de protección de datos cuando el tratamiento se lleve a cabo
por parte de un encargado del tratamiento que vincule a dicho encargado respecto del
responsable.
– Autorizar los acuerdos administrativos y cláusulas contractuales entre responsables
del tratamiento ante transmisiones de datos personales a un tercer país u organización
internacional.
– Aprobar normas corporativas jurídicamente vinculantes que se apliquen y sean cum-
plidas por todos los miembros del grupo empresarial de que se trate.

Tema 4 Oficinas Públicas

Cargado por

Copyright:

Formatos disponibles

Tema 4 Oficinas Públicas

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 4 Oficinas Públicas

Cargado por

Copyright:

Formatos disponibles

P.º Gral. Martínez Campos, 5 28010 MADRID Tel.

914 444 920

www.cef.es [email protected] 902 88 89 90

SUMARIO GENERAL TEMA 4

1. La protección de datos personales. Régimen jurídico

3. Principios relativos al tratamiento

4. Derechos de los interesados

www.cef.es MAYO 2021 Sumario

4.10. Decisiones individuales automatizadas, incluida la elaboración de perfiles

5. Obligaciones del responsable del tratamiento y encargado del tratamiento

6. La Agencia de Protección de Datos: competencias y funciones

www.cef.es [email protected] 902 88 89 90

4 de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al

1. LA PROTECCIÓN DE DATOS PERSONALES. RÉGIMEN JURÍDICO

www.cef.es MAYO 2021 4 ‒ 1

El Tribunal Constitucional, por su parte, proclamó en su Sentencia 292/2000 que el derecho a la

En Sentencia del 15 de diciembre de 1983, el Tribunal Constitucional de la RFA, en un asunto sobre

www.cef.es MAYO 2021 4 ‒ 3

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal (LOPD)

• El Reglamento (UE) 2016/679, de 27 de abril, relativo a la protección de las personas físi-

• El Título I, relativo a las disposiciones generales, comienza regulando el objeto de la ley

www.cef.es MAYO 2021 4 ‒ 5

Internet como la neutralidad de la Red y el acceso universal o los derechos a la seguridad y

Pasamos pues, a analizar en el epígrafe siguiente el Reglamento (UE) 2016/679, de 27 de abril.

2. EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL, RELATIVO A LA PROTEC-

La regulación de la protección de datos personales en el ámbito de la Unión Europea ha experimen-

A diferencia de las directivas comunitarias, no precisa de ninguna norma de transposición en los

La aprobación de este reglamento, responde a la necesidad de armonizar las diferentes regulacio-

1. En cuanto al ámbito de aplicación material y territorial del Reglamento, el mismo se aplicará

www.cef.es MAYO 2021 4 ‒ 7

www.cef.es MAYO 2021 4 ‒ 9

2.1. OBJETO (ART. 1)

2.2. ÁMBITO DE APLICACIÓN MATERIAL (ART. 2)

Queda excluido el tratamiento de datos personales:

a) En el ejercicio de una actividad no comprendida en el ámbito de aplicación del derecho de

2.3. ÁMBITO TERRITORIAL (ART. 3)

• Al tratamiento de datos personales en el contexto de las actividades de un establecimien-

a) La oferta de bienes o servicios a dichos interesados en la Unión, independientemente

• Al tratamiento de datos personales por parte de un responsable que no esté establecido en

2.4. DEFINICIONES (ART. 4)

A efectos del presente Reglamento se entenderá por:

www.cef.es MAYO 2021 4 ‒ 11

5. «Seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atri-

a) En lo que se refiere a un responsable del tratamiento con establecimientos en más

cimiento del responsable en la Unión y este último establecimiento tenga el poder

a) El responsable o el encargado del tratamiento está establecido en el territorio del Es-

23. «Tratamiento transfronterizo»:

a) El tratamiento de datos personales realizado en el contexto de las actividades de es-

www.cef.es MAYO 2021 4 ‒ 13

3. PRINCIPIOS RELATIVOS AL TRATAMIENTO (ARTS. 5 A 11)

3.1. PRINCIPIOS RELATIVOS AL TRATAMIENTO (ART. 5)

En virtud de este principio, los datos personales serán:

3.2. LICITUD DEL TRATAMIENTO (ART. 6)

www.cef.es MAYO 2021 4 ‒ 15

3.3. CONDICIONES PARA EL CONSENTIMIENTO (ART. 7)

3.4. CONDICIONES APLICABLES AL CONSENTIMIENTO DEL NIÑO EN RELA-

En relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento

3.5. TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS PERSONALES

No obstante, el Reglamento contempla varias excepciones y, por lo tanto, no será de aplicación