Tema 12. La protección de datos personales y su régimen jurídico: principios, derechos y obligaciones.

1. La protección de datos personales y su régimen jurídico: principios

1. La protección de datos personales y su régimen jurídico: principios

🎯 Idea clave

• El derecho a la protección de datos personales tiene fundamento constitucional en el artículo 18.4 de la Constitución Española, reconocido como derecho autónomo por el Tribunal Constitucional.
• El artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea reconoce este derecho en el ámbito europeo.
• El Reglamento (UE) 2016/679 (RGPD) establece seis principios rectores del tratamiento en su artículo 5.1, aplicables directamente en todo el territorio nacional.
• La Ley Orgánica 3/2018 (LOPDGDD) no reproduce los principios del RGPD por redundancia, pero los complementa mediante precisiones sobre exactitud, confidencialidad y bases jurídicas.
• El artículo 5.2 del RGPD añade el principio de responsabilidad proactiva, que obliga a demostrar el cumplimiento de los principios.
• El consentimiento como base de licitud debe ser libre, específico, informado e inequívoco, siendo necesaria la autorización de los titulares de la patria potestad para menores de catorce años.

📚 Desarrollo

Fundamento constitucional y europeo. El derecho a la protección de datos personales se asienta en el artículo 18.4 de la Constitución Española, configurado como derecho fundamental autónomo según la STC 292/2000. A nivel europeo, el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea reconoce expresamente este derecho.

Marco normativo aplicable. El régimen general se compone del Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD), directamente aplicable en España, y de la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), que adapta el ordenamiento nacional al Reglamento y añade especificaciones permitidas a los Estados miembros. Complementariamente, la Ley Orgánica 7/2021 regula el tratamiento para fines penales y de seguridad pública.

Principios del tratamiento (art. 5.1 RGPD). El RGPD enumera seis principios vinculantes: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; e integridad y confidencialidad. Estos principios rigen cualquier tratamiento de datos personales en el ámbito administrativo.

Responsabilidad proactiva. El artículo 5.2 del RGPD establece el principio de accountability: el responsable del tratamiento debe cumplir los principios anteriores y ser capaz de demostrar dicho cumplimiento ante las autoridades de control. Esta exigencia implica mantener registros y documentación probatoria.

Complementos de la LOPDGDD. La norma española precisa aspectos específicos. El artículo 4 determina las circunstancias de exoneración de responsabilidad por inexactitud de datos. El artículo 5 desarrolla el deber de confidencialidad como obligación legal que vincula a responsables, encargados y toda persona que intervenga en el tratamiento, persistiendo incluso tras la conclusión de la relación.

Requisitos del consentimiento. Cuando la base jurídica sea el consentimiento, el artículo 6 de la LOPDGDD exige que sea libre, específico, informado e inequívoco, manifestado mediante declaración o clara acción afirmativa. No puede prestarse de forma tácita ni mediante casillas premarcadas. El artículo 7 establece que los menores de catorce años necesitan el consentimiento de los titulares de la patria potestad.

🧩 Elementos esenciales

• Principio de licitud, lealtad y transparencia: Los datos deben tratarse de manera lícita, leal y transparente respecto al interesado.
• Principio de limitación de la finalidad: Los datos se recogerán para fines determinados, explícitos y legítimos, sin tratamiento incompatible con dichos fines.
• Principio de minimización: Datos adecuados, pertinentes y limitados a lo necesario en relación con los fines perseguidos.
• Principio de exactitud: Obligación de corregir o suprimir sin dilación los datos personales inexactos.
• Principio de limitación del plazo de conservación: Conservados de forma que permitan la identificación solo durante el tiempo necesario.
• Principio de integridad y confidencialidad: Tratamiento seguro que garantice la protección contra tratamientos no autorizados o ilícitos.
• Principio de responsabilidad proactiva (accountability): El responsable debe cumplir los principios y demostrar dicho cumplimiento ante la Agencia Española de Protección de Datos.
• Deber de confidencialidad (art. 5 LOPDGDD): Obligación legal vinculante para todas las personas que intervengan en el tratamiento, persistente tras la finalización de la relación.
• Exoneración por inexactitud (art. 4 LOPDGDD): Determina cuándo el responsable queda exonerado por datos inexactos.
• Consentimiento válido: Libre, específico, informado e inequívoco; requiere acción afirmativa clara, prohibiéndose la utilización de casillas premarcadas.
• Menores de catorce años: Necesitan consentimiento de los titulares de la patria potestad según artículo 7 LOPDGDD.
• Bases alternativas: En el sector público, la obligación legal y la misión en interés público o ejercicio de poderes públicos son bases especialmente relevantes junto al consentimiento.

🧠 Recuerda

• El artículo 18.4 CE es el fundamento constitucional del derecho a la protección de datos.
• El RGPD es directamente aplicable y la LOPDGDD lo complementa sin reproducir sus principios.
• Los seis principios del artículo 5.1 RGPD son licitud/lealtad/transparencia, finalidad, minimización, exactitud, conservación e integridad/confidencialidad.
• La responsabilidad proactiva obliga a demostrar el cumplimiento mediante registros y documentación.
• La LOPDGDD desarrolla la exactitud (art. 4) y el deber de confidencialidad (art. 5).
• El consentimiento debe ser específico para cada finalidad y no condicionar la ejecución de contratos.
• Los menores de catorce años requieren consentimiento del representante legal.
• En la Administración pública, la obligación legal y el interés público suelen ser bases jurídicas más frecuentes que el consentimiento.
• La seguridad del tratamiento requiere un enfoque basado en riesgos y medidas técnicas y organizativas apropiadas.

2. La protección de datos personales y su régimen jurídico: derechos

2. La protección de datos personales y su régimen jurídico: derechos

🎯 Idea clave

• Los derechos de protección de datos materializan el control de la persona sobre su información personal y convierten en operativos los principios del sistema.
• El núcleo normativo se sitúa en el Capítulo III del Reglamento General de Protección de Datos y en el Título III de la Ley Orgánica 3/2018.
• El catálogo comprende el derecho de información, acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento y oposición a decisiones automatizadas.
• La normativa española complementa el régimen europeo con especialidades procedimentales y de transparencia para el ejercicio de estos derechos.
• El ordenamiento español reconoce derechos digitales que amplían la protección de la persona en entornos tecnológicos específicos.
• Estas facultades permiten supervisar, corregir o impedir el tratamiento, pudiendo acudir a la autoridad de control o a la vía judicial para su tutela.

📚 Desarrollo

Naturaleza jurídica. Los derechos de protección de datos constituyen el mecanismo operativo que permite a las personas ejercer un control efectivo sobre su información personal, transformando los principios abstractos del sistema en facultades ejecutables contra responsables y encargados del tratamiento.

Marco normativo aplicable. El régimen general se articula mediante el Capítulo III del RGPD, comprendido entre los artículos 12 y 22, completado por el Título III de la LOPDGDD, que abarca los artículos 12 a 18 de dicha norma orgánica y establece su configuración específica.

Catálogo de derechos fundamentales. La Agencia Española de Protección de Datos sistematiza los derechos reconocidos: acceso, rectificación, supresión (derecho al olvido), oposición, portabilidad, limitación del tratamiento y oposición a las decisiones automatizadas, incluida la elaboración de perfiles.

Facultades complementarias. Además de los derechos clásicos, el interesado puede retirar el consentimiento prestado en cualquier momento, presentar reclamaciones ante la autoridad de control competente y acudir a la vía jurisdiccional para obtener tutela efectiva cuando los mecanismos ordinarios resulten insuficientes.

Especialidades del Derecho español. La LOPDGDD no reproduce literalmente el RGPD, sino que lo complementa con reglas específicas sobre transparencia e información al afectado, disposiciones generales para el ejercicio de derechos y configuraciones particulares de cada facultad individual.

Procedimientos específicos. La norma española desarrolla especialidades procedimentales que regulan el modo de ejercitar los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición, adaptando el régimen europeo a las particularidades del ordenamiento interno.

Derechos digitales. El ordenamiento español distingue entre los derechos de protección de datos en sentido estricto y los derechos digitales, que amplían la protección de la persona en entornos tecnológicos, como la desconexión digital en el ámbito laboral o la intimidad frente a sistemas de videovigilancia y geolocalización.

🧩 Elementos esenciales

• Derecho de acceso: facultad para obtener del responsable confirmación sobre si se están tratando datos personales que conciernen al interesado y, en tal caso, acceder a la información detallada sobre las circunstancias del tratamiento.
• Derecho de rectificación: posibilidad de obtener la modificación de datos personales inexactos o la actualización de los incompletos, respecto a la finalidad perseguida por el tratamiento.
• Derecho de supresión (olvido): capacidad de solicitar la eliminación de datos personales cuando concurren las causas legalmente previstas, como la finalización de la relación o la revocación del consentimiento.
• Derecho de oposición: facultad de impedir el tratamiento de datos personales en determinadas circunstancias, salvo que se acrediten motivos legítimos o el cumplimiento de obligaciones legales.
• Derecho de portabilidad: derecho a recibir los datos personales proporcionados en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos directamente a otro responsable cuando sea técnicamente posible.
• Derecho de limitación del tratamiento: facultad de solicitar la marcación de datos personales con el fin de limitar su tratamiento futuro mientras se resuelven otras solicitudes o impugnaciones.
• Oposición a decisiones automatizadas: protección frente a decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o significativos en el ámbito personal, incluida la elaboración de perfiles.
• Retirada del consentimiento: posibilidad de revocar en cualquier momento el consentimiento prestado para el tratamiento, sin que ello afecte a la licitud de los tratamientos realizados con anterioridad.
• Derechos digitales: conjunto de facultades específicas reconocidas en el ordenamiento español relativas a internet, seguridad digital, educación digital, desconexión digital en el ámbito laboral e intimidad frente a dispositivos de videovigilancia y geolocalización.

🧠 Recuerda

• Los derechos de protección de datos se encuentran regulados en el Capítulo III del RGPD (artículos 12 a 22).
• La LOPDGDD desarrolla estos derechos en su Título III (artículos 12 a 18) con especialidades propias.
• El catálogo básico comprende siete derechos principales además de las facultades complementarias.
• La LOPDGDD añade reglas específicas sobre transparencia y procedimientos de ejercicio al régimen europeo.
• En España se distinguen claramente los derechos de protección de datos estrictos de los derechos digitales.
• Los derechos permiten supervisar, corregir, limitar o impedir efectivamente el tratamiento de datos personales.
• El ejercicio de estos derechos puede culminar en la reclamación ante la Agencia Española de Protección de Datos o en la vía judicial.

3. La protección de datos personales y su régimen jurídico:obligaciones

3. La protección de datos personales y su régimen jurídico:obligaciones

🎯 Idea clave

• El principio de responsabilidad activa impone al responsable cumplir y demostrar el respeto a los principios del tratamiento ante la autoridad de control.
• Responsables y encargados deben mantener un registro de las actividades de tratamiento, salvo excepciones para organizaciones de menos de 250 empleados.
• Las Administraciones Públicas están obligadas a publicar un inventario de sus actividades de tratamiento accesible por medios electrónicos.
• El deber de confidencialidad vincula a todos los intervinientes en el tratamiento, persistiendo tras la finalización de la relación.
• El responsable debe notificar a la Agencia Española de Protección de Datos cualquier violación de seguridad en un plazo máximo de 72 horas.
• La aplicación de medidas técnicas y organizativas adecuadas garantiza la integridad y seguridad de los datos personales.

📚 Desarrollo

Principio de responsabilidad activa. El artículo 5.2 del RGPD establece que el responsable del tratamiento será responsable del cumplimiento de los principios relativos al tratamiento de datos personales y deberá ser capaz de demostrar dicho cumplimiento ante la autoridad de control, configurando una obligación de rendición de cuentas continua.

Medidas de seguridad. El responsable debe aplicar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, protegiendo la integridad y confidencialidad de los datos frente a tratamientos no autorizados o ilícitos y contra su pérdida o alteración.

Registro de actividades. El artículo 30 del RGPD impone a responsables y encargados del tratamiento la obligación de llevar un registro de las actividades de tratamiento bajo su responsabilidad, documentando las finalidades, categorías de datos y destinatarios de la información.

Exención específica. El artículo 30.5 del RGPD establece una exención de la obligación de registro para organizaciones de menos de 250 empleados, salvo cuando el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados o no sea ocasional.

Inventario público administrativo. El artículo 31.2 de la LOPDGDD impone a las Administraciones Públicas la obligación específica de hacer público un inventario de sus actividades de tratamiento, garantizando la transparencia mediante su accesibilidad por medios electrónicos.

Deber de confidencialidad. El artículo 5 de la LOPDGDD establece que responsables, encargados y cualquier persona que intervenga en el tratamiento están obligados al secreto profesional respecto de los datos personales, obligación que subsiste incluso tras la conclusión de la relación que los vinculó al responsable.

Notificación de violaciones. Cuando se produce una violación de la seguridad de datos personales, el responsable del tratamiento debe notificarla a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde que tuvo conocimiento del incidente.

🧩 Elementos esenciales

• Responsabilidad activa: Obligación del responsable de cumplir y demostrar ante la AEPD el respeto a los principios del tratamiento.
• Medidas técnicas y organizativas: Salvaguardas aplicables para garantizar la seguridad proporcionada al riesgo existente.
• Registro de actividades: Documentación obligatoria de las operaciones de tratamiento realizadas por responsables y encargados.
• Exención por tamaño: Posibilidad de no llevar registro para organizaciones de menos de 250 empleados sin riesgos específicos.
• Inventario público: Publicación obligatoria por las Administraciones de sus actividades de tratamiento en medios electrónicos.
• Deber de confidencialidad: Secreto profesional aplicable a todo el personal involucrado en el tratamiento, incluyendo período postcontractual.
• Notificación de brechas: Comunicación obligatoria a la AEPD de violaciones de seguridad en el plazo máximo de 72 horas.
• Protección desde el diseño: Integración de garantías de protección en el desarrollo de actividades y sistemas por defecto.

🧠 Recuerda

• El responsable debe poder demostrar ante la AEPD que cumple sistemáticamente los principios del tratamiento.
• Las Administraciones Públicas deben mantener un inventario público accesible de sus actividades de tratamiento.
• El deber de confidencialidad persiste incluso después de finalizada la relación laboral o contractual.
• Las violaciones de seguridad deben notificarse a la AEPD en un plazo máximo de 72 horas desde su conocimiento.
• El registro de actividades es obligatorio salvo para organizaciones pequeñas sin riesgos especiales en su tratamiento.
• La seguridad de los datos requiere medidas técnicas y organizativas proporcionales al riesgo existente.
• La AEPD es la autoridad de control que supervisa el cumplimiento de estas obligaciones en España.