Lectura pública del tema
1. La protección de datos personales y su régimen jurídico: principios, derechos, responsable y encargado del tratamiento, delegado y autoridades de protección de datos
1. La protección de datos personales y su régimen jurídico: principios, derechos, responsable y encargado del tratamiento, delegado y autoridades de protección de datos
🎯 Idea clave
- El RGPD (Reglamento UE 2016/679) es directamente aplicable desde el 25 de mayo de 2018 y se completa con la LOPDGDD (Ley Orgánica 3/2018) como norma de desarrollo nacional.
- El artículo 5 RGPD establece siete principios vinculantes: licitud, lealtad y transparencia; limitación de la finalidad; minimización; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva.
- El tratamiento debe sustentarse en una de las seis bases jurídicas del artículo 6, siendo nula la actuación sin ellas.
- Los interesados ostentan derechos reconocidos en los artículos 15 a 22, incluyendo el acceso, rectificación, supresión, limitación, portabilidad y oposición.
- La distinción entre responsable y encargado del tratamiento exige un contrato con contenido mínimo regulado en el artículo 28.3 RGPD.
- El Delegado de Protección de Datos constituye una figura de supervisión independiente cuya designación es obligatoria en tres supuestos específicos.
📚 Desarrollo
Normativa básica. El Reglamento (UE) 2016/679 constituye el marco normativo directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018, derogando la Directiva 95/46/CE. A nivel nacional, la Ley Orgánica 3/2018, de 5 de diciembre, desarrega el RGPD y deroga la anterior LOPD (LO 15/1999) y el Real Decreto 1720/2007.
Principios rectores. El artículo 5 RGPD configura el núcleo axiológico del sistema mediante siete principios de cumplimiento obligatorio. Estos incluyen la licitud, lealtad y transparencia; la limitación de la finalidad; la minimización de datos; la exactitud; la limitación del plazo de conservación; la integridad y confidencialidad; y la responsabilidad proactiva o accountability.
Bases jurídicas. El tratamiento solo será lícito si se apoya en alguna de las seis bases del artículo 6: consentimiento del interesado, ejecución de un contrato, cumplimiento de una obligación legal, protección de intereses vitales, cumplimiento de una misión de interés público o ejercicio de la autoridad pública, e intereses legítimos del responsable o de un tercero.
Derechos de los interesados. Los artículos 15 a 22 reconocen derechos fundamentales: acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad de los datos, oposición al tratamiento y a no ser objeto de decisiones automatizadas. El plazo general para responder a las solicitudes es de un mes, prorrogable a tres en casos complejos.
Responsable y encargado. El responsable determina los fines y medios del tratamiento, mientras que el encargado trata datos por cuenta del primero. Entre ambos debe existir un contrato u otro acto jurídico vinculante que contemple, como mínimo, el objeto y duración, las instrucciones documentadas, el compromiso de confidencialidad, las medidas de seguridad del artículo 32, las condiciones de subcontratación, la cooperación y la devolución o destrucción de datos finalizado el tratamiento.
Delegado de Protección de Datos. El DPD ejerce funciones de supervisión independiente. Su designación es obligatoria cuando el tratamiento lo realice una autoridad u organismo público (excepto tribunales en ejercicio de función jurisdiccional), cuando las actividades principales requieran observación habitual y sistemática de interesados a gran escala, o cuando se traten a gran escala categorías especiales de datos o datos relativos a condenas e infracciones penales.
Funciones y garantías. El DPD debe informar y asesorar sobre obligaciones normativas, supervisar el cumplimiento interno, asesorar sobre evaluaciones de impacto y actuar como punto de contacto con la autoridad de control. Las categorías especiales de datos del artículo 9 están sometidas a prohibición general de tratamiento con excepciones tasadas.
🧩 Elementos esenciales
- RGPD: Reglamento (UE) 2016/679, de aplicación directa desde el 25 de mayo de 2018.
- LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Siete principios: Licitud, lealtad y transparencia; limitación de finalidad; minimización; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y accountability.
- Privacidad desde el diseño: Obligación de aplicar medidas técnicas y organizativas apropiadas al determinar los medios del tratamiento.
- Privacidad por defecto: Garantía de que, por defecto, solo se traten los datos necesarios para cada finalidad específica.
- Bases jurídicas: Consentimiento, contrato, obligación legal, intereses vitales, interés público e interés legítimo.
- Categorías especiales: Datos de salud, origen étnico, opiniones políticas, etc., sometidos a prohibición general con excepciones tasadas en el artículo 9.
- Contrato encargo: Debe regular objeto, instrucciones, confidencialidad, medidas de seguridad, subcontratación, cooperación y destrucción o devolución.
- Plazo respuesta derechos: Un mes, ampliable a tres meses en supuestos complejos.
- Obligaciones del responsable: Garantizar y demostrar el cumplimiento, mantener registro de actividades, notificar brechas en 72 horas y designar DPD cuando proceda.
🧠 Recuerda
- El RGPD deroga la Directiva 95/46/CE y la LOPDGDD deroga la LOPD 15/1999 y el RD 1720/2007.
- La transparencia exige información clara, sin fórmulas oscuras o genéricas sobre quién trata los datos y con qué finalidad.
- La limitación de finalidad impide reutilizar datos administrativos para fines distintos sin nueva base jurídica.
- El responsable determina el qué y el cómo; el encargado solo ejecuta instrucciones documentadas.
- El DPD es obligatorio en autoridades públicas, vigilancia sistemática a gran escala y datos especiales sensibles a gran escala.
- El DPD no asume la responsabilidad del tratamiento, sino que supervisiona su cumplimiento de forma independiente.
- La accountability exige al responsable demostrar activamente que cumple el RGPD.
- Las violaciones de seguridad deben notificarse a la autoridad de control en un plazo máximo de 72 horas.
- Los datos deben mantenerse durante no más tiempo del necesario para los fines del tratamiento.
2. Derechos digitales
2. Derechos digitales
🎯 Idea clave
- La LOPDGDD dedica su Título X a un catálogo específico de derechos digitales que complementa el régimen de protección de datos personales.
- Estos derechos abarcan desde la neutralidad de internet hasta la desconexión digital laboral, pasando por el olvido en redes y la protección de menores.
- La Carta de Derechos Digitales de 2021 constituye un documento de referencia no vinculante que sistematiza derechos ante tecnologías emergentes como la inteligencia artificial y el metaverso.
- España Digital 2026 incorpora los derechos digitales como eje específico de su agenda, entendiendo que la transformación digital debe estar centrada en las personas.
- La AEPD ejerce funciones de supervisión sobre el cumplimiento de estas garantías en el ámbito de la protección de datos.
📚 Desarrollo
Normativa principal. El Título X de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), recoge en sus artículos 79 a 97 un catálogo específico de derechos digitales que amplía el marco del RGPD. Esta regulación responde a la necesidad de adaptar las garantías ciudadanas al entorno de la sociedad de la información.
Derechos reconocidos. Entre los derechos específicos figuran el de neutralidad de internet, acceso universal a internet, seguridad digital, olvido en internet y redes sociales, portabilidad en servicios de redes sociales, desconexión digital en el ámbito laboral, educación digital y protección de menores en internet. Estos complementan los clásicos derechos de protección de datos.
Desconexión digital laboral. El artículo 88 LOPDGDD regula expresamente este derecho, extendiéndolo a los empleados públicos, cuyas administraciones deben elaborar políticas internas al respecto. La vigilancia con cámaras (art. 89) y la geolocalización laboral (art. 90) requieren información previa expresa al trabajador, salvo excepción por indicios fundados de actos ilícitos.
Olvido y portabilidad. El derecho al olvido frente a buscadores (art. 93) tiene su origen en la Sentencia del TJUE de 13 de mayo de 2014 (Google Spain, C-131/12). El artículo 94 regula el olvido en redes sociales, mientras que el artículo 95 desarrolla el derecho a la portabilidad en estos servicios.
Testamento digital. El artículo 96 LOPDGDD permite a las personas impartir instrucciones sobre el destino de sus contenidos digitales tras el fallecimiento. En ausencia de designación expresa, podrán actuar familiares o herederos para decidir sobre dichos activos digitales.
Carta de Derechos Digitales. Aprobada en julio de 2021 por el Ministerio de Asuntos Económicos y Transformación Digital, esta carta carece de rango normativo vinculante pero sirve como marco interpretativo. Recoge derechos relacionados con inteligencia artificial, neurotecnología, metaverso, trabajo en plataformas e igualdad en el entorno digital.
Edad de consentimiento. El artículo 7 LOPDGDD fija en 14 años la edad mínima para que el menor preste consentimiento por sí mismo para el tratamiento de sus datos, dentro del marco que permite el RGPD (entre 13 y 16 años).
🧩 Elementos esenciales
- Título X LOPDGDD: contiene el catálogo normativo de derechos digitales (arts. 79-97).
- Derecho a la desconexión digital: reconocido expresamente para empleados públicos con obligación de elaborar políticas internas (art. 88).
- Vigilancia laboral: requiere información previa expresa; excepción solo con indicios fundados de actos ilícitos (art. 89).
- Geolocalización laboral: necesita información previa al trabajador y representantes (art. 90).
- Olvido frente a buscadores: regulado en el artículo 93, originado en la Sentencia Google Spain del TJUE (C-131/12).
- Olvido en redes sociales: previsto específicamente en el artículo 94 LOPDGDD.
- Portabilidad digital: derecho a la portabilidad en servicios de redes sociales (art. 95).
- Testamento digital: regulado en el artículo 96, permite designar destino de contenidos digitales post mortem.
- Edad mínima: 14 años para consentimiento autónomo del menor (art. 7).
- Carta de Derechos Digitales: documento de referencia aprobado en julio de 2021 sin valor normativo vinculante.
- Ejes temáticos de la Carta: inteligencia artificial, neurotecnología, metaverso, trabajo en plataformas e igualdad digital.
- España Digital 2026: integra los derechos digitales como eje específico de su agenda.
🧠 Recuerda
- La LOPDGDD es la norma española que desarrolla derechos digitales específicos en su Título X.
- La Carta de Derechos Digitales de 2021 es un documento orientador, no una ley.
- El derecho a la desconexión digital alcanza específicamente a los empleados públicos.
- La videovigilancia laboral siempre requiere información previa, salvo sospechas fundadas de delitos.
- El olvido digital nace de la jurisprudencia del TJUE (Sentencia Google Spain de 2014).
- El testamento digital permite decidir el destino de los contenidos tras la muerte.
- Los menores de 14 años no pueden consentir solos el tratamiento de sus datos.
- La geolocalización de trabajadores requiere información previa obligatoria.
- España Digital 2026 sitúa a los derechos digitales como eje transversal de su estrategia.