TEMA 22. NORMATIVA REGULADORA DE LA PROTECCIÓN DE
DATOS PERSONALES: PRINCIPIOS, DERECHOS DE LAS PERSONAS Y
EJERCICIOS DE LOS DERECHOS.
NORMATIVA REGULADORA DE LA PROTECCIÓN DE DATOS
PERSONALES
El Derecho, en la pretensión de cumplir satisfactoriamente con su función, que no es otra que regular
las sociedades y solventar pacíficamente las controversias y conflictos, va acogiendo las distintas
transformaciones que la sociedad va experimentando. Y al hacerlo va ampliando su base y contenidos, como
en el ámbito del Derecho del que ahora nos ocupamos, prueba de lo cual reside, por ejemplo, en su origen
vinculado al nacimiento y desarrollo de la informática. La rápida evolución tecnológica y la globalización han
planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del
intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las
empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la
hora de realizar sus actividades.
La protección de datos personales es una manifestación que incluso ha sido colocada en el ámbito de los
nuevos derechos fundamentales, ante lo que a veces se califica de «derechos de última generación”.
Tendrían estos nuevos derechos una naturaleza peculiar, porque se perfilan como derechos horizontales; es
decir, derechos que se pretenden ejercer frente a todos: frente a las Administraciones Públicas, frente a las
empresas e incluso frente a los mismos particulares, salvo en el ejercicio de actividades exclusivamente
personales o domésticas en este último caso.
Dicho vínculo entre protección de datos de carácter personal e informática queda resaltado en el Art. 18.4 CE:
«La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos». Al respecto, la Exposición de Motivos de la LOPDGDD
comienza indicando que «La protección de las personas físicas en relación con el tratamiento de datos
personales es un derecho fundamental protegido por el Art. 18.4 CE”.
La primera ley en España que se ocupó de regular la materia fue precisamente esta Ley Orgánica 5/1992, de
regulación del Tratamiento Automatizado de Datos de carácter Personal, cuya exposición de motivos
evidencia, bien a las claras, el triple vínculo que en estos párrafos introductorios resaltamos: datos de carácter
personal, intimidad personal y familiar (ocasionalmente el honor) y riesgos derivados para ambos por el
empleo de los recursos informáticos.
A NIVEL COMUNITARIO, la protección de datos de carácter personal se recoge en el artículo 8 de
la Carta de los Derechos Fundamentales de la Unión Europea; y en el artículo 16.1 Tratado de
Funcionamiento de la Unión Europea (TFUE). Conforme al artículo 8 de la Carta de los Derechos
Fundamentales de la Unión Europea: «1. Toda persona tiene derecho a la protección de los datos de carácter
personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del
consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda
Administrativo Seguridad Social Actualizado a noviembre 2023
seguridadsocialoposiciones.es
persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El respeto de
estas normas quedará sujeto al control de una autoridad independiente».
Por otro lado, el artículo 16.2 TFUE indica que el Parlamento Europeo y el Consejo establecerán, con arreglo
al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del
tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como
por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del
derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido
al control de autoridades independientes.
Sobre esta base, se aprobó inicialmente la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24
de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de esos mismos datos. Naturalmente, como tal Directiva, obligaba a los
Estados miembros a su transposición a sus respectivos ordenamientos jurídicos.
Otras Directivas sucedieron luego a la ya indicada en la regulación de esta clase de datos. El DOUE de 4 de
mayo de 2016 publicó el Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679 de 27 de
abril de 2016, en adelante RGPD), aplicable desde el 25 de mayo de 2018. Dicho Reglamento:
– Deroga la Directiva 95/46/CE con efecto a partir del 25 de mayo de 2018.
– Se publica en el DOUE junto con otras normas relativas a protección de datos: a) Directiva (UE)
2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades
competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales
o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la
Decisión Marco 2008/977/JAI del Consejo; b) Directiva (UE) 2016/681 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los
pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de
terrorismo y de la delincuencia grave.
El RGPD persigue, según su considerando décimo, lograr que el nivel de protección de los derechos y
libertades de las personas físicas, por lo que se refiere al tratamiento de dichos datos, sea equivalente en todos
los Estados miembros; garantizar un nivel uniforme y elevado de protección de las personas físicas, y
eliminar los obstáculos a la circulación de datos personales dentro de la Unión.
La protección otorgada por el presente reglamento debe aplicarse a las personas físicas, independientemente
de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El
presente reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en
particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona
jurídica y sus datos de contacto.
El RGPD enumera una serie de definiciones en su artículo cuarto, dentro de las cuales se destacan las
siguientes:
Administrativo Seguridad Social Actualizado a noviembre 2023
seguridadsocialoposiciones.es
• «Datos personales»: Toda información sobre una persona física identificada o identificable «el interesado»);
se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un nombre o un número de
identificación.
• «Tratamiento»: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o
conjuntos de datos personales, ya sea por procedimientos automatizados o no.
• «Responsable del tratamiento» o «responsable»: La persona física o jurídica, autoridad pública, servicio u
otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;
• «Destinatario»: La persona física o jurídica, autoridad pública, servicio u otro organismo al que se
comuniquen datos personales, se trate o no de un tercero.
• «Consentimiento del interesado»: Toda manifestación de voluntad libre, específica, informada e inequívoca
por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen.
Descendiendo al NIVEL NACIONAL, durante mucho tiempo la norma de referencia era la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. La LOPD quedó derogada por la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales (LOPDGDD), que es aplicable (como su predecesora) a todo tratamiento de datos personales con
independencia de si este se lleva a cabo de manera total o parcialmente automatizada o no, es decir, en papel,
y cuyo objeto es, por una parte, adaptar el ordenamiento jurídico español al RGPD y, por otra parte,
«garantizar los derechos digitales de la ciudadanía”.
Además, es necesario considerar que hay otra normativa relevante, de carácter sectorial, tal como la Ley
41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y derechos y obligaciones en
materia de información y documentación clínica, que ha sido modificada por la LOPDGDD en lo relativo al
acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de
docencia, o la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
Los PRINCIPIOS relativos al tratamiento vienen establecidos en el capítulo II RGPD y en el título II LPOD,
siendo estos -según el reglamento- que los datos personales serán:
– Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y
transparencia»).
– Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de
manera incompatible con dichos fines; de acuerdo con el artículo 89.1, el tratamiento ulterior de
los datos personales con fines de archivo en interés público, fines de investigación científica e
histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de
la finalidad»).
– Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son
tratados («minimización de datos»).
– Exactos y, si fuera necesario, actualizados.
– Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo
del necesario para los fines del tratamiento de los datos personales; los datos personales podrán
conservarse durante periodos más largos siempre que se traten exclusivamente con fines de
Administrativo Seguridad Social Actualizado a noviembre 2023
seguridadsocialoposiciones.es
archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de
conformidad con el artículo 89.1, sin perjuicio de la aplicación de las medidas técnicas y
organizativas apropiadas que impone el presente reglamento a fin de proteger los derechos y
libertades del interesado («limitación del plazo de conservación»).
– Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida
la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño
accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y
confidencialidad»).
Por su parte, la LOPD hace lo propio en sus artículos 4 a 10, los cuáles se refieren respectivamente a la
exactitud de los datos; al deber de confidencialidad (“Los responsables y encargados del tratamiento de datos
así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de
confidencialidad”); al Tratamiento basado en el consentimiento del afectado (“se entiende por consentimiento
del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta,
ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen”); al Consentimiento de los menores de edad (“El tratamiento de los datos personales de un
menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años”); al
Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos (“tratamiento de
datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al
responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo
prevea una norma de Derecho de la Unión Europea o una norma con rango de ley”); a las Categorías
especiales de datos (“a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no
bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su
ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.”); y al Tratamiento
de datos de naturaleza penal (“El tratamiento de datos personales relativos a condenas e infracciones penales,
así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones
penales, solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en
esta ley orgánica o en otras normas de rango legal”).
En relación a los DERECHOS, estos se recogen en el Capítulo III RGPD y en el Título III LOPD.
En el RGPD se incluyen los derechos vinculados a la transparencia de la información y comunicación (se
precisa la información que se facilitará al interesado en función de si los datos personales son proporcionados
por el mismo o por un tercero; así como el derecho al acceso a los mismos); derechos de recitificación -de
datos inexactos- y supresión -este último también se llama derecho al olvido y ampara la pretensión de
suprimir datos que ya no sean necesarios o que hayan sido tratados ilícitamente-; derecho a la limitación del
tratamiento -por estar inexactos, por ser ilícito el tratamiento o cuando el responsable del tratamiento ya no
los necesite-; derecho a que se notifiquen los derechos de rectificación, supresión o limitación al interesado;
derecho a la portabilidad de los datos -que se le faciliten en un formato estructurado-; derecho de oposición a
un tratamiento determinado; o el derecho a no ser objeto de una decisión basada únicamente en el
tratamiento automatizado.
Administrativo Seguridad Social Actualizado a noviembre 2023
seguridadsocialoposiciones.es
En la LOPD, siguiendo el esquema anterior, prevé idénticos derechos en sus artículos 11 a 18. El Art. 11
regula el derecho a la transparencia e información:
“Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar
cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando
al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección
electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)
2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información
básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su
derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos
sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo
previsto en el artículo 22 del Reglamento (UE) 2016/679.
3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar
cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando
a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro
medio que permita acceder de forma sencilla e inmediata a la restante información.
En estos supuestos, la información básica incluirá también:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes de las que procedieran los datos”.
El Art. 12 LOPD regula las disposiciones generales sobre el ejercicio de los derechos.
“Los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, podrán ejercerse
directamente o por medio de representante legal o voluntario.
2. El responsable del tratamiento estará obligado a informar al afectado sobre los medios a su
disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para
el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro
medio.
3. El encargado podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por
los afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.
Administrativo Seguridad Social Actualizado a noviembre 2023
seguridadsocialoposiciones.es
4. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos
formulado por el afectado recaerá sobre el responsable.
5. Cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte
al ejercicio de los derechos previstos en el Capítulo III del Reglamento (UE) 2016/679, se estará a lo dispuesto
en aquellas.
6. En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de
los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros
que pudieran corresponderles en el contexto de la presente ley orgánica.
7. Serán gratuitas las actuaciones llevadas a cabo por el responsable del tratamiento para atender las
solicitudes de ejercicio de estos derechos, sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del
Reglamento (UE) 2016/679 y en los apartados 3 y 4 del artículo 13 de esta ley orgánica”.
El Art. 13 LOPD señala que “El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en
el artículo 15 del Reglamento (UE) 2016/679”. Y este último precepto dispone que “El interesado tendrá
derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales
que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información: fines
del tratamiento; categorías de los datos personales de que se trate o el plazo previsto para la conservación de
los datos”.
“Al ejercer el derecho de rectificación reconocido en el artículo 16 del Reglamento (UE) 2016/679, el afectado
deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar,
cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto
de tratamiento” (Art. 14 LOPD).
“El derecho de supresión se ejercerá de acuerdo con lo establecido en el artículo 17 del Reglamento (UE)
2016/679” dice el Art. 15 LOPD. El Art 17 Reglamento UE prevé que “el interesado tendrá derecho a obtener
sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan,
el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las
circunstancias siguientes: datos personales que ya no sean necesarios; datos que hayan sido tratados
ilícitamente o los datos respecto de los cuáles el interesado retire su consentimiento”.
El Art. 16 LOPD dispone que “El derecho a la limitación del tratamiento se ejercerá de acuerdo con lo
establecido en el artículo 18 del Reglamento (UE) 2016/679”. Este precepto reza “el interesado tendrá
derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se
cumpla alguna de las condiciones siguientes: cuando el interesado impugne la exactitud de los datos
personales, el tratamiento se a ilícito y el interesado se oponga a la supresión de los datos personales o el
responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite
para la formulación, el ejercicio o la defensa de reclamaciones”.
El Art. 17 LOPD advierte que “El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el
artículo 20 del Reglamento (UE) 2016/679”. Este último artículo preceptua que “el interesado tendrá derecho
a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un
Administrativo Seguridad Social Actualizado a noviembre 2023
seguridadsocialoposiciones.es
formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento
sin que lo impida el responsable al que se los hubiera facilitado, cuando: el tratamiento este basado en el
consentimiento correspondiente o el tratamiento se efectúe por medios automatizados”.
El Art. 18 LOPD establece que “El derecho de oposición, así como los derechos relacionados con las
decisiones individuales automatizadas, incluida la realización de perfiles, se ejercerán de acuerdo con lo
establecido, respectivamente, en los artículos 21 y 22 del Reglamento (UE) 2016/679”. Estos últimos preceptos
señalan que “el interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con
su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo
dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas
disposiciones.” Por su parte, el Art. 22 Reglamento dispone que “Todo interesado tendrá derecho a no ser
objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles,
que produzca efectos jurídicos en él o le afecte significativamente de modo similar”.