¡Examínate GRATIS del B1/B2/C1!

Cursos

Mi Cuenta

Buscar

Carro 0 0,00 

Encuentra lo que buscas

5. La protección de datos: principios, derechos y obligaciones. TEMA 3 AUXILIAR DE ENFERMERÍA – GRUPO IV – JCCM

por | Jul 3, 2024

La protección de datos: principios, derechos y obligaciones

La protección de datos personales es un derecho fundamental reconocido en el artículo 18 de la Constitución Española. Este artículo establece lo siguiente: “1. Se garantiza el derecho al honor, a la intimidad personal y familiar, y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones, especialmente las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos, y el pleno ejercicio de sus derechos.”

El 25 de mayo de 2016, entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento de sus datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE, aunque no comenzó a aplicarse hasta el 25 de mayo de 2018. Este Reglamento es conocido como el Reglamento General de Protección de Datos (en adelante RGPD).

A nivel estatal, las Cortes Generales aprobaron la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, la cual deroga la anterior LO 15/1999. Esta ley adapta el RGPD al ordenamiento jurídico español, estableciendo los criterios de aplicación en España y complementando el RGPD.

El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá conforme a lo establecido en el RGPD y en esta ley orgánica.

Principios de la protección de datos

Principios relativos al tratamiento

En relación al tratamiento, el artículo 5 del RGPD establece los siguientes principios:

a) Principio de licitud, lealtad y transparencia: Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.

b) Principio de limitación de la finalidad: Los datos personales serán recogidos con fines específicos, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.

c) Principio de minimización de datos: Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

d) Principio de exactitud: Los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

e) Principio de limitación del plazo de conservación: Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el Reglamento a fin de proteger los derechos y libertades del interesado.

f) Principio de integridad y confidencialidad: Los datos personales serán tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Tal como señala el artículo 5 de la LO 3/2018, los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este, estarán sujetas al deber de confidencialidad.

La obligación general señalada en el párrafo anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

Las obligaciones mencionadas en los párrafos anteriores se mantendrán incluso cuando haya finalizado la relación del obligado con el responsable o encargado del tratamiento.

g) Principio de responsabilidad proactiva: El responsable del tratamiento será responsable del cumplimiento de los principios indicados en las letras anteriores y deberá ser capaz de demostrarlo.

Licitud del tratamiento

De acuerdo con el artículo 6 del RGPD, el tratamiento de datos solo será lícito si se cumple al menos una de las siguientes condiciones:

a) El interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales a petición del interesado;

c) El tratamiento es necesario para el cumplimiento de una obligación legal que recae sobre el responsable del tratamiento;

d) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que no prevalezcan sobre dichos intereses los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, especialmente si el interesado es un niño.

Condiciones para el consentimiento

De acuerdo con el artículo 4.11 del RGPD, el consentimiento del afectado se entiende como toda manifestación de voluntad libre, específica, informada e inequívoca mediante la cual este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales.

El RGPD establece que, para considerar el consentimiento como inequívoco, debe existir una declaración del interesado o una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento.

Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales.

El artículo 6.2 de la LO 3/2018 añade que, cuando se pretenda basar el tratamiento de datos en el consentimiento del afectado para una pluralidad de finalidades, deberá constar de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.

El interesado tiene derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

Consentimiento de los menores de edad

Conforme al RGPD, cuando se aplique el consentimiento para el tratamiento de datos personales en relación con la oferta directa de servicios de la sociedad de la información a niños, el tratamiento de los datos personales de un niño será lícito si tiene al menos 16 años.

En España, la LO 3/2018, en su artículo 7, establece que el tratamiento de datos personales de un menor de edad solo podrá basarse en su consentimiento cuando sea mayor de catorce años. Se exceptúan los casos en que la ley requiera la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

El tratamiento de datos de menores de catorce años, basado en el consentimiento, solo será lícito si se cuenta con el consentimiento del titular de la patria potestad o tutela, con el alcance que estos determinen.

Tratamiento de categorías especiales de datos personales

El artículo 9.1 del RGPD prohíbe:

  • El tratamiento de datos personales que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, o afiliación sindical, y
  • El tratamiento de datos genéticos, datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud, o datos sobre la vida sexual u orientación sexual de una persona física.

Sin embargo, según el artículo 9.2 del RGPD, estas prohibiciones no se aplican si se cumple alguna de las siguientes condiciones:

a) El interesado ha dado su consentimiento explícito para el tratamiento de dichos datos personales para uno o más fines específicos, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el artículo 9.1 no puede ser levantada por el interesado;

b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, siempre que lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo conforme al Derecho de los Estados miembros, estableciendo garantías adecuadas para respetar los derechos fundamentales y los intereses del interesado;

c) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en caso de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) El tratamiento es realizado por una fundación, asociación u otro organismo sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines, y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) El tratamiento se refiere a datos personales que el interesado ha hecho públicamente manifiestos;

f) El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones, o cuando los tribunales actúan en ejercicio de su función judicial;

g) El tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario, sin perjuicio de las condiciones y garantías contempladas en el artículo 9.3 del RGPD;

i) El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros, que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional;

j) El tratamiento es necesario con fines de archivo en interés público, investigación científica o histórica, o fines estadísticos, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

Según el artículo 9 de la LO 3/2018, para evitar situaciones discriminatorias, el solo consentimiento del afectado no será suficiente para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Derechos de las personas

El capítulo 3 del RGPD aborda los derechos del interesado. Específicamente, se mencionan los siguientes derechos:

  • Derecho de información.
  • Derecho de acceso del interesado.
  • Derecho de rectificación.
  • Derecho de supresión (derecho al olvido).
  • Derecho a la limitación del tratamiento.
  • Derecho a la portabilidad de los datos.
  • Derecho de oposición.
  • Derecho a no ser objeto de decisiones individuales automatizadas.

Derecho de información

El responsable del tratamiento debe tomar las medidas adecuadas para facilitar al interesado toda la información indicada en los puntos A y B de este apartado, así como cualquier comunicación relativa al tratamiento, de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, especialmente si la información está dirigida a un niño.

La información se proporcionará por escrito o por otros medios, incluidos los electrónicos cuando sea apropiado. Si el interesado lo solicita, la información puede proporcionarse verbalmente, siempre y cuando se demuestre la identidad del interesado por otros medios.

A) Información que debe facilitarse cuando los datos personales se obtienen del interesado (art. 13 del RGPD)

Cuando se recojan datos personales directamente del interesado, el responsable del tratamiento, en el momento de la obtención, le proporcionará la siguiente información:

a) La identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) Los datos de contacto del delegado de protección de datos, si procede;

c) Los fines del tratamiento al que se destinan los datos personales y la base jurídica del tratamiento;

d) Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) Los destinatarios o las categorías de destinatarios de los datos personales, si los hay;

f) En su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias, referencia a las garantías adecuadas o apropiadas y los medios para obtener una copia de estas o el hecho de que se hayan prestado.

Además de la información mencionada, el responsable del tratamiento proporcionará al interesado, en el momento de la obtención de los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) Cuando el tratamiento se base en el artículo 6, apartado 1, letra a) (el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) El derecho a presentar una reclamación ante una autoridad de control;

e) Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;

f) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Cuando el responsable del tratamiento planee tratar datos personales para un fin diferente al que se recogieron originalmente, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente.

B) Información que debe facilitarse cuando los datos personales no se obtienen del interesado (art. 14 del RGPD)

Cuando los datos personales no se hayan obtenido directamente del interesado, el responsable del tratamiento debe proporcionar la siguiente información:

a) La identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) Los datos de contacto del delegado de protección de datos, si aplica;

c) Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d) Las categorías de datos personales en cuestión;

e) Los destinatarios o las categorías de destinatarios de los datos personales, si los hay;

f) En su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en caso de transferencias conforme a los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, del RGPD, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o la confirmación de que se han proporcionado.

Además de la información mencionada, el responsable del tratamiento debe proporcionar al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) El plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizados para determinar este plazo;

b) Cuando el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero: los intereses legítimos del responsable del tratamiento o de un tercero;

c) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, su rectificación o supresión, la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

d) Cuando el tratamiento esté basado en el consentimiento del interesado para uno o varios fines específicos: la existencia del derecho a retirar el consentimiento en cualquier momento, sin que esto afecte a la licitud del tratamiento basado en el consentimiento antes de su retirada;

e) El derecho a presentar una reclamación ante una autoridad de control;

f) La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

g) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Cuando el responsable del tratamiento proyecte tratar los datos personales para un fin distinto de aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en este apartado.

En relación con la información que debe solicitarse cuando los datos personales no se obtienen del afectado, el artículo 11.3 de la LO 3/2018 establece que el responsable puede cumplir con el deber de información del artículo 14 del RGPD facilitando al afectado la información básica señalada en los puntos 1 y 2 del artículo 11 (mencionados en el epígrafe A), indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata al resto de la información. En estos casos, la información básica también incluirá:

a) Las categorías de datos objeto de tratamiento.

b) Las fuentes de las que proceden los datos.

Derecho de acceso del interesado

Según el artículo 15.1 del RGPD, el interesado tiene derecho a obtener del responsable del tratamiento la confirmación de si se están tratando o no sus datos personales y, en tal caso, tiene derecho a acceder a dichos datos personales y a la siguiente información:

a) Los fines del tratamiento;

b) Las categorías de datos personales que se tratan;

c) Los destinatarios o las categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;

d) Si es posible, el plazo previsto de conservación de los datos personales o, si no es posible, los criterios utilizados para determinar dicho plazo;

e) La existencia del derecho a solicitar al responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) El derecho a presentar una reclamación ante una autoridad de control;

g) Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado sobre las garantías adecuadas relativas a la transferencia conforme al artículo 46 del RGPD.

Derecho de rectificación

De acuerdo con el artículo 16 del RGPD, el interesado tiene derecho a obtener sin demora indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernen. Teniendo en cuenta los fines del tratamiento, el interesado también tiene derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Derecho de supresión (derecho al olvido)

Este derecho reemplaza y amplía el derecho de cancelación establecido en la LO 15/1999.

Según el RGPD, el interesado tiene derecho a obtener sin demora indebida del responsable del tratamiento la supresión de los datos personales que le conciernen, y el responsable del tratamiento está obligado a suprimir sin demora indebida los datos personales cuando se cumpla alguna de las siguientes circunstancias:

a) Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b) El interesado retire el consentimiento en que se basa el tratamiento, y este no tenga otro fundamento jurídico;

c) El interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento cuando este tenga por objeto la mercadotecnia directa;

d) Los datos personales hayan sido tratados ilícitamente;

e) Los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f) Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información.

Derecho a la limitación del tratamiento

El interesado tiene derecho a que el responsable del tratamiento limite el uso de sus datos personales cuando se cumpla alguna de las siguientes condiciones:

a) El interesado impugne la exactitud de los datos personales, durante el tiempo necesario para que el responsable verifique dicha exactitud;

b) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales, solicitando en su lugar la limitación de su uso;

c) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d) El interesado se haya opuesto al tratamiento en virtud de lo señalado en el derecho de oposición, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

Cuando el tratamiento de datos personales se haya limitado, dichos datos solo podrán ser tratados, a excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, la protección de los derechos de otra persona física o jurídica, o por razones de interés público importantes de la Unión o de un Estado miembro específico.

Derecho a la portabilidad de los datos

El interesado tiene derecho a recibir los datos personales que le conciernan, que haya proporcionado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a) El tratamiento esté basado en el consentimiento conforme al artículo 6, apartado 1, letra a) del RGPD (el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos), o el artículo 9, apartado 2, letra a) (el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados) o en un contrato conforme al artículo 6, apartado 1, letra b) (el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales solicitadas por el interesado), y

b) El tratamiento se lleve a cabo por medios automatizados.

Al ejercer su derecho a la portabilidad de los datos, el interesado tiene derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Derecho de oposición

El interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que sus datos personales sean tratados en base a lo dispuesto en el artículo 6, apartado 1, letras e) o f) (e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño), incluida la elaboración de perfiles basada en dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que demuestre motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tiene derecho a oponerse en cualquier momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.

Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.

Derecho a no ser objeto de decisiones individuales automatizadas

De acuerdo con el artículo 22 del RGPD, todo interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que tenga efectos jurídicos sobre él o lo afecte de manera significativa.

Sin embargo, esta regla no se aplicará si la decisión:

a) Es necesaria para la celebración o la ejecución de un contrato entre el interesado y el responsable del tratamiento;

b) Está autorizada por el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento y que también establezca medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, o

c) Se basa en el consentimiento explícito del interesado.

Limitaciones a los derechos

El artículo 23 del RGPD establece que el Derecho de la Unión o de los Estados miembros aplicable al responsable o encargado del tratamiento puede limitar, a través de medidas legislativas, el alcance de las obligaciones y derechos mencionados, siempre que tal limitación respete esencialmente los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

a) La seguridad del Estado;

b) La defensa;

c) La seguridad pública;

d) La prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

e) Otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

f) La protección de la independencia judicial y de los procedimientos judiciales;

g) La prevención, investigación, detección y enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

h) Una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g);

i) La protección del interesado o de los derechos y libertades de otras personas;

j) La ejecución de demandas civiles.

Estas limitaciones deben respetar en esencia los derechos y libertades fundamentales y ser necesarias y proporcionadas en una sociedad democrática.

Disposiciones generales sobre el ejercicio de los derechos

En relación con el ejercicio de los derechos mencionados en los apartados anteriores, el artículo 12 de la LO 3/2018 establece las siguientes disposiciones generales:

1. Los derechos reconocidos en los artículos 15 a 22 del RGPD (todos los estudiados en los apartados anteriores) pueden ejercerse directamente o a través de un representante legal o voluntario.

2. El responsable del tratamiento tiene la obligación de informar al afectado sobre los medios disponibles para ejercer sus derechos.

3. Los medios para ejercer estos derechos deben ser fácilmente accesibles para el afectado.

4. El ejercicio del derecho no puede ser denegado solo porque el afectado opte por otro medio.

5. El encargado del tratamiento puede gestionar, en nombre del responsable, las solicitudes de ejercicio de derechos formuladas por los afectados, si así se establece en el contrato o acto jurídico que los vincule.

6. La responsabilidad de demostrar que se ha cumplido con el deber de responder a la solicitud de ejercicio de derechos del afectado recae sobre el responsable.

7. Cuando las leyes aplicables a ciertos tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos, se debe seguir lo dispuesto en dichas leyes.

8. En cualquier caso, los titulares de la patria potestad pueden ejercer en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición u otros que les correspondan según esta ley orgánica.

9. Las acciones llevadas a cabo por el responsable del tratamiento para atender las solicitudes de ejercicio de estos derechos serán gratuitas, con algunas excepciones, como en el caso de solicitudes repetitivas.

Derechos digitales

La LO 3/2018 reconoce los siguientes derechos digitales:

  • Derecho a la neutralidad de Internet.
  • Derecho de acceso universal a Internet.
  • Derecho a la seguridad digital.
  • Derecho a la educación digital.
  • Protección de los menores en Internet.
  • Derecho de rectificación en Internet.
  • Derecho a la actualización de informaciones en medios de comunicación digitales.
  • Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
  • Derecho a la desconexión digital en el ámbito laboral.
  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y grabación de sonidos en el lugar de trabajo.
  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
  • Derechos digitales en la negociación colectiva.
  • Protección de datos de los menores en Internet.
  • Derecho al olvido en búsquedas de Internet.
  • Derecho al olvido en servicios de redes sociales y servicios equivalentes.
  • Derecho de portabilidad en servicios de redes sociales y servicios equivalentes.
  • Derecho al testamento digital.

Obligaciones

Responsable del tratamiento

El responsable del tratamiento es la entidad, ya sea una persona física o jurídica, autoridad pública, servicio u otro organismo, que determina los fines y medios del tratamiento de datos, ya sea solo o en colaboración con otros.

Considerando la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento debe implementar medidas técnicas y organizativas adecuadas para asegurar y demostrar que el tratamiento cumple con el RGPD. Estas medidas deben revisarse y actualizarse cuando sea necesario. Entre estas medidas, cuando sean proporcionales a las actividades de tratamiento, se incluye la aplicación de políticas adecuadas de protección de datos por parte del responsable del tratamiento.

El responsable del tratamiento debe aplicar, tanto al determinar los medios de tratamiento como durante el propio tratamiento, medidas técnicas y organizativas adecuadas, como la seudonimización, para aplicar efectivamente los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento. Esto es con el fin de cumplir con los requisitos del RGPD y proteger los derechos de los interesados, teniendo en cuenta el estado de la técnica, el costo de implementación, la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.

El responsable del tratamiento debe asegurarse de que, por defecto, solo se traten los datos personales necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplica a la cantidad de datos personales recogidos, la extensión de su tratamiento, el plazo de conservación y su accesibilidad. Estas medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin intervención, a un número indeterminado de personas.

La adhesión a códigos de conducta aprobados según el artículo 40 del RGPD o a un mecanismo de certificación aprobado según el artículo 42 puede utilizarse como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

El responsable del tratamiento está obligado a bloquear los datos cuando proceda a su rectificación o supresión.

El bloqueo de datos consiste en identificar y reservar dichos datos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluida su visualización, excepto para su puesta a disposición de jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, especialmente las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo durante el plazo de prescripción de las mismas. Transcurrido ese plazo, se procederá a la destrucción de los datos. Los datos bloqueados no pueden ser tratados para ningún otro fin que no sea el mencionado anteriormente.

Encargado del tratamiento

El encargado del tratamiento es la entidad, ya sea una persona física o jurídica, autoridad pública, servicio u otro organismo, que procesa datos personales en nombre del responsable del tratamiento.

El procesamiento de datos por parte del encargado debe estar regido por un contrato u otro acto jurídico conforme al Derecho de la Unión o de los Estados miembros, el cual vincula al encargado con el responsable y establece el objeto, duración, naturaleza y finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, así como las obligaciones y derechos del responsable. Este contrato o acto jurídico especificará, en particular, que el encargado:

a) Tratará los datos personales únicamente siguiendo las instrucciones documentadas del responsable, incluyendo la transferencia de datos personales a un tercer país u organización internacional, salvo que esté obligado a hacerlo por el Derecho de la Unión o de los Estados miembros aplicable al encargado; en tal caso, el encargado informará al responsable sobre esta exigencia legal antes del tratamiento, salvo que el Derecho lo prohíba por razones de interés público importantes;

b) Garantizará que las personas autorizadas para tratar datos personales se comprometan a mantener la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

c) Tomará todas las medidas necesarias conforme al artículo 32 del RGPD (seguridad del tratamiento);

d) Respetará las condiciones establecidas para recurrir a otro encargado del tratamiento;

e) Asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas adecuadas, siempre que sea posible, para que el responsable pueda cumplir con su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados;

f) Ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD (seguridad del tratamiento y evaluación de impacto relativa a la protección de datos y consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información disponible para el encargado;

g) A elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y eliminará las copias existentes a menos que se requiera la conservación de los datos personales conforme al Derecho de la Unión o de los Estados miembros;

h) Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

La adhesión del encargado del tratamiento a un código de conducta aprobado conforme al artículo 40 del RGPD o a un mecanismo de certificación aprobado conforme al artículo 42 del RGPD puede utilizarse como un elemento para demostrar la existencia de garantías suficientes como las mencionadas.

Obligaciones generales del responsable y encargado del tratamiento

Los responsables y encargados del tratamiento deben identificar y aplicar medidas técnicas y organizativas adecuadas para asegurar y demostrar que el tratamiento de datos cumple con el RGPD, la LO 3/2018, sus normas de desarrollo y la legislación sectorial aplicable.

Particularmente, deben considerar si es necesario realizar una evaluación de impacto en la protección de datos y si se requiere una consulta previa, aspectos que abordaremos más adelante.

Para implementar estas medidas, los responsables y encargados deben considerar los mayores riesgos que podrían surgir en las siguientes situaciones:

a) Procesar datos personales únicamente siguiendo las instrucciones documentadas del responsable, incluyendo la transferencia de datos personales a un tercer país u organización internacional, a menos que estén obligados por la legislación de la Unión o de los Estados miembros aplicable al encargado. En este caso, el encargado deberá informar al responsable de dicha obligación legal antes del tratamiento, a menos que la ley lo prohíba por razones de interés público.

b) Asegurar que las personas autorizadas para tratar datos personales se comprometan a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad legal.

c) Tomar todas las medidas necesarias conforme al artículo 32 del RGPD (seguridad del tratamiento).

d) Cumplir con las condiciones establecidas para recurrir a otro encargado del tratamiento.

e) Asistir al responsable mediante medidas técnicas y organizativas adecuadas, siempre que sea posible, para que pueda cumplir con su obligación de responder a las solicitudes relacionadas con el ejercicio de los derechos de los interesados.

f) Ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD (seguridad del tratamiento y evaluación de impacto relativa a la protección de datos y consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información disponible para el encargado.

g) A elección del responsable, eliminar o devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y eliminar las copias existentes a menos que se requiera conservar los datos personales conforme al Derecho de la Unión o de los Estados miembros.

h) Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por el responsable.

Mi carrito
El carrito está vacío.

Parece que aún no te has decidido.

¿Tienes un código de descuento?
Subtotal0,00 
Envíos
Total0,00 
El carrito está vacío. Compra ya
Desarrollado por CartPops (se abre en una pestaña nueva)
Ir al contenido