La protección de datos personales y su régimen jurídico: principios y derechos

LA PROTECCIÓN DE DATOS PERSONALES Y SU RÉGIMEN JURÍDICO

MD.PlantillaTexto(01).HTML.OCEP.Esp (3).dot TEMA 8 LA PROTECCIÓN DE DATOS PERSONALES Y SU RÉGIMEN JURÍDICO: PRINCIPIOS, DERECHOS, RESPONSABLE Y ENCARGADO DEL TRATAMIENTO, DELEGADO Y AUTORIDADES DE PROTECCIÓN DE DATOS. DERECHOS DIGITALES DOCUMENTO1ÍNDICE

1. LA PROTECCIÓN DE DATOS PERSONALES Y SU RÉGIMEN JURÍDICO ¡ERROR! MARCADOR NO DI
2. DERECHOS DIGITALES 29

BIBLIOGRAFÍA .35 11. LA PROTECCIÓN DE DATOS PERSONALES Y SU RÉGIMEN JURÍDICO La regulación sobre protección de datos personales tiene su base en el artículo 18.1 de la Constitución Española, que establece que "se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen", añadiendo en su apartado 4 que "la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos." La norma que regula este derecho es el Reglamento General de Protección de Datos (UE) 2016/679, de 27 de abril de 2016 (en adelante RGPD), que supone una amplia transformación del sistema de protección de datos personales y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante LOPD. Asimismo, cabe destacar la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detención, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, resultado de la transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y con el objeto de establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecu- ción de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública, se publica. Cabe destacar el ámbito de aplicación del RGPD, recogido en los artículos 2 y 3 del mismo. Este además de aplicarse como hasta ahora a responsables o encargados de tratamientos de datos establecidos en la Unión Europea, será de aplicación sobre aquellos responsables y encargados, que, si bien no se encuentran establecidos en la Unión, realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Para que esa ampliación del ámbito de apli- cación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. No se aplica al tratamiento de datos personales:

• En el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión (registro mercantil, de la propiedad, civil; ámbito penitenciario y electoral). 3" Por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE (sobre la política exterior y de segu- ridad común).
• Efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
• Por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

PRINCIPIOS DE PROTECCIÓN DE DATOS

El artículo 5 del RGPD establece una serie de principios relativos al tratamiento de los da- tos personales:

• tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)
• recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»)
• adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)
• exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»)
• mantenidos de forma que se permita la identificación de los interesados du- rante no más tiempo del necesario para los fines del tratamiento de los datos per- sonales («limitación del plazo de conservación»).
• tratados de tal manera que se garantice una seguridad adecuada de los da- tos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medi- das técnicas u organizativas apropiadas («integridad y confidencialidad»). 4
• El responsable del tratamiento será responsable del cumplimiento de lo dis- puesto y tendrá que ser capaz de demostrarlo («responsabilidad proactiva»).

En cuanto a la licitud del tratamiento, el RGPD establece que el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos
2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física
5. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
6. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. No será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Por su parte, la LOPD establece los siguientes principios:

• El Art. 4 de la LO 3/2018 nos dice que, conforme al artículo 5.1.d) del Regla- mento (UE) 2016/679 los datos serán exactos y, si fuere necesario, actualizados. A los efectos previstos en el artículo 5.1.d) del Reglamento (UE) 2016/679, no será imputable al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexacti- tud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos: 5
• Hubiesen sido obtenidos por el responsable directamente del afectado.
• Hubiesen sido obtenidos por el responsable de un mediador o intermedia- rio en caso de que las normas aplicables al sector de actividad al que perte- nezca el responsable del tratamiento establecieran la posibilidad de inter- vención de un intermediario o mediador que recoja en nombre propio los datos de los afectados para su transmisión al responsable. El mediador o in- termediario asumirá las responsabilidades que pudieran derivarse en el su- puesto de comunicación al responsable de datos que no se correspondan con los facilitados por el afectado.
• Fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme al artículo 20 del Reglamento (UE) 2016/679 y lo pre- visto en esta ley orgánica.
• Fuesen obtenidos de un registro público por el responsable.
• Deber de confidencialidad (artículo 5, LOPD), los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cual- quier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679. Según el artículo 5.1 f) del Reglamento (UE) 2016/679. Estas obligaciones se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
• En el artículo 6, se recoge el tratamiento basado en el consentimiento del afectado. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de vo- luntad libre, específica, informada e inequívoca por la que este acepta, ya sea me- diante una declaración o una clara acción afirmativa, el tratamiento de datos per- sonales que le conciernen:
• Cuando se pretenda fundar el tratamiento de los datos en el consenti- miento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.
• No podrá supeditarse la ejecución del contrato a que el afectado con- sienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la rela- ción contractual.
• Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tra- tamiento de sus datos personales. 6
• Si el consentimiento del interesado se da en el contexto de una declara- ción escrita que también se refiera a otros asuntos, la solicitud de con- sentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un len- guaje claro y sencillo.
• El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tra- tamiento basada en el consentimiento previo a su retirada. Será tan fácil retirar el consentimiento como darlo.
• Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuen- ta en la mayor medida posible el hecho de si, entre otras cosas, la ejecu- ción de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesa- rios para la ejecución de dicho contrato.
• En cuanto al consentimiento de los menores de edad, el artículo 7 de la Ley Orgánica 3/2018 dispone que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titu- lares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que deter- minen los titulares de la patria potestad o tutela.
• El tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos se regula en el artículo 8. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tra- tamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal.

DERECHOS

Tanto el RGPD como la LOPD recogen una serie de derechos en materia de protección de datos personales. 7