Guía Divulgativa del Reglamento General de Protección de Datos de la Unión Europea

RESUMEN

La Guía Divulgativa del Reglamento 679/2016, General de Protección de Datos de la Unión Europea, trata de ser un instrumento útil para el conocimiento y la aproximación al nuevo régimen legal de la privacidad, que marca una nueva etapa tras la entrada en vigor del mismo. Esta nueva normativa exige un mayor compromiso de las organizaciones, públicas y privadas, con la protección de datos, y consecuentemente con ello, se contienen importantes novedades que pretenden modernizar el tratamiento de los datos de carácter personal, afectando de una manera muy singular a todos los operadores jurídicos y económicos que pretendan llevar a cabo dichos tratamientos, teniendo en cuenta que las empresas deben adoptar decidida y eficazmente medidas que cumplan con los principios, derechos y garantías que el Reglamento establece, siendo completamente necesario que todas las organizaciones que tratan datos de carácter personal asuman el riesgo que sus tratamientos llevan consigo, para poder determinar qué medidas han de aplicar y cómo hacerlo. Complementariamente a ello, el Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros. Por último, debe tenerse presente la figura del Oficial de Protección de Datos (DPO), sus características, así como sus nuevas funciones y cometidos.


ÍNDICE

I.INTRODUCCIÓN A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL13
a)Cuestiones generales13
b)La Protección de Datos aplicable a las microempresas y a las Pymes.23
II.EL OBJETO DE LA PROTECCIÓN DE DATOS26
III.EL ÁMBITO DE APLICACIÓN MATERIAL DE LA PROTECCIÓN DE DATOS27
IV.EL ÁMBITO TERRITORIAL DE LA PROTECCIÓN DE DATOS 33
V.LAS DEFINICIONES SOBRE CONCEPTOS RELATIVOS A LA PROTECCIÓN DE DATOS36
VI.LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS42
a)Cuestiones generales42
b)La información anónima y la seudo anonimización43
c)La información obrante en poder de las Administraciones o autoridades públicas44
d)Los datos personales o la información sobre personas fallecidas45
VII.LOS PRINCIPIOS RELATIVOS AL TRATAMIENTO DE DATOS47
a)Cuestiones generales47
b)La licitud del tratamiento 51
VIII.LOS TÍTULOS JURÍDICOS SOBRE LOS QUE SE LLEVA A CABO EL TRATAMIENTO DE DATOS58
a)Las condiciones para el consentimiento58
b)El interés legítimo como base del tratamiento de datos personales62
c)Los tratamientos de datos amparados en una ley65
IX.LAS CONDICIONES APLICABLES AL CONSENTIMIENTO DE LOS MENORES EN RELACIÓN CON LOS SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN66
X.EL TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS PERSONALES 68
XI.LOS DATOS DE SALUD Y LOS DATOS DE CARÁCTER GENÉTICO74
XII.LOS TRATAMIENTOS DE DATOS EN FICHEROS DE SOLVENCIA PATRIMONIAL Y CREDITO77
XIII.LOS TRATAMIENTOS DERIVADOS DE OPERACIONES SOCIETARIAS80
XIV.LOS TRATAMIENTOS CON FINES DE VIDEO VIGILANCIA81
XV.LOS TRATAMIENTOS DE DATOS CON FINES COMERCIALES O DE MARKETING83
XVI.LOS TRATAMIENTOS DE DATOS EN CANALES PRIVADOS DE DENUNCIA84
XVII.LOS TRATAMIENTOS CON FINES ESTADÍSTICOS85
XVIII.LOS TRATAMIENTOS DE DATOS PERSONALES RELATIVOS A CONDENAS E INFRACCIONES PENALES86
XIX.LOS TRATAMIENTOS DE DATOS EN IGLESIAS ENTIDADES O ASOCICIONES RELIGIOSAS87
XX.LOS TRATAMIENTOS DE DATOS EN PARTIDOS POLÍTICOS88
XXI.LOS TRATAMIENTOS DE DATOS POR LAS ADMINISTRACIONES PÚBLICAS CON FINES DE ARCHIVO DE INTERES PÚBLICO89
XXII.LOS TRATAMIENTOS QUE NO REQUIEREN IDENTIFICACIÓN89
XXIII.LA PROTECCIÓN JURÍDICA DE LOS DATOS DE LAS PERSONAS FÍSICAS: CUESTIONES GENERALES90
XXIV.LA OBLIGACIÓN DE TRANSPARENCIA Y LA COMUNICACIÓN CON EL TITULAR DE LOS DATOS91
XXV.LA INFORMACIÓN SOBRE EL TITULAR DE LOS DATOS96
a)La información que deberá facilitarse cuando los datos personales se obtengan del interesado96
b)La información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado100
c)La información que deberá facilitarse cuando los datos personales no se obtengan del interesado102
XXVI.EL EJERCICIO DE DERECHOS105
a)El derecho de acceso del interesado105
b)El derecho de rectificación107
c)El derecho de supresión («el derecho al olvido»)108
d)El derecho a la limitación del tratamiento111
e)La obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento112
f)El derecho a la portabilidad de los datos112
g)El derecho de oposición115
h)Las decisiones individuales automatizadas, incluida la elaboración de perfiles117
i)Las limitaciones aplicables al responsable y al encargado de tratamiento120
XXVII.LA OBLIGACIÓN DE BLOQUEO DE LOS DATOS PERSONALES122
XXVIII.EL RESPONSABLE DEL TRATAMIENTO 123
a)Cuestiones Generales123
b)La responsabilidad del responsable del tratamiento129
XXIX.LA PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO134
XXX.LOS CORRESPONSABLES DEL TRATAMIENTO136
XXXI.LOS REPRESENTANTES DE LOS RESPONSABLES O ENCARGADOS DEL TRATAMIENTO NO ESTABLECIDOS EN LA UNIÓN EUROPEA137
XXXII.EL ENCARGADO DEL TRATAMIENTO139
XXXIII.EL TRATAMIENTO DE DATOS BAJO LA AUTORIDAD DEL RESPONSABLE O DEL ENCARGADO DEL TRATAMIENTO144
XXXIV.EL REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO144
a)La supresión del Registro General de Protección de Datos de la Agencia Española de Protección de Datos144
b)El registro de actividades145
XXXV.LA COOPERACIÓN CON LA AUTORIDAD DE CONTROL147
XXXVI.LA SEGURIDAD DEL TRATAMIENTO 148
XXXVII.LA NOTIFICACIÓN DE UNA VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS PERSONALES A LA AUTORIDAD DE CONTROL149
XXXVIII.LA COMUNICACIÓN DE LA VIOLACIÓN PRODUCIDA DE LA SEGURIDAD DE LOS DATOS PERSONALES AL INTERESADO152
XXXIX.LA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Y LA CONSULTA PREVIA AL REGULADOR154
a)La evaluación de impacto relativa a la protección de datos154
b)La Consulta previa a la Agencia Española de Protección de Datos162
XL.EL DELEGADO DE PROTECCIÓN DE DATOS164
a)La designación del delegado de protección de datos164
b)La posición del delegado de protección de datos168
c)Las funciones del delegado de protección de datos170
d)La intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos170
XLI.LOS CÓDIGOS DE CONDUCTA171
a)Cuestiones generales171
b)La supervisión de códigos de conducta aprobados177
XLII.LA CERTIFICACIÓN178
a)Cuestiones generales178
b)El organismo de certificación180
XLIII.LAS TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES183
a)Cuestiones generales sobre las transferencias internacionales de datos183
b)Las transferencias internacionales de datos, basadas en una decisión de adecuación186
c)Las transferencias internacionales de datos mediante garantías adecuadas195
d)Los supuestos de transferencias internacionales de datos, sometidos a autorización previa de las autoridades de protección de datos197
e)Las normas corporativas vinculantes (BCRs)197
f)Las transferencias o comunicaciones internacionales de datos no autorizadas por el Derecho de la Unión Europea201
g)Las excepciones existentes para situaciones específicas201
h)Las transferencias internacionales de datos, y el papel a desempeñar por la Agencia Española de Protección de Datos205
i)Otras consideraciones sobre las transferencias internacionales de datos207
XLIV.LAS AUTORIDADES DE CONTROL INDEPENDIENTES218
a)Consideraciones generales211
b)La independencia de las autoridades de control213
c)Las condiciones generales aplicables a los miembros de la autoridad de control214
d)Las normas relativas al establecimiento de la autoridad de control215
e)La competencia de la autoridad de control216
f)La competencia de la autoridad de control principal217
g)Las funciones de la autoridad de control220
h)Los poderes de la autoridad de control223
i)El Informe de actividad226
XLV.LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS227
a)El régimen jurídico de la Agencia Española de Protección de Datos227
b)El régimen económico, presupuestario y de personal de la Agencia Española de Protección de Datos228
c)El Presidente de la Agencia Española de Protección de Datos229
d)Las potestades de investigación y planes de auditoría preventiva de la Agencia Española de Protección de Datos232
e)El deber de colaboración con la Agencia Española de Protección de Datos233
f)Los planes de auditoría preventiva de la Agencia Española de Protección de Datos236
g)Otras potestades de la Agencia Española de Protección de Datos237
h)La acción exterior de la Agencia Española de Protección de Datos237
XLVI.LAS AUTORIDADES AUTONÓMICAS DE PROTECCIÓN DE DATOS238
a)Consideraciones generales238
b)La cooperación institucional entre autoridades de control239
XLVII.LOS TRATAMIENTOS CONTRARIOS AL REGLAMENTO GENERAL Y A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL239
XLVIII.LA COORDINACIÓN EN EL MARCO DE LOS PROCEDIMIENTOS ESTABLECIDOS EN EL REGLAMENTO GENERAL240
XLIX.LA COORDINACIÓN EN CASO DE RESOLUCIÓN DE CONFLICTOS POR EL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS241
L.LA COOPERACIÓN Y LOS MECANISMOS DE COHERENCIA241
a)La cooperación entre la autoridad de control principal y las demás autoridades de control interesadas241
b)La asistencia mutua entre autoridades de control248
c)Las operaciones conjuntas de las autoridades de control251
LI.EL MECANISMO DE COHERENCIA253
a)Concepto y características253
b)El dictamen del Comité254
c)La resolución de conflictos por el Comité256
d)El llamado procedimiento de urgencia257
e)El intercambio de información entre autoridades de control, el Comité y la Comisión259
LII.EL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS 259
a)Características259
b)La independencia del Comité260
c)Las funciones del Comité261
d)Los informes del Comité264
e)El procedimiento de funcionamiento del Comité264
f)La Presidencia del Comité264
g)Las funciones del Presidente del Comité265
h)La Secretaría del Comité265
i)La confidencialidad en el funcionamiento del Comité266
LIII.LOS RECURSOS, LAS RESPONSABILIDADES Y LAS SANCIONES 266
a)El derecho a presentar una reclamación ante una autoridad de control266
b)El derecho a la tutela judicial efectiva contra una autoridad de control268
c)El derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento272
d)La representación de los interesados273
e)La suspensión de los procedimientos274
f)El derecho a indemnización y la determinación de la responsabilidad275
g)Las condiciones generales para la imposición de multas administrativas277
h)Las sanciones281
LIV.LOS PROCEDIMIENTOS EN CASO DE POSIBLE VULNERACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS284
a)El régimen jurídico de los procedimientos sancionadores284
b)La admisión a trámite de las reclamaciones285
c)La determinación del alcance territorial286
d)Las actuaciones previas de investigación286
LV.EL RÉGIMEN SANCIONADOR288
a)Los sujetos responsables288
b)Actos y conductas susceptibles de ser sancionadas y su tiempo de prescripción289
c)Otras consideraciones sobre las infracciones294
d)La prescripción de las sanciones297
LVI.LA TRAMITACIÓN DE OTROS PROCEDIMIENTOS ATRIBUIDOS POR LEY A LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS298
LVII.LAS DISPOSICIONES RELATIVAS A SITUACIONES ESPECÍFICAS DE TRATAMIENTO298
a)Cuestiones generales298
b)Los tratamientos de datos, y las libertades de expresión y de información299
c)El tratamiento y acceso del público a documentos oficiales300
d)El tratamiento de datos en la Administración de Justicia301
e)Otros tratamientos de autoridades públicas301
f)El tratamiento del Número Nacional de Identificación303
g)Los tratamientos en el ámbito laboral304
LVIII.LAS GARANTÍAS Y LAS EXCEPCIONES APLICABLES AL TRATAMIENTO CON FINES DE ARCHIVO EN INTERÉS PÚBLICO, FINES DE INVESTIGACIÓN CIENTÍFICA O HISTÓRICA, O FINES ESTADÍSTICOS 305
LIX.LAS OBLIGACIONES DE SECRETO Y CONFIDENCIALIDAD EN LOS TRATAMIENTOS DE DATOS DE CARÁCTER PERSONAL310
LX.LOS DATOS RELATIVOS A LAS PERSONAS Y LOS REGISTROS PUBLICOS311
LXI.LOS ACTOS DELEGADOS Y ACTOS DE EJECUCIÓN311
a)El ejercicio de la delegación311
b)El procedimiento de comité313
LXII.LA DEROGACIÓN DE LA DIRECTIVA 95/46/CE314
a)Cuestiones generales314
b)La relación del Reglamento General con la Directiva 2002/58/CE315
c)La relación del Reglamento General con los acuerdos celebrados anteriormente 315
d)Los informes de la Comisión315
LXIII.LA REVISIÓN DE OTROS ACTOS JURÍDICOS DE LA UNIÓN EN MATERIA DE PROTECCIÓN DE DATOS316
LXIV.LA ENTRADA EN VIGOR Y APLICACIÓN DE LA NUEVA NORMATIVA317
LXV.LAS DISPOSICIONES DE LA LEY ORGANICA 15/1.999, DE 13 DE DICIEMBRE DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL QUE MANTIENEN SU VIGENCIA318