OposharkOposhark

Protección de Datos de Carácter Personal

Marco normativo: Constitución, RGPD y LOPDGDD

La protección de datos de carácter personal hunde sus raíces constitucionales en el artículo 18.4 de la Constitución Española de 1978, que encomienda a la ley la limitación del uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Este mandato constitucional ha sido desarrollado en el ámbito europeo por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, conocido como Reglamento General de Protección de Datos (RGPD), que resultó de aplicación directa en todos los Estados miembros a partir del 25 de mayo de 2018.

En España, la adaptación del RGPD al ordenamiento interno se materializó mediante la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Esta norma derogó la anterior LOPD de 1999, completó las habilitaciones que el RGPD dejaba en manos de los legisladores nacionales y añadió un extenso catálogo de derechos digitales de los ciudadanos en entornos laborales, educativos y de acceso a internet. La LOPDGDD refuerza asimismo el régimen de supervisión, sanciones y funciones de la Agencia Española de Protección de Datos.

Ambas normas conviven formando un sistema articulado: el RGPD establece el régimen común europeo de aplicación directa, mientras que la LOPDGDD precisa, completa y adapta sus previsiones al contexto español, sin poder contradecir el nivel de protección garantizado por el Reglamento europeo.

Datos clave

  • Art. 18.4 CE: fundamento constitucional del derecho a la protección de datos
  • Reglamento (UE) 2016/679 (RGPD): aplicable desde el 25 de mayo de 2018
  • LO 3/2018 (LOPDGDD): adapta el RGPD al ordenamiento español; deroga la LOPD de 1999
  • Carta de Derechos Fundamentales de la UE, art. 8: reconoce la protección de datos como derecho fundamental
  • LOPDGDD incorpora derechos digitales (arts. 79-97): desconexión digital, privacidad en el trabajo, menores en internet

Conceptos básicos: dato personal, tratamiento, responsable y encargado

El RGPD define el dato personal como toda información sobre una persona física identificada o identificable (el interesado). Se considera identificable a la persona que pueda ser determinada directa o indirectamente, mediante un identificador como el nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social. El concepto es, por tanto, amplio e incluye desde el DNI o la dirección de correo electrónico hasta la dirección IP o una fotografía.

Por tratamiento se entiende cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no: recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación, difusión, interconexión, limitación, supresión o destrucción. El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que determina los fines y medios del tratamiento. El encargado del tratamiento actúa por cuenta del responsable, en virtud de un contrato u acto jurídico vinculante que regula el objeto, duración, naturaleza y finalidad del tratamiento.

Las categorías especiales de datos merecen protección reforzada: datos que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos con fines de identificación unívoca, datos relativos a la salud o a la vida u orientación sexual. Su tratamiento está, como regla general, prohibido, salvo que concurra alguna de las excepciones tasadas en el artículo 9.2 del RGPD.

Datos clave

  • RGPD art. 4: define dato personal, tratamiento, responsable, encargado y otros 26 conceptos
  • RGPD art. 9: categorías especiales; prohibición general con excepciones tasadas
  • RGPD art. 10: datos relativos a condenas e infracciones penales; tratamiento solo bajo control oficial
  • LOPDGDD art. 9: condiciones adicionales para tratamiento de categorías especiales en España

Principios del tratamiento de datos personales

El artículo 5 del RGPD recoge los principios rectores que deben presidir todo tratamiento de datos personales. El principio de licitud, lealtad y transparencia exige que los datos se traten de manera lícita, leal y transparente con respecto al interesado. La limitación de finalidad impone que los datos sean recogidos con fines determinados, explícitos y legítimos, y que no sean tratados ulteriormente de manera incompatible con dichos fines. La minimización de datos exige que los datos sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.

La exactitud obliga a mantener los datos actualizados y a suprimir o rectificar los inexactos. La limitación del plazo de conservación prohíbe mantener los datos en forma que permita identificar a los interesados durante más tiempo del necesario para los fines del tratamiento, admitiéndose excepciones para fines de archivo en interés público, investigación científica, histórica o estadística. La integridad y confidencialidad requiere que los datos sean tratados con medidas técnicas y organizativas adecuadas para garantizar su seguridad.

A estos principios se suma el de responsabilidad proactiva (accountability): el responsable del tratamiento no solo debe cumplir los principios, sino estar en condiciones de demostrar dicho cumplimiento. Este principio impregna todo el RGPD e impulsa la cultura de privacidad desde el diseño (privacy by design) y por defecto (privacy by default), recogidas en el artículo 25 del Reglamento.

Datos clave

  • RGPD art. 5: siete principios del tratamiento (licitud, finalidad, minimización, exactitud, limitación plazo, integridad, responsabilidad proactiva)
  • RGPD art. 25: privacidad desde el diseño y por defecto
  • RGPD art. 24: responsabilidad proactiva (accountability) del responsable
  • Incumplimiento de principios: sanción hasta 20 millones € o 4 % del volumen de negocio global anual

Bases de legitimación del tratamiento

Para que un tratamiento de datos personales sea lícito, debe fundarse en alguna de las bases jurídicas enumeradas en el artículo 6 del RGPD. El consentimiento del interesado es la base más conocida: debe ser libre, específico, informado e inequívoco, manifestado mediante una declaración o acción afirmativa clara. El consentimiento puede retirarse en cualquier momento, sin que ello afecte a la licitud del tratamiento previo a dicha retirada. Para menores de 14 años, la LOPDGDD eleva el umbral y exige el consentimiento del titular de la patria potestad o tutela.

Otras bases de legitimación son la ejecución de un contrato en el que el interesado es parte o la aplicación de medidas precontractuales; el cumplimiento de una obligación legal aplicable al responsable; la protección de intereses vitales del interesado o de otra persona física; el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable; y la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, siempre que no prevalezcan los intereses o derechos fundamentales del interesado.

La elección de la base de legitimación no es libre: el responsable debe identificar la que realmente corresponde a la finalidad del tratamiento antes de iniciarlo. El cambio de base posterior solo está permitido en circunstancias muy tasadas. En el ámbito policial, la base habitual es la misión de interés público o el cumplimiento de una obligación legal, no el consentimiento.

Datos clave

  • RGPD art. 6: seis bases de legitimación para tratamiento de datos ordinarios
  • LOPDGDD art. 7: consentimiento de menores; edad mínima 14 años en España
  • RGPD art. 7: condiciones del consentimiento; carga de la prueba recae en el responsable
  • RGPD considerando 47: el interés legítimo requiere ponderación con los derechos del interesado
  • RGPD art. 9.2: bases específicas para categorías especiales (incluye interés público esencial)

Derechos de las personas: acceso, rectificación, supresión, oposición, limitación y portabilidad

El RGPD reconoce un catálogo de derechos que el interesado puede ejercer ante el responsable del tratamiento. El derecho de acceso (art. 15) permite al interesado obtener confirmación de si sus datos son tratados y, en caso afirmativo, recibir copia de los mismos junto con información sobre fines, categorías, destinatarios, plazos y origen de los datos. El derecho de rectificación (art. 16) permite corregir datos inexactos o incompletos sin dilación indebida.

El derecho de supresión o «derecho al olvido» (art. 17) faculta al interesado para obtener la supresión de sus datos cuando ya no sean necesarios, retire el consentimiento, se oponga al tratamiento, los datos hayan sido tratados ilícitamente o exista una obligación legal de suprimirlos. La limitación del tratamiento (art. 18) permite al interesado solicitar que sus datos solo se conserven, sin ser tratados, mientras se resuelven disputas sobre exactitud o licitud. La portabilidad (art. 20) otorga el derecho a recibir los datos en formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable cuando el tratamiento esté basado en consentimiento o contrato y se realice por medios automatizados.

El derecho de oposición (art. 21) permite al interesado oponerse al tratamiento basado en interés público o interés legítimo, incluida la elaboración de perfiles. El responsable deberá cesar el tratamiento salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses del interesado. El plazo general para responder a estos derechos es de un mes, prorrogable dos meses más en casos de especial complejidad.

Datos clave

  • RGPD arts. 15-22: catálogo completo de derechos del interesado
  • Plazo de respuesta: 1 mes (prorrogable hasta 3 meses; RGPD art. 12)
  • RGPD art. 17: derecho al olvido; también obliga a notificar supresión a destinatarios
  • RGPD art. 20: portabilidad solo aplica cuando la base es consentimiento o contrato y el tratamiento es automatizado
  • LOPDGDD art. 17: el ejercicio de derechos es, como regla general, gratuito

El Delegado de Protección de Datos (DPD/DPO)

El Delegado de Protección de Datos (DPD), denominado en inglés Data Protection Officer (DPO), es la figura creada por el RGPD para garantizar el cumplimiento interno de la normativa en determinadas organizaciones. Su designación es obligatoria en tres supuestos: cuando el tratamiento sea llevado a cabo por una autoridad u organismo público (salvo los tribunales en ejercicio de su función jurisdiccional); cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala; y cuando dichas actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales.

El DPD puede ser empleado de la organización o actuar en el marco de un contrato de servicios. Debe poseer conocimientos especializados del Derecho y la práctica en materia de protección de datos, así como capacidad para desempeñar las funciones que le encomienda el RGPD: informar y asesorar al responsable y a los empleados, supervisar el cumplimiento, asesorar sobre la evaluación de impacto (EIPD) y cooperar con la autoridad de control. El responsable debe facilitarle los recursos necesarios para el ejercicio de sus funciones y garantizar su independencia: no podrá recibir instrucciones sobre el ejercicio de sus funciones ni ser separado o sancionado por ello.

Las Fuerzas y Cuerpos de Seguridad del Estado, en tanto que autoridades públicas que tratan datos a gran escala, están obligadas a designar DPD. Sus datos de contacto deben comunicarse a la Agencia Española de Protección de Datos y publicarse.

Datos clave

  • RGPD arts. 37-39: designación, posición y funciones del DPD
  • RGPD art. 37.1: tres supuestos de designación obligatoria
  • LOPDGDD art. 34: lista de responsables obligados a designar DPD en España (incluye FCS y Administración Pública)
  • RGPD art. 38: el DPD no puede recibir instrucciones; independencia garantizada
  • RGPD art. 35: el DPD asesora al responsable en las Evaluaciones de Impacto (EIPD)

La Agencia Española de Protección de Datos (AEPD) y el régimen sancionador

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente encargada de velar por el cumplimiento de la normativa de protección de datos en España, en los términos previstos en el artículo 51 del RGPD y en la LOPDGDD. Su independencia funcional y presupuestaria respecto del Gobierno es una exigencia del RGPD para garantizar que sus decisiones no estén sujetas a influencia política. La AEPD investiga reclamaciones, inspecciona a responsables y encargados, emite directrices, apercibe, y puede imponer sanciones. En el plano europeo, coopera con las autoridades de control de otros Estados miembros a través del Comité Europeo de Protección de Datos (CEPD).

El régimen sancionador del RGPD distingue dos niveles de infracción. Las infracciones menos graves pueden sancionarse con multas de hasta 10 millones de euros o, si se trata de una empresa, hasta el 2 % del volumen de negocio total anual global del ejercicio anterior. Las infracciones más graves —entre ellas, la vulneración de los principios básicos del tratamiento, las condiciones del consentimiento o los derechos de los interesados— pueden alcanzar los 20 millones de euros o el 4 % del volumen de negocio total anual global. La LOPDGDD clasifica las infracciones en leves, graves y muy graves, y adapta los plazos de prescripción: un año para las leves, dos para las graves y tres para las muy graves.

Además de la potestad sancionadora, la AEPD puede ordenar la limitación temporal o definitiva de un tratamiento, la supresión de datos o la suspensión de flujos transfronterizos. Sus resoluciones son recurribles ante la Audiencia Nacional.

Datos clave

  • RGPD arts. 51-59: autoridades de control; independencia obligatoria
  • RGPD art. 83: dos niveles de multa administrativa (2 %/10 M€ y 4 %/20 M€)
  • LOPDGDD arts. 70-77: infracciones leves, graves y muy graves; prescripción 1/2/3 años
  • LOPDGDD art. 48: la AEPD resuelve reclamaciones en el plazo máximo de 9 meses
  • Comité Europeo de Protección de Datos (CEPD): coordina a las autoridades nacionales de la UE

Tratamiento de datos por las FCS con fines policiales: Directiva 2016/680 y LO 7/2021

Las Fuerzas y Cuerpos de Seguridad realizan tratamientos de datos personales para fines de prevención, investigación, detección y enjuiciamiento de infracciones penales y ejecución de sanciones penales. Dado el carácter especialmente sensible de estos tratamientos, el legislador europeo los excluyó del ámbito de aplicación del RGPD y los reguló en un instrumento separado: la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que debía trasponerse a los ordenamientos nacionales antes del 6 de mayo de 2018.

En España, la transposición se realizó mediante la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Esta LO 7/2021 establece un régimen específico y diferenciado del RGPD, aunque inspirado en sus mismos principios: licitud, finalidad, minimización, exactitud, limitación del plazo de conservación e integridad. Se aplica a las autoridades competentes —entre ellas la Guardia Civil— cuando actúan en el ejercicio de sus funciones policiales.

La LO 7/2021 regula las categorías especiales de datos en el ámbito policial, las condiciones para la comunicación de datos a terceros países u organizaciones internacionales, la figura del DPD en las FCS y los derechos de los interesados, que pueden ser restringidos cuando resulte necesario para no obstaculizar las investigaciones o proteger la seguridad pública. La autoridad de supervisión competente sigue siendo la AEPD, que puede actuar de oficio o a instancia de los interesados.

Datos clave

  • Directiva (UE) 2016/680: marco europeo para tratamientos policiales y penales; transpuesta antes del 6 de mayo de 2018
  • LO 7/2021, de 26 de mayo: transposición española; deroga la anterior LO 14/2007 (Europol) en lo que corresponde
  • LO 7/2021 art. 4: principios aplicables al tratamiento policial (equivalentes a los del RGPD)
  • LO 7/2021 arts. 26-31: derechos de los interesados; posibilidad de restricción motivada
  • AEPD: autoridad de control también para los tratamientos regulados por la LO 7/2021