Reglamento General de Protección de Datos de La Unión Europea

Estudio Jurdico del Reglamento General de Proteccin de Datos de la UE y comparativa
con la actual LOPD: Perspectiva y Retos

REGLAMENTO GENERAL DE PROTECCIN DE DATOS DE LA UNIN EUROPEA
ANLISIS DEL REGLAMENTO
Indce
1.
Resumen de la Propuesta........................................................................................... 3
2.
Introduccin........................................................................................................... 4
a.
Antecedentes........................................................................................................ 5
b.
Objetivos............................................................................................................. 6
c.
Futuro................................................................................................................ 6
Metodologa de Trabajo............................................................................................. 7
3.
3.1. Diseo en funcin de objetivos..................................................................................9

3.2. Estrategias........................................................................................................... 9
Aplicacin y definiciones......................................................................................... 10
4.
a.
Aplicacin......................................................................................................... 10
b.
Nuevas Definiciones............................................................................................. 11
5.
Alcance................................................................................................................ 13
6.
Principios Legales del tratamiento de datos afines a este Trabajo de Fin de Mster.............15
7.
Proteccin de Datos y Derecho Internacional comparado...............................................24

a.
US EU PRIVACY SHIELD................................................................................. 24
b.
US Federal Privacy Council..................................................................................25
8.
Ventanilla nica.................................................................................................... 26
9.
Derechos del interesado........................................................................................... 27

a.
Derechos ARCO................................................................................................. 27
b.
Derechos a la portabilidad de los datos....................................................................28
10.
Obligaciones del responsable y Encargado del tratamiento..........................................30
a.
Responsable del tratamiento.................................................................................30
b.
Encargado del tratamiento.................................................................................... 31
11.
Registro de las actividades de tratamiento................................................................31
a.
Registro para empresas de ms 250 trabajadores......................................................31
b.
Registro para empresas de menos de 250 trabajadores (PYMES).................................32
c.
Comparativa del Registro de actividades del tratamiento............................................34
12.
Seguridad del tratamiento.................................................................................... 34
13.
Notificacin de violacin de datos personales............................................................35
a.
Notificacin de una violacin de datos personales a la Autoridad de control....................35
b.
Comunicacin de una violacin de datos personales al interesado.................................36
c.
Comparativa de las Notificaciones de violaciones de datos personales............................36
14.
Evaluacin del impacto relativa a la proteccin de datos personales..............................37
15.
Designacin del Delegado de Proteccin de Datos......................................................38
a.
16.
La Oficina Local de Proteccin de Datos / Concepto y funciones del DPO......................39

Cdigos de conducta y empresarial.........................................................................42
a.
Cdigos de Conducta........................................................................................... 43
b.
Certificacin...................................................................................................... 43
c.
Comparativa de las Certificaciones y Cdigos de conducta con la normativa actual.........44
17.
Principios generales de la transferencia internacional de datos.....................................44
a. Autoridad de Control Francesa y especialidades, precedente de accin conjunta en las

autoridades de control europeas...................................................................................45
b.
Autoridad de Control Rusa y especialidades.............................................................46
18.
Autoridades de Control Independientes...................................................................47
19.
Comit Europeo de proteccin de datos...................................................................49
20.
Responsabilidad y Sanciones................................................................................. 50
21.
Resumen de principales novedades.........................................................................52
22.
Nuevos Retos / prximos pasos..............................................................................54
23.
Conclusiones...................................................................................................... 55
24.
Bibliografa y Referencias..................................................................................... 58
1.
Resumen de la Propuesta
Propuesta de Reglamento del Parlamento Europeo y del Consejo relativa a la proteccin de

las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre
circulacin de estos datos (Reglamento general de proteccin de datos) emisor de la misma
la Comisin Europea.
El presente anlisis jurdico trata sobre la Propuesta de Reglamento del Parlamento Europeo y
del Consejo relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de
datos personales y a la libre circulacin de estos datos, por la que se aprueba el futuro
Reglamento general de proteccin de datos.
El anlisis se plantea contra la mayora del articulado del Reglamento general de proteccin de
datos
sobre todo aquellos parmetros que entraan controversia con la actual normativa
espaola.
La propia Comisin Europea recuerda que el modelo de tratamiento de datos en el mbito se
hace necesariamente homogneo en el territorio europeo, es por ello uno de los fundamentos
claves de la promulgacin de esta propuesta, aade igualmente que las normativas internas de los
diferentes pases miembros de la Unin Europea no se van a encontrar un papel restringido en
materia de legislacin en este mbito, siendo el papel de la Comisin interpretar si las medidas
que se adoptan por parte de los pases son o no las ms adecuadas al Reglamento general de
proteccin de datos y no interfiriendo en otras propuestas de desarrollo comunes o propias en
esta materia.
Es por ello que surgen una serie de interrogantes en la aplicacin e interpretacin de este
Reglamento general de proteccin de datos de acuerdo con la normativa espaola, aludiendo
la Comisin Europea que a travs de la futuro Comisin de Proteccin de datos, compuesta
seguramente por el grupo del artculo 29, se ir dando respuesta a aquellas dudas interpretativas,
alcance y objetivos del Reglamento antes del transcurso de los dos aos antes de su obligada
transposicin.
2.
Introduccin
El presente comentario jurdico trata de la reciente promulgacin del Reglamento del

Parlamento Europeo y del Consejo relativo a la proteccin de las personas fsicas en lo que
respecta al tratamiento de datos personales y a la libre circulacin de estos datos
(Reglamento general de proteccin de datos) aprobado por el Parlamento Europeo el 14 de
abril de 2016. Dicha aprobacin por parte de este rgano cuenta con el voto a favor de todos los
estados miembros y resuelve la libre aplicacin a todo el territorio de la Unin Europea. Es por
ello que a raz de esta implantacin homogeneizadora vamos a tratar de analizar jurdicamente,
desde una perspectiva actual, empresarial y ciudadana los retos que plantea esta normativa sobre
nuestro territorio, siendo los ejes de mi Trabajo Fin de Mster, los siguientes:
A. Perspectiva y adecuacin para el sector empresarial a la nueva normativa, pretendo dar
una respuesta a la adecuacin normativa a este nuevo Reglamento, siempre dentro de una
interpretacin jurdica.
B. La comparativa entre la nueva normativa europea y la actual normativa espaola, as
como posibles interpretaciones en aquellos mbitos donde no se marque la pauta o donde
sea suficiente con la legislacin actual.
C. Anlisis jurdico sobre las principales novedades que aparto el Reglamento general de
proteccin de datos, sobre todo aquellas que tienen incidencia en las entidades
empresariales y usuarios.
D. Anlisis jurdico en base a dar una respuesta sobre los nuevos retos que se plantean a raz
de este Reglamento general de proteccin de datos, as mismo anlisis sobre las
posibles oportunidades que surjan a raz de su implantacin, todo ello desde la
perspectiva empresarial y de negocio.
E. Conclusiones acerca de lo acertado o no, en cuanto a la creacin, imposicin y
transposicin del Reglamento general de proteccin de datos en el territorio de la
Unin Europea.
a. Antecedentes
En relacin al Trabajo de Fin de Mster que estoy desarrollando en torno al anlisis del
Reglamento Europeo de Proteccin de datos y su implantacin a efectos empresariales, he
destacado una serie de hitos enmarcados en torno a unas antecedentes que desarrollo a
continuacin:
Dentro del marco normativo que nos da competencias legislativas comunitarias, encontramos en
este caso el Reglamento de obligado cumplimiento para los pases miembros de la Unin
Europea, siempre en base o fundamento estandarizado. Ante esta competencia la Unin Europea
ha trabajado en torno a la propuesta que es objeto de mi trabajo de fin de mster, en este caso
hablamos del Reglamento General de Proteccin de Datos (RGPD), el cual establecer un
marco a escala dentro de la Unin Europea con el fundamento comentado anteriormente,
estamos hablando de la capacidad homogeneizadora sobre la gran variabilidad del mosaico
existente de legislaciones especficas de cada pas.
Para terminar con esta apartado, donde trato de hacer una situacin temporal de mi trabajo fin de
master, debo destacar que el fin del Reglamento Europeo de Proteccin de Datos es sustituir a
la Directiva 95/46/EC sobre proteccin de datos del ao 1995, as mismo tambin se
desarrollara la directiva de apoyo que le ser de aplicacin.
b. Objetivos
Dentro de este apartado hablaremos de los objetivos que el legislador ha inculcado en el

desarrollo del susodicho Reglamento Europeo de Proteccin de Datos, desde nuestra
perspectiva jurdico-legal.
Salgo entonces desde un primer punto de vista de un objetivo basado en el reforzamiento de los
Derechos de Privacidad de todos los ciudadanos de la Unin Europea, tambin existe un
objetivo poltico y social sobre la recuperacin de la confianza en las nuevas tecnologas, la red,
as como mejorar la proteccin de datos de las personas , al exigir al conjunto de entidades
empresariales la adopcin de unos nuevos procesos y controles de proteccin de datos
encaminados al cumplimiento de lo anteriormente mencionado y buscado por los legisladores
europeos.
Por ello podemos concluir que el objetivo general que el legislador ha buscado, siempre desde un
primer punto de vista, ha sido el mejorar el nivel de proteccin de los datos de las personas
fsicas cuyos datos personales se ha sometido, se someten o sometern a cualquier tratamiento y
aumenta las oportunidades de negocio en el mercado nico digital, en particular mediante la
reduccin de la carga administrativa. Todo ello como hemos dicho bajo un primer contacto que
no supone que al final de mi trabajo de fin de master en sus conclusiones suponga estos
objetivos.
c. Futuro
Para comenzar determinaremos como espacio temporal asimilado al futuro la propia aprobacin
del texto definitivo por el Parlamento Europeo el 14 de Abril de 2016, por lo tanto debo
entender en base a las normativas de transposicin de legislaciones comunitarias que
el
Reglamento General de Proteccin de Datos entrar en vigor el 25 de Mayo de 2018, despus

de su publicacin en el Diario Oficial de la Unin Europea.
Dicho esto anterior en cuanto al criterio de su aplicacin, por ejemplo llevada a cabo por las
empresas, se debe entender que todo tratamiento ya iniciado en la fecha de aplicacin del
Reglamento General de Proteccin de Datos debe ajustarse al l mismo, teniendo en cuenta
el plazo de 2 aos para su transposicin, en cuanto produzca efectos esta transposicin, es

decir entre en vigor el propio Reglamento General de Proteccin de Datos, todo nuevo
tratamiento debe cumplir el susodicho Reglamento.
3.
Metodologa de Trabajo
En cuanto a la metodologa utilizada en el presente trabajo, estamos ante un estudio o informe de

anlisis sobre las connotaciones jurdicas del impacto del Reglamento General de Proteccin
de Datos en a base a dos cuestiones generales que sern desarrolladas a lo largo del presente
trabajo, por lo que este estudio tiene como objetivo el anlisis jurdico del mbito, adems del
marco del tratamiento de datos personales, en su rea de derecho, por lo que podramos
encuadrarlo en el mbito acadmico de las ciencias sociales y jurdicas.
Por otro lado he pretendido desarrollar un trabajo siguiendo el mximo rigor, respondiendo con
la mxima objetividad, desde un punto de vista meramente neutral, evitando la subjetividad en
mis argumentaciones sobre el tema que he tratado.
Dentro de la metodologa utilizada para el presente estudio o informe de anlisis, he partido
fundamentalmente de la necesidad de analizar fuentes de informacin, de cualquier tipo, tanto
documentales, personales, prcticas o cotidianas, ms que centrarme en la mera visualizacin de
textos acadmicos y jurisprudenciales.
Dentro de la informacin, podemos diferenciar dos tipos:
Informacin primaria, en esta destacamos la argumentada anteriormente, como legislacin,
textos acadmicos y doctrina jurisprudencial. Esta ltima base de fuente de informacin, me ha
sido muy til, puesto que la actualidad legislativa y jurisprudencial confluyen de manera ptima
para obtener criterios interpretativos muy claros.
Informacin secundaria, en esta parte, quisiera destacar esta fuente de informacin, puesto que es
la menos usada, pero la que nos puede aportar una visin global y objetiva sobre el fondo del
asunto, que nos trata.
Con respecto a esto ltimo, he utilizado fuentes secundarias de muchos tipos, tanto informes
elaborados por autores especialistas en Derecho de la Proteccin de Datos, como por organismos
especializados en esas materias y textos antiguos donde manaba las fuentes clsicas del Derecho
dela Proteccin de Datos, intimidad y privacidad. Tambin todos aquellas interpretaciones,
opiniones y comentarios de expertos de mi entorno laboral, que en mayor medida he encontrado
procedimentadas.
Este trabajo es un estudio de tipo cualitativo, que siguiendo el criterio de Maxwell, 19961, se
caracteriza por un proceso de construccin interactiva del argumento terico y la evidencia
emprica. Estamos en un estudio de tipo holstico, donde trato de captar el ncleo del inters de
la propuesta planteada junto con los elementos clave de la realidad estudiada, intentando de esta
manera transmitir el significado y contexto del comentario en base al Reglamento General de
Proteccin de Datos.
El presente trabajo recoge evidencias de estudio cuantitativas, siguiendo el patrn de Bryman,
19952, no todos los estudios de caso o comentarios pueden ser ajustado como ejemplos de
investigacin cualitativa, ya que a veces se realizan un uso substancial de mtodos de
investigacin cuantitativa. Con esta aportacin quiero constatar que estamos ante un mtodo de
investigacin cuantitativo, ya que este se basa tambin en informacin de resultado recogida,
como pudiera ser aportaciones de expertos, profesionales o personas que tienen en comn esta
materia puesto que mantienen una relacin practica y tacita con el contenido jurdico del
Reglamento General de Proteccin de Datos.
3.1. Diseo en funcin de objetivos
1 Maxwell, Joseph A.: Qualitative research design. An interactive approach. Editor: Sage
Publications. London 1996.

2 Bryman, A.: Analyzing qualitative data. Editor: Routledge. London 1995.
Para documentar, analizar y comprobar el objeto de este estudio, he acometido un diseo de

investigacin que combinan estrategias de indagacin. El diseo responde al objeto exploratorio
y descriptivo de acercarse en profundidad a este tema, con el que he tenido contacto
acadmicamente
durante
la
realizacin
del
presente
Mster
en
Derecho
de
las
Telecomunicaciones, Proteccin de Datos, Derechos Audiovisuales y Sociedad de la

Informacin. Por lo que este Trabajo de Fin de Mster constituye una oportunidad para verificar
ciertas variables y nociones que tengo al respecto, adems de probar ciertas teoras y comentarios
de documentacin adecuadas para el anlisis de las novedades del Reglamento General de
Proteccin de Datos.
El diseo de este trabajo busca adems identificar en la manera de lo posible la realidad social y
jurdica que condiciona la implantacin del Reglamento General de Proteccin de Datos.
3.2. Estrategias
Anlisis de fuentes secundarias
Informacin secundaria, se trata fundamentalmente de un conjunto de datos agregados, sobre
los que no se realiz ningn anlisis o elaboracin. En este caso son los datos que encontr en las
publicaciones normativas.
Por otro lado tambin he utilizado ciertos componentes de anlisis ya realizados, los cuales son
datos utilizados y aadidos, que se encuentran elaborados y que logran una serie de aspectos muy
tiles para mi fin, en este apartado cabe destacar fuentes de investigacin
y doctrina
jurisprudencial que he utilizado para este trabajo.

Por ltimo para contribuir al xito de este Trabajo de Fin de Mster, he requerido conocer la
opinin de los diferentes actores implicados en este estudio, desde el personal cualificado
sobre la materia, compaeros de estudio, as como particulares afectados por la implantacin de
este Reglamento General de Proteccin de Datos, as poder lograr detectar reas de
oportunidad y mejora en la interpretacin de esta nueva normativa.
4.
Aplicacin y definiciones
En este apartado quiero desarrollar el mbito de aplicacin del reglamento y la parte o totalidad
que se transpone a las normativas locales de los distintos pases miembros de la Unin Europea,
as como los nuevos conceptos jurdicos y/o nuevas definiciones legales que contempla el nuevo
Reglamento que debern encontrar tambin su hbitat en las normativas locales de los pases
afectados.
a. Aplicacin
Para comenzar debemos distinguir: qu se aplica? y a qu se aplica?
En cuanto al mbito de aplicacin sobre los servicios objeto de regulacin, se recoge en el
Reglamento que tendr vigor de aplicacin cuando exista oferta de bienes y servicios dirigidos a
ciudadanos europeos.
Reglamento General de Proteccin de Datos se aplicara en su totalidad o parcialmente desde
un punto de vista territorial, dependiendo de la legislacin local a la cual se destine, es decir
puede que ciertos pases miembros de la Unin ya recojan algunas de las premisas que dicho
reglamento desarrolla en sus prrafos, en esos casos entendemos que las nuevas normativas de
desarrollo local sobre la proteccin de datos ya contienen parte de la nueva normativa y por tanto
su aplicacin ser ms fcil, rpida y eficaz. Por lo tanto con esta afirmacin contenida en este
prrafo respondemos a la primera pregunta.
El Reglamento General de Proteccin de Datos se aplica sobre el tratamiento total o
parcialmente automatizado de los datos personales tratados en cuestin, as como sobre el
tratamiento no automatizado de aquellos datos personales contenidos o destinados a ser incluidos
en un fichero. Por lo tanto con esta afirmacin respondemos a la segunda pregunta.
Por ultimo debemos remarcar que no se espera su publicacin oficial no se espera hasta
mediados de 2018 el gran alcance en su mbito de aplicacin , constituye una oportunidad
profesional en los mbitos legales en los que incide. Estamos ante un marco normativo con gran
alcance, puesto que del tiempo gastado para su aprobacin, su extensin, detalle y matices en su
interpretacin, hacen de l una norma que recurre a numerosos conceptos jurdicos
indeterminados, que lo hacen difcilmente interpretable.
b. Nuevas Definiciones
Dentro de las nuevas definiciones y conceptos jurdicos aportados por el nuevo Reglamento
General de Proteccin de Datos, he realizado la siguiente relacin de conceptos que bien
merecen una interpretacin jurdica, todas ellas contenidas en el artculo 4 de dicha normativa, a
continuacin las mencionamos:
Seudonimizacin: El tratamiento de datos personales de manera tal que ya no puedan
atribuirse a un interesado sin utilizar informacin adicional, siempre que dicha informacin
adicional figure por separado y est sujeta a medidas tcnicas y organizativas destinadas a
garantizar que los datos personales no se atribuyan a una persona fsica identificada o
identificable.
Elaboracin de perfiles: Toda forma de tratamiento automatizado de datos personales
consistente en utilizar datos personales para evaluar determinados aspectos personales de una
persona fsica, en particular para analizar o predecir aspectos relativos al rendimiento
profesional, situacin econmica, salud, preferencias personales, intereses, fiabilidad,
comportamiento, ubicacin o movimientos de dicha persona fsica.
Establecimiento principal: En lo que se refiere a un responsable del tratamiento con
establecimientos en ms de un Estado miembro, el lugar de su administracin central en la
Unin, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro
establecimiento del responsable en la Unin y este ltimo establecimiento tenga el poder de
hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales
decisiones se considerar establecimiento principal.
Privacidad desde el diseo: El diseo de aplicaciones que traten datos personales, para
garantizar la privacidad de los mismos desde el principio.. Por ejemplo en las plataformas de
red social, los perfiles de los usuarios sern privados por defecto frente a otros usuarios,
quedando la apertura a la condicin del usuario.
Normas corporativas vinculantes: Las polticas de proteccin de datos personales asumidas
por un responsable o encargado del tratamiento establecido en el territorio de un Estado
miembro para transferencias o un conjunto de transferencias de datos personales a un
responsable o encargado en uno o ms pases terceros, dentro de un grupo empresarial o una
unin de empresas dedicadas a una actividad econmica conjunta.
Violacin de datos personales: Toda violacin de la seguridad que ocasione la destruccin
accidental o ilcita, la prdida, alteracin, comunicacin no autorizada o el acceso a datos
personales transmitidos, conservados o tratados de otra forma.
Podemos concluir que estos son a grandes rasgos los nuevos conceptos jurdicos aportados por el
Reglamento General de Proteccin de Datos, adems de los conceptos que aparecen realmente
delimitados por el mismo. As mismo desaparece en primera instancia la clasificacin en relacin
al nivel de tratamiento de los datos personales, dando lugar una distribucin de los mismos en
relacin con la entidad que los trata y los interesados, vase a continuacin:
Tipo de
datos:
genticos,
personale
s,
biometrc
os y salud.
Relacin
empresarial :
establecimiento,
empresa, grupo
de empresa, y
normas
vinculantes.
Figura 1: Elaboracin propia a partir de: Regulation of the European Parliament and of the
Council on the protection of individuals with regard to the processing of personal data and on
the free movement of such data (General Data Protection Regulation). Brussels 14 April 2016.
Por lo que podemos entender que no existe interpretacin jurdica sobre su aplicacin a grandes
rasgos, as como su alcance. Se deben transponer conforme al propio Reglamento.
5.
Alcance
Para determinar e interpretar el alcance del actual Reglamento General de Proteccin de Datos,
debemos fijarnos en el artculo 3 del propio Reglamento, en l se indica el alcance del
Reglamento General de Proteccin de Datos.
Partimos de que en un principio interpretativo el alcance de un Reglamento Europeo sera el

propio espacio europeo o de la Unin Europea, pero estaramos equivocados, el estandarte de
este Reglamento reside en su afeccin y alcance puesto que afectar tanto a empresas
comunitarias, como a las que no lo son o que no estn establecidas en dicho terreno comunitario,
puesto que el mero hecho de ofrecer bienes y servicios a los ciudadanos de la Unin Europea
supondr un criterio de alcance. Dicho lo anterior podemos interpretar claramente su alcance en
tres hitos:
-
El Reglamento General de Proteccin de Datos se aplica al tratamiento de datos

personales en el contexto de las actividades de un establecimiento del responsable o
del encargado del tratamiento dentro del mbito de la Unin Europea,
independientemente de que el tratamiento tenga lugar en la Unin Europea o no lo
tenga en dicho territorio.

personales de interesados que residan en la Unin Europea por parte de un
Responsable del tratamiento o Encargado del tratamiento que no est establecido en
la Unin Europea.

personales por parte de un responsable que no est establecido en la Unin
Europea, sino en un lugar donde el derecho de los Estados miembros sea de
aplicacin en virtud del Derecho internacional pblico.
Estos tres mbitos territoriales y nacionales sobre los ciudadanos europeos son los que
determinan el alcance del actual Reglamento General de Proteccin de Datos, puesto que
como podemos observar se delimita como alcance general la prestacin de servicios susceptibles
de tratamiento de datos personales a los residentes de la Unin Europea.
Entre las diferencias que encontramos con el actual marco normativo espaol, en este caso la Ley
Orgnica de Proteccin de Datos, 15/1999 y el Reglamento de desarrollo de la Ley Orgnica de
Proteccin de Datos, 1720/2007, podemos destacar que ambas y leyes necesitan que el
tratamiento sea efectuado en territorio espaol en el marco de las actividades de un
establecimiento del responsable del tratamiento y en algunos otros casos cuando al
responsable del tratamiento no establecido en territorio espaol, le sea de aplicacin la
legislacin espaola en aplicacin de normas de Derecho Internacional Pblico3.
6.
Principios Legales del tratamiento de datos afines a este Trabajo de Fin de

Mster
3 ISMS Forum Spain and Data Privaccy Institute: Estudio de impacto y comparative con la
normative Espaola de la propuesta del Reglamento General de Proteccin de Datos de la UE,

Editor: ISMS Forum Spain and Data Privaccy Institute. Madrid 2012.
La Proteccin de datos personales como Derecho Fundamental.

Para comenzar con este apartado, debemos marcar y definir lo que significa el derecho de la
proteccin de datos para todos los ciudadanos, puesto que en lneas generales estamos ante una
proteccin o salvaguarda de los ciudadanos sobre el control, finalidad, disposicin y decisin de
sus datos personales.
Partiendo del derecho comunitario, que es donde a mi juicio podemos empezar a desarrollar
parte de este epgrafe, debemos resaltar el artculo 286 del TCE 4 el cual establece que [] los
actos comunitarios relativos a la proteccin de las personas respecto del tratamiento de datos
personales y a la libre circulacin de dichos datos sern de aplicacin a las instituciones y
organismos establecidos por el presente Tratado o sobre la base del mismo.
Por otro lado debemos destacar la Carta de derechos fundamentales de la Unin Europea, donde
se prev en su artculo 8 que toda persona tiene derecho a la proteccin de los datos de carcter
personal. De dicha Carta de derecho emana, el Reglamento de la Unin 45/2001/CE del
Parlamento Europeo y del Consejo5, relativo a la proteccin de datos de las personas fsicas en lo
que respecta al tratamiento de datos personales por las instituciones y organismos comunitarios y
la circulacin de estos datos por todas las instituciones europeas.
Cabe destacar las cuatro directivas que emanan de lo anteriormente comentado y que estn
fundadas en el artculo 95 TCE (corresponde en la actualidad al artculo 114 TFUE), a travs del
cual se intenta homogeneizar el marco de la proteccin de datos para cada estado miembro, las
directivas sealadas son:
Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la proteccin de las
personas fsicas en lo que respecta al tratamiento de datos personales y a la libre
circulacin de estos datos.
4 Ortega, Luis (Ortega lvarez): Derecho comunitario europeo, Deposito Legal:VA 1144-2007,
Publicacin:
Lex Nova. Valladolid 2007.
5 Barnard, Catherine: European Union Law, ISBN: 9780199686117, Publication: University
Press, Oxford 2014.
Directiva 97/66/CE del Parlamento Europeo y del Consejo, relativa a la proteccin de las
circulacin de estos datos.
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, relativa al tratamiento de

los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones
electrnicas, esta directiva es conocida como la Directiva sobre la privacidad y las
comunicaciones electrnicas.
Directiva 2006/24/CE sobre la conservacin de datos generados o tratados en relacin

con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o de
redes pblicas de comunicaciones y por la que se modifica parcialmente parte de la
Directiva 2002/58/CE
Por otro lado mencionamos adems de las cuatro directivas sealadas anteriormente, la Decisin
Marco 2008/977/JAI relativa a la proteccin de datos personales tratados en el marco de la
cooperacin policial y judicial en materia penal. Adems de esta decisin marco, cabra destacar
a ttulo personal el borrador que se aprobar a lo largo de este ao sobre la directiva 2012/0010
(COD) Propuesta de DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO
relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos
personales por parte de las autoridades competentes para fines de prevencin, investigacin,
deteccin o enjuiciamiento de infracciones penales o de ejecucin de sanciones penales, y la
libre circulacin de dichos datos6.
Esta directiva cabe sealar que surge como respuesta a la necesidad de transmisin de datos
personal en un ambiente de cooperacin policial efectiva. En este paquete sobre la proteccin de
6 Craig, Paul: EU Law: text, cases and materials, ISBN:9780198714927. Edicin:
Publicacin: University Press, Oxford 2015.
6th ed.
datos que ha surgido desde las instituciones europeas, se ha creado tambin esta directiva sobre
la transmisin de datos para otras cuestiones ligadas ms si cabe a otras necesidades nacidas de
procesos judiciales y de las investigaciones policiales llevadas a cabo en el entorno de la Unin
Europea.
Concretamente en esta directiva que fija el marco para el Reglamento General de Proteccin de
Datos, el cual es objeto de mi Trabajo de Fin de Mster, se impondr las condiciones legales para
el intercambio de datos transfronterizos dentro del entorno de los pases de la Unin Europea, as
mismo se establecer criterios y estndares mnimos para el tratamiento de datos en cada pas.
En un primera aproximacin al texto, al parecer estamos ante una regulacin que pretende
proteger a los individuos implicados en las investigaciones policiales o con causa judicial abierta,
claramente se determinan sus derechos en cuanto al tratamiento de sus datos personales y se
limitan la transmisin de datos para la prevencin, deteccin, investigacin y la apertura de causa
judicial por delitos.
En una segunda aproximacin al texto podemos observar distintos criterios para evitar riesgos
para la seguridad pblica, iniciativas para la cooperacin judicial y policial transfronteriza. Todo
ello bajo un clima aparando en las dificultades que plantea el terrorismo y que ha dado origen a
este texto como respuesta al problema de los ataques terroristas, crmenes transnacionales y la
mejora en la seguridad policial y jurdica, siempre bajo el respecto al derecho fundamental de la
privacidad.
Sin olvidarnos del Reglamento del Parlamento Europeo y del Consejo, REGULATION (EU)
2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016
aprobado relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de
datos personales y a la libre circulacin de estos datos, normativa esta que ser el fundamento de
mi Trabajo de Fin de mster.
Jurisprudencia del Tribunal Constitucional y evolucin sobre la materia. La STC 292/2000
del 30 de noviembre
Debemos comenzar este epgrafe, dedicado a la sentencia del Tribunal Constitucional 292/2000
del 30 de noviembre, haciendo una clara referencia a la misma puesto que ser citada a lo largo
del trabajo, como uno de los fundamentos bsicos del mismo.
Dentro de esta sentencia se recogen los lmites que la doctrina ha marcado sobre los alcances de
los derechos fundamentales, recogindose literalmente: el derecho a la proteccin de datos no
es ilimitado, y aunque la Constitucin no le imponga expresamente lmites especficos, ni remita
a los Poderes Pblicos para su determinacin como ha hecho con otros derechos fundamentales,
no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes
jurdicos constitucionalmente protegidos, pues as lo exige el principio de unidad de la
Constitucin (SSTC 11/1981, de 8 de abril, FJ 7; 196/1987, de 11 de diciembre, FJ 6; y respecto
del art. 18, la STC 110/1984, FJ 5).
Es decir con el nacimiento de esta doctrina, se crea la perspectiva de ponderacin de derechos
fundamentales, en este caso sobre el derecho de la proteccin de datos. En algunos casos estas
restricciones al derecho fundamental pueden ser directas y/o amparadas en otros derechos
fundamentales, para lo primero se regula mediante normativa los lmites del derecho
fundamental y para el segundo caso se fijan las facultades implcitas del derecho fundamental
dejando las menos implcitas en favor de otros derechos, constituyendo as una forma de regular
el ejercicio del derecho en cuestin, esta posibilidad nace en el artculo 53.1. de la Constitucin
Espaola y tambin viene recogido en la sentencia que da nombre a este epgrafe.
Dicho esto en el mismo orden vamos a relacionar la doctrina que da lugar con las reflexiones
recogidas en este epgrafe, comenzaremos con la sentencia de 110/1984 de 21 de Diciembre,
sentencia esta que se puede entender en muchos caso como la primera sentencia de proteccin de
datos, se trataba de una resolucin de la Direccin General de Inspeccin financiera y tributaria,
sobre investigacin de un contribuyente y sus datos bancarios, lo destacable de esta sentencia es
la reflexin que hace acerca del contenido del derecho a la intimidad: El reconocimiento
explcito en un texto constitucional del derecho a la intimidad es muy reciente y se encuentra en
muy pocas constituciones, entre ellas la espaola. Pero su idea originaria, que es el respeto a la
vida privada, aparece ya en algunas de las libertades tradicionales. La inviolabilidad del
domicilio y de la correspondencia, que son algunas de estas libertades tradicionales, tienen
como finalidad principal el respeto a un mbito de vida privada personal y familiar que debe
quedar excluido del conocimiento ajeno y de las intromisiones de los dems, salvo autorizacin
del interesado. Lo ocurrido es que el avance de la tecnologa actual y el desarrollo de los
medios de comunicacin de masas han obligado a extender esa proteccin.
En el mismo orden, destacamos la Sentencia 11/1998, del 13 de enero, de la que emana parte de
la fundamentacin de nuestra doctrina en cuestin, puesto que en su fundamento jurdico 4,
habla del derecho a la proteccin de datos como instrumento de garanta de otros derechos, como
pueden ser el honor y la intimidad, siendo por ello categorizado como un derecho constitucional
frente al mal uso de los datos personales.
Comentado estos pilares anteriores en los que se soporta la sentencia de Tribunal Constitucional
292/2000, de 30 de Noviembre, debemos concluir que dicha sentencia designa, denomina y
singulariza el derecho de la proteccin de datos personales como un posible nuevo derecho de
vertiente fundamental y que se encuentra separado del resto de derechos fundamentales, como
podra ser en nuestro caso la intimidad personal y familiar, por lo que podemos decir que se trata
de un derecho independiente.
El Constitucional lo describe como un derecho autnomo que posee el ciudadano espaol sobre
el control y disposicin sobre sus datos personales, todo ello viene ligado de la Carta de
Derechos Fundamentales de la UE, donde se establece el derecho de la proteccin de datos
personales. Lo que ha hecho esta sentencia no es solo reducir la proteccin de datos personales a
los posibles datos ntimos de las personas, sino extenderlos a cualquier tipo de dato personal,
intimo o no, porque como muy bien recoge el Tribunal Constitucional, el empleo de estos datos
por terceros y el conjunto de datos personales puede ser resolutorio, es decir en mi opinin y
entendimiento visto que con un solo dato personal no era suficiente para conseguir un perfil
personal, las terceras partes comienzan a tratar datos masivos para este fin, accediendo desde
datos del Listn telefnico, bases de datos de acceso pblico, hasta registros comerciales.
En mi opinin el Constitucional da un paso enorme en este aspecto, pocas veces visto en la
justicia, puesto que se adelanta al Big data o tratamiento masivo que tenemos en la actualidad.
A continuacin tambin se describen las facultades que tienen esos ciudadanos sobre sus datos
personales, que van desde el derecho al consentimiento expreso, conocimiento y uso de sus datos
por parte de terceros, hasta el control sobre estos parmetros, que es cuando se acude al ejercicio
de los Derechos ARCO, que son:
-
Derechos de Acceso
Derechos de Rectificacin
Derechos de Cancelacin
Derechos de Oposicin
Todo ello nos lleva a concluir este epgrafe, resumiendo el resultado al que llega el Tribunal
Constitucional en este sentencia, El derecho fundamental a la proteccin de datos, no puede
ser entendido de una forma aislada, sino que debe quedar incardinado con el resto de los
derechos fundamentales, sirviendo de lmite y siendo limitado igualmente por ellos.
Por ltimo, tras la interpretacin de este resultado surgido de la susodicha sentencia nos
encontramos, que el derecho a la proteccin de datos , es un derecho individual e independiente
del ciudadano, siendo necesario su desarrollo por ley orgnica debido a su carcter, si
entendemos que es un derecho fundamental se sobrepone sobre otros derechos que no lo son,
tiene una cualidad especial puesto que puede acudirse a tribunales ordinarios, bajo los principios
de preferencia-sumariedad y tambin bajo el recurso de amparo al Constitucional (Articulo 53
Constitucin Espaola)7.
Supuestos de no aplicacin de la LOPD
Magistrados: Don Pedro Cruz Villaln, don Carles Viver Pi-Sunyer, don Rafael de Mendizbal
Allende, don Julio D. Gonzlez Campos, don Manuel Jimnez de Parga y Cabrera, don Toms
Salvador Vives Antn, don Pablo Garca Manzano, don Pablo Cachn Villar, don Fernando
Garrido Falla, don Vicente Conde Martn de Hijas, don Guillermo Jimnez Snchez y doa
Mara Emilia Casas Baamonde. SENTENCIA 292/2000, de 30 de noviembre de 2000. Tipo y
nmero de registro Recurso de inconstitucionalidad 1463-2000. Fecha de resolucin 30/11/2000.
7
Una vez expuestos los orgenes en mi trabajo, me aventuro a desarrollar de manera clara y
practica las tareas que en este caso son comunes, hablo de los supuestos que no estn bajo el
amparo del Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos, concretamente
los datos excluidos, bajo ciertas premisas o que no se encuentran alineados como datos
personales.
Es el propio Reglamento en su artculo 2.2. quien dice: Este reglamento no ser aplicable a los
tratamientos de datos referidos a personas jurdicas, ni a los ficheros que se limiten a
incorporar los datos de las personas fsicas que presten sus servicios en aqullas, consistentes
nicamente en su nombre y apellidos, las funciones o puestos desempeados, as como la
direccin postal o electrnica, telfono y nmero de fax profesionales.
Estamos por tanto ante una excepcin que viene contemplada en el Reglamento, dicha excepcin
de la aplicacin de la normas, va encaminada como garante del derecho de la proteccin de datos
y debe entenderse en sentido estricto y de modo restrictivo. Para ello deben cumplirse los
requisitos que a continuacin desarrollamos:
-
Los datos que se traten sean limitados para la identificacin del sujeto en la persona
jurdica que presta sus servicios.
Si el tratamiento de los datos contiene datos adicionales a los mencionados, se

encontrarn sometidos al rgimen jurdico de la proteccin de datos.
Dicho esto utilizamos las conclusiones del informe de la Agencia Espaola de Proteccin de
Datos, Informe 78/2008, donde define lo anterior como: Por ello, no se encontraran excluidos
de la Ley los ficheros en los que, por ejemplo, se incluyera el dato del documento nacional de
identidad del sujeto, al no ser el mismo necesario para el mantenimiento del contacto
empresarial. Igualmente, y por razones obvias, nunca podr considerarse que se encuentren
excluidos de la Ley Orgnica los ficheros del empresario respecto de su propio personal, en que
la finalidad no ser el mero contacto, sino el ejercicio de las potestades de organizacin y
direccin que a aqul atribuyen las leyes. (Informe 78/2008).
Es por ello que la relacin entre la finalidad del tratamiento debe ir en relacin directa entre
quienes tratan el dato y la entidad, y no entre aquellos que tienen una determinada posicin en la
empresa. Por lo que el uso del dato debe ir en funcin de la persona jurdica y su finalidad.
De nuevo en las conclusiones del informe de la Agencia Espaola de Proteccin de Datos,
Informe 78/2008, lo definen como: As sucedera en caso de que el tratamiento responda a
relaciones business to business, de modo que las comunicaciones dirigidas a la empresa,
simplemente, incorporen el nombre de la persona como medio de representar grficamente el
destinatario de la misma.
Por ultimo debemos destacar la relacin del rgimen jurdico de la proteccin de datos y el
rgimen jurdico de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la
informacin y de comercio electrnico, de modo que los principios que rigen en el envo de
comunicaciones comerciales por medios electrnicos se aplican tanto a personas fsicas como
jurdicas, y entre ellas, las personas de contacto.
Dentro de este apartado quiero manifestar en mi trabajo fin de master, una vez afrontadas
las generalidades legales de las que emana el fuero de la proteccin de datos, aquellos
Principios legales relativos al tratamiento de datos personales, los cuales emanan del
Reglamento en cuestin que estoy analizando, concretamente de los artculo 5, 6 y 7 de
dicha normativa.
Comenzando por los Principios relativos al tratamiento, debemos entender que el tratamiento de
los datos personales se deber hacer en funcin de:
-
De un tratamiento de manera licita, leal y transparente en relacin con el interesado.

Desde un punto que se recojan dichos datos con unos fines determinados, explcitos
y legtimos.
De un tratamiento de modo que se garantice una seguridad adecuada a los datos
personales tratados.
Seguidamente conceptualizaremos la licitud del tratamiento que el Reglamento contempla,

puesto que se recoge en el mismo que el tratamiento solo ser licito si el interesado da su
consentimiento para el tratamiento de sus datos personales para uno o varios fines especficos,
conocidos previamente y que se mantengan en el tiempo.
Por ltimo el Reglamento tambin habla acerca de las condiciones para el consentimiento del
titular de los datos, puesto que en aquellos tratamientos donde sea necesario o se base en el
consentimiento del interesado, el responsable deber ser capaz de demostrar que aquel
residente europeo ha consentido el tratamiento de sus datos personales.
Por lo tanto podemos concluir que las diferencias que marca el Reglamento sobre la actual
legislacin espaola de proteccin de datos, puesto que se aboga de un consentimiento mediante
acto afirmativo claro bajo una manifestacin de voluntad libre, especifica, informada e
inequvoca del interesado de aceptar el tratamiento de datos, quiero recalcar la exigencia
del Reglamento en cuanto al carcter claramente inequvoco, debiendo ser explcito en el
caso de los datos sensibles.
En la actual legislacin espaola el consentimiento debe ser inequvoco salvo que la ley
disponga lo contrario y solo cabe el consentimiento expreso y por escrito para el
tratamiento de datos personales de nivel alto.
7.
Proteccin de Datos y Derecho Internacional comparado

a. US EU PRIVACY SHIELD
Partiendo de la Sentencia del Tribunal de Justicia Europeo del 6 de octubre de 2015 8, que
anulaba la Decisin 2000/520/CE9, por la que se ha considerado que el rgimen de Safe Harbor o
8 Sentencia TJUE de 6 de Octubre de 2015 / Asunto C-362/14.
9 Decisin 2000/520/CE de la Comisin, de 26 de julio de 2000
Puerto Seguro entre los Estados Unidos y Los pases de la Unin Europea, no cumpla los
niveles adecuados de proteccin de los datos personales en la transferencia entre estos territorios.
De este antecedente anteriormente mencionado, surgen dentro de los principios legales

contemplados en este Reglamento, aquellos que le son de afeccin pero que son de otro mbito o
jurisdiccin territorial o que por lo menos emanan de estas confluencias territoriales, como es el
caso del tratado internacional US EU Privacy Shield, el cual surge como un acuerdo entre los
Estados Unidos de Amrica y sus autoridades con la Comisin Europea, dicho acuerdo surge
como a raz de la cancelacin del anterior tratado internacional denominado Safe Harbor.
Segn las propias autoridades firmantes de este nuevo tratado internacional, su finalidad se
orienta hacia la implementacin de los efectos de las siguientes medidas:
-
Imposicin de fuertes obligaciones
a las compaas de los Estados Unidos de
Amrica, concretamente aquellas que traten o procesen datos personales de residentes

de la Unin Europea.
-
Implementacin salvaguardas limpias y claras, sobre los l clausulado de los

contratos de los tratamientos personales de los residentes de la Unin Europea,
adems de los criterios de transparencia y obligaciones de los gobiernos implicados
en dicha causa.
Implementacin efectiva sobre la proteccin de los derechos de los residentes de la

Unin Europea, incluyendo la implementacin de posibilidades de compensacin en
caso de litigio o vulneracin de los derechos de datos personales.
b. US Federal Privacy Council
No debemos obviar a raz de las implementaciones legales del US EU Privacy Shield y del
propio Reglamento el cual es objeto de este trabajo de fin de master ha surgido la posible
creacin de un rgano o Autoridad de Control supranacional en los Estados Unidos de Amrica,
el llamado a.US Federal Privacy Council, como rgano para la mejora de prcticas de privacidad
y su gestin.
La idea surge de dotar a dicho pas y a su normativa interna de un Agencia oficial para la
privacidad, cuyos roles, niveles de experiencia, recursos y etc., sean definidos de acuerdo a las
rdenes ejecutivas y a las nuevas polticas con el fin ltimo de coordinacin y colaboracin,
educacin sobre las mejores prcticas de cambio de datos entre entes internacionales y el mbito
federal.
Siempre como hemos comentado anteriormente para el cumplimiento del US EU Privacy
Shield y como futuro paso de cara al cumplimiento de la principios legales de la privacidad de
los datos.
8.
Ventanilla nica
Este Reglamento pretende establecer una serie de mecanismos para lograr una aplicacin
coherente de la legislacin sobre proteccin de datos en toda la Unin Europea, sobre sus
residentes y de mbito transversal al conjunto de los pases implicados, por lo tanto a raz de esta
unificacin surge la necesidad de centralizar los servicios y direcciones procedimentales a travs
de la conocida como Ventanilla nica.
En particular en aquellos casos donde surgen caracterizaciones transfronterizas importantes,
donde podran estar implicadas varias autoridades de control de los diferentes pases que
pudieran verse afectados, para ello ser necesario en estos casos de confrontacin la adopcin de
una nica decisin de supervisin de los casos. A raz de esta interpretacin recogida en los
Tratados de Fundacin de la Unin Europea, surge el principio conocido y mencionado
anteriormente como Ventanilla nica, que significa de forma prctica y este entorno empresarial
como la relacin de las empresas filiales en varios Estados miembros, donde solo ser necesario
tratar con la autoridad de proteccin de datos del Estado miembro en su establecimiento
principal.
Por lo tanto el fundamento jurdico que se busca con este mecanismo es que se prevea al sistema
y al tratamiento o confrontacin de datos por una nica decisin o decisin nica aplicable a
todo el territorio de la Unin Europea para evitar cualquier otra disputa secundaria.
Para concluir podemos decir en mbito comparativo que el mecanismo de la Ventanilla nica
permite en definitiva que una empresa activa en varios Estados miembros trate nicamente con
la autoridad de proteccin de datos del Estado miembro de su establecimiento principal, teniendo
en cuenta que solo debern hacer frente a una nica autoridad de control facilitando el
proceso. En cambio en la actualidad con el marco normativo espaol y de los diferentes estados
miembros cada empresa de procesar y tratar datos con respecto a las diferentes 28 legislaciones
nacionales aplicables y sus respectivas autoridades de control.
9.
Derechos del interesado
Entre los argumentos ms fundamentales que he encontrado en el texto del Reglamento General
de Proteccin de Datos encontramos los derechos del interesado, como sabemos del desarrollo
de nuestros conocimiento previos se tratan de los Derechos de acceso, rectificacin, supresin y
oposicin o los tambin conocidos como Derechos ARCO, en el actual reglamento se encuentran
disponibles en los artculo 12, 15, 16, 17 y 21 del mencionado Reglamento10.
a. Derechos ARCO
Primeramente quiero plasmar lo que el Reglamento nos traslada con efectos a estos Derechos de
acceso, rectificacin, supresin o el tambin conocido como derecho al olvido, el cual se
desarrolla en este Reglamento y del que hablar ms adelante y por ltimo el derecho de
oposicin son el conjunto de derechos a travs de los cuales el Reglamento General de
Proteccin de Datos de la Unin Europea garantizar a las personas el poder de control sobre
sus datos personales.
10 Sempere Samaniego, Fco. Javier: Comentarios prcticos a la Propuesta de Reglamento de
Proteccin de Datos de la Unin Europea. Madrid 2013.
Dentro de las aportaciones que el Reglamento aporta, encontramos el derecho al olvido, el cual
ha sido recogido en este Reglamento deba a la causa y efecto que sentencias, confrontaciones y
resoluciones han tenido lugar en los ltimos aos, as en base a dichas lneas conseguidas se ha
reforzado con este documento el derecho al olvido en el entorno en lnea, es decir estamos ante la
ampliacin del antiguo derecho de supresin de tal forma que el responsable del tratamiento que
haga pblico datos personales, puede estar obligado a indicar a los responsables del tratamiento
sobre la supresin de ciertos datos personales as como los enlaces a los mismos, a las copias o
rplicas de ellos. Por otro lado en favor de la proteccin de las empresas, cuando las solicitudes
de datos sean manifiestamente infundadas o excesivas, ya sea por cuestiones repetitivas o de
diversa ndole, la contraprestacin de un canon razonable en funcin de los costes
administrativos afrontados para facilitar la informacin, todo ello comprendido dentro del
artculo 12 del propio Reglamento.
Para determinar la gran diferencia con la actual normativa espaola de referencia y el
Reglamento General de Proteccin de Datos debo destacar nicamente en este aspecto que
ante la demanda abusiva y repetitiva del ejercicio de los derechos ARCO por parte de un
individuo, se podr cobrar una cuota razonable, siendo esto imposible actualmente favoreciendo
la aparicin de verdadeross impugnadores profesionales y muchas veces sobre la misma causa.
b. Derechos a la portabilidad de los datos

En este caso hablaremos dentro de los derechos del interesado concretamente de un nuevo
derecho surgido en el reglamento, a raz de las necesidades sociales, realidad digital que nos
envuelve y de cara a la futura transformacin digital, en este caso estoy hablando de los
Derechos a la portabilidad de los datos, contemplados en el artculo 20 del actual Reglamento,
bajo el estudio de este Reglamento puedo decir que esta aportacin jurdica que se constata en el
mismo nace de la facultad que se le otorga al interesado para que surtan efecto sus derechos a
recibir los datos personales que le incumban.
Es decir aquellos datos personales que se hubieran dado o facilitado a un responsable del
tratamiento, siendo normalmente en un formato estructurado, de uso comn y lectura
mecnica, ya que cumpliendo estas caractersticas se le denota la posibilidad de
transmitirlos a otros responsables del tratamiento sin que lo impida el antiguo responsable
del tratamiento que los hubiera facilitado.
Por lo tanto el usuario de los datos posee ahora la facultad del ejercicio a la portabilidad de los
datos, teniendo el interesado el derecho a que los datos personales se transmitan directamente de
un responsable del tratamiento, el anterior destinatario, a un nuevo responsable del tratamiento,
en este caso el nuevo destinatario, siempre y cuando sea viable tcnicamente y mecnicamente y
por tanto se cumplan los siguientes requisitos que a continuacin menciono:
-
Los datos deben ser tratados de manera automatizada por el responsable del
tratamiento
Los datos hayan sido facilitados por la persona interesada
El tratamiento est basado en el consentimiento o en un contrato
Por lo tanto a efectos comparativos no exista ningn derecho de portabilidad anteriormente en

nuestra legislacin, ni tampoco ninguna doctrina o jurisprudencia que marcara un claro
tratamiento en estos casos, estamos por tanto ante un derecho emanado y surgido de la llamada
Transformacin digital, el Internet of Things, etc., que adems de velar por la proteccin de
los datos personales a travs de la transmisin, entendemos que no se almacenan los datos sino
que se trasladan, estaremos tambin ante un favorecimiento de los derechos de competencia y
por tanto favorecemos el crecimiento y la evolucin de la era digital.
Para concluir estamos ante un ampliacin de los derechos del interesado con referencia a las
clausulas informativas, puesto que debe aparecer el contacto del responsable del tratamiento, as
como del representante y del delegado de proteccin de datos, en su caso, as como el plazo
durante el cual se conservaran sus datos y los derechos que le ataen al interesado, que a raz del
Reglamento General de Proteccin de Datos sern los siguientes:
-
Acceso
Rectificacin
Cancelacin
Oposicin
Limitacin
10.
Portabilidad
La posibilidad de retirar el consentimiento en cualquier momento
Obligaciones del responsable y Encargado del tratamiento
En cuanto a las obligaciones del responsable y encargado del tratamiento, recogidas en el futuro
Reglamento, he detectado algunas interpretaciones jurdicas novedosas con respecto a la relacin
anterior que nos sitan en un nuevo marco legal referenciado sobre los mismos.
Dicho lo anterior voy a definir apartado a apartado los conceptos surgidos de los mismos para
cada rol en cuestin, todo ello en base al artculo 24 del Reglamento correspondiente al
Responsable del tratamiento y el artculo 28 que designa el concepto legal del Encargado del
tratamiento.
a. Responsable del tratamiento

En un principio el Reglamento atribuye al Responsable del tratamiento la aplicacin de las
medidas tcnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el
tratamiento es conforme con el Reglamento General de Proteccin de Datos.
Por otro lado tambin se desarrolla en el Reglamento la aplicacin de las medidas apropiadas que
como Responsable del tratamiento debe llevar dicha personalidad jurdica o fsica con miras a
garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean
necesarios para cada uno de los fines especficos del tratamiento.
b. Encargado del tratamiento

En otro orden dentro de la redaccin legal que estoy analizando encontramos en el rol del
Encargado del tratamiento, donde se estipula que las funciones y tratamiento realizado por este
rol se regir por un contrato en el cual se debe estipular la vinculacin entre el encargado del
tratamiento y el responsable, adems del objeto del mismo, la duracin, la naturaleza y la
finalidad del tratamiento.
Toda esta relacin delimitada por contrato se encaminar hacia el buen tratamiento de datos
personales, nicamente siguiendo las instrucciones del responsable del tratamiento, salvo casos
excepcionales. As mismo se debern tomar las medidas necesarias de conformidad con lo
dispuesto en la seguridad del tratamiento. Y por ltimo se deber suprimir o devolver todos
los datos personales que se hayan utilizado, una vez se finalice la prestacin de los servicios de
tratamiento.
11.
Registro de las actividades de tratamiento
Con respecto a las consideraciones que deben llevarse a cabo sobre el registro de los ficheros
para el tratamiento de datos o como se conocer en adelante el Registro de las actividades del
tratamiento recogidas en el artculo 30 del susodicho Reglamento, a continuacin hare una
interpretacin y comparacin legal del texto en funcin de la consideracin del tamao de la
entidad a la que va destinada.
a. Registro para empresas de ms 250 trabajadores

Cada responsable del tratamiento deber llevar un registro de todas las actividades de
tratamiento de datos personales efectuados bajo su responsabilidad:
-
Los fines del tratamiento

Las categoras de interesados y datos
Destinatarios de las comunicaciones
Transferencias internacionales
Descripcin de medidas tcnicas y organizativas
Por otro lado el texto tambin recoge que cada encargado del tratamiento llevar un registro
de todas las categoras de actividades de tratamiento de datos personales efectuados en
nombre de un responsable:
-
Las categoras de tratamientos

Las transferencias internacionales
La descripcin de las medidas tcnicas y organizativas
Por lo tanto, la obligacin de notificar los ficheros a la Autoridad de Control Competente queda
sustituida por la de documentar los elementos que hemos mencionado anteriormente.
Para concluir en ambos roles, tanto el del responsable y encargado del tratamiento pondrn el
registro a disposicin de la autoridad de control y de todos los usuarios que quieran acceder al
mismo, por lo que a nuestro entender el Registro de las actividades de tratamiento ser
pblico y primordialmente de acceso pblico.
b. Registro para empresas de menos de 250 trabajadores

(PYMES) y autnomos
En este mismo apartado y concepto jurdico para las PYMES, pequeas y medianas empresas, es
decir aquellas inferiores a 250 trabajadores o 50 trabajadores, el Reglamento General de
Proteccin de Datos, recoge una serie de particularidades entre ellas el Registro que deber
realizarse en iguales condiciones que las mencionadas en el epgrafe anterior, siendo nicamente
necesario registrar las actividades de tratamiento
de datos personales efectuados bajo la
responsabilidad del responsable del tratamiento. Es decir a mi juicio podemos estar ante una
exigencia de tratamiento de los datos personales accesoria a la que expone primordialmente el
Reglamento General de Proteccin de Datos, posiblemente estemos ante un caso como los que
han ocurrido acerca de la regulacin de la estructura de determinados ficheros, vase el ejemplo
de los ficheros de morosos, regmenes disciplinarios, en el que se homologan datos personales
que puedan considerarse especiales a un mismo rgimen de proteccin.
En mi opinin pese a tener algunos ejemplos que encaminen este apartado estamos de nuevo ante
una inseguridad jurdica.
Por otro lado de cara a los autnomos se recoge la particularidad de la habitualidad, es decir
se contempla que estn obligados a las condiciones anteriores siempre y cuando traten datos
personales de forma habitual en su negocio, cuestin esta que deja grandes lagunas acerca del
alcance del concepto de habitualidad en su negocio, de nuevo creo que estamos ante una
inseguridad jurdica que ser regulada con el paso del tiempo, aunque de nuevo el patrn anterior
ser regulado por el sentido comn en este caso, a mi juicio si el negocio o actividad empresarial
de la que hablamos trata de forma manifiesta datos personales, vase el ejemplo de una
tintorera, donde existe una relacin de clientes, direcciones, nombres, se enva la ropa a sus
casas, estaremos de forma clara ante un mbito del Reglamento General de Proteccin de
Datos, pero sin embargo una frutera que no despache fruta a domicilio, ni tenga ningn tipo de
recogida de datos de los clientes y similares, podra estar excluida de dicha aplicacin.
As mismo para las PYMES y autnomos tambin se contemplan una serie de sanciones
inferiores a la hora determinar el cumplimiento del susodicho Reglamento y tambin por otro
lado tambin a modo de excepcin se marca la no obligatoriedad de la figura del Data
Protection Officer.
c. Registro para personas fsicas que traten datos personales sin

inters comercial
En cuanto a este colectivo de destinatarios del Reglamento General de Proteccin de Datos, se
encuentra contemplado en el mismo y de tal modo se le ha excepcionado de dicha aplicacin. En
este apartado nos encontramos con las dudas interpretativas acerca del alcance de ese inters
comercial, puesto que seguirn rigiendo criterios jurdicos que nuestra Agencia Espaola de
Proteccin de Datos ha creado, vase el tratamiento de datos, como por ejemplo de actividades
del hogar y organizaciones personales de hospitalidad.
d. Comparativa del Registro de actividades del tratamiento
Con el futuro y/actual Reglamento General de Proteccin de Datos, es el responsable y el

encargado del tratamiento, los que pondrn el registro a disposicin de la autoridad de
control y en su caso de los interesados implicados, tambin de los usuarios legitimados. Por
el contrario con la actual legislacin espaola corresponde la inscripcin de los ficheros en el
Registro General de la Agencia Espaola de Proteccin de datos (RGPD) al responsable del
tratamiento, siendo de obligado cumplimiento y obligatoria conforme a ley para el mismo.
12.
Seguridad del tratamiento
Comprendido en el artculo 32 de este Reglamento General de Proteccin de Datos,

encontramos la referencia a la seguridad de los sistemas en cuanto a la evitacin de la
vulneracin de los tratamientos, para ello se debe tener en cuenta el estado de la tcnica, los
costes de aplicacin, la naturaleza, el alcance, el contexto y los fines del tratamiento, as
como riesgos de probabilidad y gravedad variables para los derechos y libertades de las
personas fsicas, el responsable y el encargado del tratamiento aplicaran medidas tcnicas y
organizativas apropiadas
para garantizar un nivel de seguridad adecuado al riesgo, que
incluya, entre otros hitos los siguientes:

-
La seudonimizacin y el cifrado de datos personales

Garantizar la confidencialidad, integridad y disponibilidad de sistemas y
servicios
Capacidad de restaurar la disponibilidad y acceso a los datos personales en caso de
incidente
Un proceso de verificacin, evaluacin y valoracin regular de la eficacia de las
medidas tcnicas y organizativas para garantizar la seguridad del tratamiento.
En grandes lneas las diferencias comparativas que encontramos entre el Reglamento General
de Proteccin de Datos y la actual legislacin espaola de proteccin de datos, en cuanto al
primero solo se dispone legalmente del deber de implementar medidas tcnicas y organizativas
apropiadas para garantizar un nivel de seguridad adecuado en relacin con los riesgos que
entrae el tratamiento y la naturaleza de los datos que deban protegerse, partiendo de las
tcnicas existentes y los costes asociados a su implementacin. Por el contrario en la segunda
parte con referencia a la legislacin espaola, el Reglamento de desarrollo de la LOPD,
concretamente en su ttulo VIII, en donde se especifica de las medidas tcnicas y organizativas
concretas en donde tambin se detalla que todo responsable / encargado del tratamiento tiene
que aplicar obligatoriamente en el tratamiento automatizado y no automatizado en funcin de la
naturaleza que presenten los datos, ya sean de nivel bsico, medio y alto.
13.
Notificacin de violacin de datos personales
En cuanto a la notificacin de violacin de los datos personales que se contempla en

Reglamento General de Proteccin de Datos en su artculo 33 y por otro lado la
Comunicacin de una violacin de datos personales al interesado, segn artculo 34 del
susodicho reglamento, voy a mencionar alguno de los cambios que el Reglamento trae en
funcin de estas dos nuevas cuestiones, sus posibles consecuencias y por ello la comparativa con
el actual marco normativo espaol.
a. Notificacin de una violacin de datos personales a la

Autoridad de control
Este es uno de los aspectos destacados del Reglamento General de Proteccin de Datos y por
ello novedoso, puesto que se obliga a las entidades a notificar cualquier incidencia con referencia
a las violaciones de datos personales, por tanto en cuanto se produzca alguna violacin de datos
personales, el responsable del tratamiento la notificar a la autoridad de control competente a
mas tardas unas 72 horas despus de que haya tenido constancia de ella.
b. Comunicacin de una violacin de datos personales al

interesado
Por otro lado adems de lo mencionado en el prrafo anterior sobre la obligatoriedad de la

notificacin a las autoridades de control sobre las incidencias y/o vulneraciones sobre los datos
personales que han ocurrido, ser necesaria una comunicacin cuando se constate la alta
probabilidad de que la violacin de la seguridad de los datos personales entrae un alto
riesgo para los derechos y libertades de las personas fsicas, el responsable del tratamiento lo
deber comunicar inmediatamente al interesado sin dilacin indebida. Esta comunicacin al
interesado no debe ser necesaria si la violacin de datos personales no supone un riesgo para
los derechos y libertades del interesado, por ejemplo, en aquellos casos donde las medidas de
proteccin hacen ininteligibles los datos para cualquier persona que no est autorizada a acceder
a ellos, como puede ser el cifrado.
c. Comparativa de las Notificaciones de violaciones de datos

personales
Con el futuro y/actual Reglamento General de Proteccin de Datos, se establece por parte del
responsable y el encargado del tratamiento, la obligacin de notificar las violaciones de
datos personales de los interesados, as mismo tambin se establece la obligacin de
comunicacin de una violacin de datos personales. Por el contrario con la actual legislacin
espaola exige la existencia de un procedimiento de notificacin y gestin de las incidencias
que afecten a los datos de carcter personal y tambin establece la obligacin de poseer un
registro en el que se haga constar el tipo de incidencia.
14.
Evaluacin del impacto relativa a la proteccin de datos personales
En cuanto a la evaluacin del impacto que mencionada y se fundamenta en la proteccin de los

datos, se encuentra recogida en el artculo 35 de dicho Reglamento, en este artculo se recogen
las diferentes operaciones que requieren evaluacin y los derechos y libertades que se ponen en
riesgo.
Por lo tanto puedo entender que cuando sea probable que un tipo de tratamiento, por su
naturaleza, alcance, contexto o fines entrae un alto riesgo para los derechos y libertades de
las personas fsicas en cuestin, cuando exista un responsable del tratamiento que realice un
tratamiento que afecte a estos derechos ponga por tanto los datos personales en riesgo, en ese
caso como hemos recogido se realizar una evaluacin del impacto de las operaciones de
tratamiento previstas en la proteccin de datos personales, en donde se deben incluir las
medidas previstas para afrontar estos riesgos que pongo en cuestin.
Tambin se contempla en este articulado del Reglamento General de Proteccin de Datos la
posibilidad de que la autoridad de control establezca y publique una lista de los tipos de
operaciones de tratamiento que requieran una evaluacin de impacto a la proteccin de
datos que he hablado a lo largo de este epgrafe. As mismo la autoridad de control podr
tambin establecer y publicar en otro orden reglamentario la lista de los tipos de tratamiento
para los que no requieren evaluaciones de impacto relativas a la proteccin de los datos.
Por ultimo haciendo una comparativa con la venidera disposicin reglamentaria y la actual
normativa espaola, como he desarrollado a lo largo de este trabajo de fin de mster, en los
diferentes epgrafes, en este en cuestin he de matizar que lo que se pone de referencia es que las
empresas debern realizar una evaluacin del impacto
de las operaciones de tratamiento
cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y
libertades de las personas.
En cambio con la actual legislacin espaola se especifica que a partir del tratamiento de datos
de nivel medio, ser cuando los sistemas de informacin e instalaciones de tratamiento y
almacenamiento de datos se sometern a los procesos de auditoria cada dos aos, a una
auditoria interna o externa que verifique el grado de cumplimiento de la Ley Orgnica de

Proteccin de datos11.
15.
Designacin del Delegado de Proteccin de Datos
En cuanto a esta figura de nueva creacin que contempla el actual Reglamento General de
Proteccin de Datos de forma general recoge que la obligacin de crear y/o designar una
persona que se encargue de estas cuestiones. Siendo tarea del responsable y/o en su defecto del
encargado del tratamiento de designar un Delegado de proteccin de datos siempre que:
-
El tratamiento lo lleve a cabo una autoridad u organismo publico

Las actividades principales del responsable o del encargado consistan en operaciones
de tratamiento que en razn de su naturaleza, alcance y/o fines requieran de una
observacin habitual y sistemtica de interesados a gran escala.

Las actividades principales del responsable o del encargado consistirn en el
tratamiento a gran escala de las categoras especiales de datos personales.
De nuevo en la comparacin que existe entre Reglamento General de Proteccin de Datos y la

actual normativa espaola, se fundamenta que en el primer caso el responsable y el encargado
del tratamiento designaran un delegado de proteccin de datos solo en determinados casos,
atendiendo a la naturaleza del tratamiento, alcance, fines, nmero de interesados,
categoras especiales, etc. Por otro lado en el documento de seguridad debern designarse uno o
varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en
el mismo. Esta medida de seguridad es de obligacin para todos los responsables y encargados
de tratamiento a partir de datos de nivel medio.
a. La Oficina Local de Proteccin de Datos / Concepto y

funciones del DPO
11 Iglesias Buhigues, Jos Luis: Nuevas fronteras del derecho de la Unin Europea: liber
amicorum. Editor: Tirant lo Blanch. Valencia 2013.
La creciente presin normativa - voluntaria y jurdica - acta, sin duda, como decisivo
catalizador de las numerosas iniciativas que, a da de hoy, se estn abordando bajo la premisa de
configurar un adecuado marco de transparencia, conformidad legal y buen gobierno, tanto en
organizaciones del sector pblico como del privado, todo ello en el marco de la proteccin de
datos.
Dentro de esta corriente regulatoria destaca, de manera singular, la evolucin que, en las ltimas
dcadas, se ha observado en la reglamentacin en materia de proteccin de datos de carcter
personal.
Es por ello que encontramos necesario optar por una serie de medidas para alinearse con las
exigencias legales actuales y emergentes. Entre tales medidas, merece una especial mencin la
constitucin de un Comit corporativo de Proteccin de Datos sobre el que actualmente deber
recaer la responsabilidad de definir, revisar, gestionar y proporcionar el debido asesoramiento en
el mbito especfico del tratamiento que ha de darse a los datos de carcter personal.
Dicho Comit es el encargado de velar por la correcta aplicacin de la normativa de datos de
carcter personal en las empresas que cuenta con ms de 250 trabajadores, segn se estipula en el
reglamento Europeo de Proteccin de Datos, o en otra palabras la instauracin de la figura del
Data Proteccin Officer, que al tratarse de una figura tcnica, legal y multidisciplinar de forma
prctica, a mi juicio, debe ser desarrollada bajo el amparo de una Oficina Local de Proteccin de
Datos, donde al menos debe existir la figura de Data Proteccin Officer, y del Data Proteccin
Legal Consultant, y en algunos casos alguna figura auditora.
A continuacin vamos a desarrollar el concepto del Data Proteccin Officer, como aquella
persona independiente en la empresa, con una funcin claramente preventiva y proactiva, el cual
supervisa, coordina y transmite las normativas, polticas y dems cdigos de proteccin de datos
tanto en el entorno empresarial como en las relaciones externas de la entidad, actuando como
nexo de unin y coordinacin con el o los Responsables del Fichero y/o Encargado del
tratamiento y el afectado, as mismo tambin deber mantener una relacin directa con el rgano
de control.
Sin olvidar la otra figura mencionada en este trabajo, denominada Data Proteccin Legal
Consultant, que podemos definir como aquella persona, independiente o no de la empresa, con
una funcin claramente de asesora legal en las cuestiones diarias, puede asesorar
preventivamente o no, debe supervisar las adaptaciones de normativa, poltica y dems cdigos
en funcin de la actualidad y necesidades legales ordinarias. Esta figura depender directamente
del Data Proteccin Officer y sus informes de asesora no sern vinculantes.
El denominado Comit corporativo de Proteccin de Datos ha pasado a denominarse Oficina
Local de Proteccin de datos, en adelante OLPD, lugar este donde se encuadra la figura del
DPO y DPLC, denomnanos as a este ltimo como el Data Proteccin Legal Consultant.
El objetivo de profesionalizar las actividades de la Oficina Local de Proteccin de Datos y de
ayudar a su institucionalizacin dentro de las organizaciones, se puede llevar a cabo conveniente
mediante la redaccin de un Reglamento Interno que definiera y regulara la misin del rgano
as como determinase su composicin y funciones.
La Oficina Local de Proteccin de Datos podr ser referida igualmente como Responsable de
Seguridad de los Datos de Carcter Personal, en tanto en cuanto se trata de un rgano encargado
del marco de control interno en las empresas, en donde se mantiene y garantiza la conformidad
con la Ley Orgnica 15/1999, de 13 diciembre, de Proteccin de Datos de carcter personal y su
normativa de desarrollo. El Responsable del fichero, representado por el Director de la unidad
correspondiente, o Responsable de Seguridad sern las personas encargadas de coordinar y
controlar las medidas definidas en el Documento de Seguridad.
Por otro lado debemos destacar en el mbito de la Oficina Local de Proteccin de Datos la
misin a la cual se destina y se crea, puesto que estamos ante un rgano supervisor de las
actividades llevadas a cabo por la entidad empresarial en el mbito de la proteccin de los datos
de carcter personal, en consonancia con los preceptos de la normativa legal vigente y las
polticas internas del mismo.
Bajo esta premisa, sern funciones de la OLPD la definicin, la supervisin y la gestin de las
actividades vinculadas a garantizar el adecuado nivel de seguridad de los activos de informacin
personal que sean objeto de tratamiento por parte de los tcnicos, colaboradores y resto de
personal de las entidades empresariales en cuestin.
En este sentido, el inters de la citada Oficina se extender tanto a los datos de los que sean
titulares las diferentes empresas del Grupo como a los Responsables del fichero como a aquellos
otros, titularidad de terceros, que sean accedidos, consultados, procesados, almacenados, o de
cualesquiera otro modo, tratados como Encargados del tratamiento, durante la ejecucin de los
servicios profesionales que cualquiera de las empresas del Grupo, a consecuencia de la
prestacin de los mismos a sus clientes.
Asimismo, ser objetivo de la OLPD constituirse en verdadero rgano asesor del Comit de
Direccin en materia de proteccin de datos, para lo que se tendr asignadas las oportunas
funciones. Entre ellas se contarn, al menos con:
Verificar y velar por el cumplimiento de la normativa legal u otra de naturaleza interna
o externa (contratos u otros) e informar al Comit de Direccin de su acatamiento;
Verificar la existencia y el acatamiento de normas y cdigos de conducta en lo que
afecten a la proteccin de datos de carcter personal;
Emitir opinin acerca del plan peridico de auditoras y verificar su cumplimiento;
Vigilar y notificar posibles situaciones en las que se den conflictos de inters, con la
consiguiente merma de independencia (tanto por parte de los miembros de la propia
OLPD, como de los auditores que intervengan en los preceptivos trabajos de auditora);
Emitir opinin acerca de la designacin y desvinculacin del equipo de auditora
(interno o externo) encargado de realizar las auditorias establecidas al menos
bienalmente;
Evaluar el rendimiento de la funcin de auditora y, por ende, del equipo de auditores.
Finalmente, y ms all de su faceta coordinadora y de seguimiento del desarrollo de las

auditoras que se lleven a cabo, sobre este rgano colegiado recaer la responsabilidad de la
seguridad de los datos de carcter personal a nivel corporativo, asumiendo, de este modo, el
papel de Responsable de Seguridad de los Datos de Carcter Personal del Grupo empresarial en
cuestin, con las funciones y responsabilidades que, en su caso, establezca la normativa
reguladora.
16.
Cdigos de conducta y empresarial
La masificacin del uso de las tecnologas de la informacin ha supuesto un avance y beneficio

para la sociedad, pero tambin por otro lado ha supuesto un incremento en el riesgo de la
vulnerabilidad de los datos que en estos sistemas se almacenan, por lo que ha sido necesario
minimizar estos impactos con la adopcin de una serie de medidas de seguridad.
Con el objeto de facilitar el alcance y comprensin de estas medidas de seguridad se han
desarrollado la obligacin de incluir en los cdigos de conducta de sector, empresa y cualquier
otra entidad la finalidad de incluir en los cdigo de conducta pautas que recojan los mecanismos
sobre estas medidas, incluyendo controles, por lo que no solo estarn sometidos a los controles
legales obligatorios existentes sino a la diligencias de Compliance interno de la instituciones12.
a. Cdigos de Conducta
A raz de lo argumentado anteriormente abordado, el cual est actualmente recogido en el
Reglamento General de Proteccin de Datos de futuro acogimiento al ordenamiento espaol,
podemos decir que los Estados miembros de la Unin Europea, sus autoridades de control, el
12 Garriga
Domnguez, Ana: Nuevos retos para la proteccin de datos personales: en la Era del
Big Data y de la computacin ubicua. Editor: Dykinson. Madrid 2015.
Comit y la Comisin Europea promovern la elaboracin de cdigos de conducta destinados a

contribuir a la correcta aplicacin del Reglamento en cuestin.
Concretamente el Comit Europeo de Proteccin de Datos recopilar en un registro todos los
cdigos de conducta aprobados y los pondr a disposicin del pblico, en una especie de registro
pblico como el que posee la actual Agencia Espaola de Proteccin de Datos, la cual perdera
esta facultad en beneficio del Comit Europeo de Proteccin de Datos.
Estas consideraciones aparecen recogidas en el artculo 40 del Reglamento General de
Proteccin de Datos.
b. Certificacin
Por otro lado en el artculo 42 del susodicho Reglamento se recoge otra facultad que se le otorga
al futuro Comit Europeo de Proteccin de Datos y a la Comisin Europea, en dichos rganos se
deber crear un clima para promover la creacin de mecanismos de certificacin en materia de
proteccin de datos con el objetivo de cumplir y demostrar con lo dispuesto a lo largo del
Reglamento General de Proteccin de Datos puesto que en l se recoge que las operaciones
de tratamiento de datos de los responsables y encargados debe existir dicha justificacin.
c. Comparativa de las Certificaciones y Cdigos de conducta con

la normativa actual
Mientras que en la futura normativa como hemos recogido anteriormente, se parte de la
obligacin de la implantacin en torno a la elaboracin de unos cdigos de conducta destinados
a contribuir a la correcta aplicacin del Reglamento General de Proteccin de Datos , teniendo

en cuenta las caractersticas especficas de los distintos sectores de tratamiento de datos y las
necesidades especficas de las microempresas y las pequeas y medianas empresas; muy por el
contrario en la actual normativa de aplicacin en nuestro mbito nacional se detalla que los
cdigos tipo tienen como objeto adecuar las obligaciones en proteccin de datos a las
peculiaridades de los tratamientos efectuados , mediantes reglas o estndares especficos que
permitan armonizar aquellos tratamientos de datos, que se otorguen para facilitar el ejercicio de
los derechos de los afectados y favorecer el cumplimiento de la Ley Orgnica de Proteccin de
Datos.
17.
Principios generales de la transferencia internacional de datos
En cuanto los principios generales que rigen la Transferencia internacional de datos, en el

Reglamento General de Proteccin de Datos los podemos encontrar ahora desarrollados en el
artculo 45 del mismo, podemos entender en los mismos que la transferencia internacional de
datos personales a terceros pases u organizaciones internacionales se podr realizar cuando la
Comisin no haya decidido que el tercer pas en cuestin o la organizacin internacional
determinada garantiza o no un nivel de proteccin de datos personales adecuado. Por lo tanto
dicha transferencia no requerir de ninguna autorizacin especfica13.
Estamos por tanto ante un nuevo criterio de decisiones sobre el carcter adecuado de la
proteccin de datos personal, el cual deber revisar por obligacin legal por lo menos cada
cuatro aos como recoge la normativa de estudio de este Trabajo de Fin de Mster.
Por ultimo debo resaltar que ante ciertas cuestiones cuando la Comisin no tenga una decisin
adoptada en las condiciones establecidas para el territorio sobre el que se tiene duda para la
transferencia de datos internacionales, se le atribuye por defecto la posibilidad de hacerlo
13 Aparicio Vaquero, Juan Pablo: En torno a la privacidad y la proteccin de datos en la
sociedad de la Informacin. Editor: Comares. Madrid 2015.
siempre y cuando se trate de casos especiales y puntales o cuando existan garantas iguales a las
del mbito europeo que garanticen la necesidad de garanta.
Por lo tanto entre las diferencias entre el futuro Reglamento General de Proteccin de Datos y
la actual normativa espaola de proteccin de datos se fundamenta en que las Transferencias
internacionales podrn llevarse a cabo siempre que se cumpla una serie de condiciones y
salvaguardas, en particular cuando la Comisin haya decidido que existe un nivel adecuado de
proteccin. Estas transferencias no requerirn como hemos visto de ninguna autorizacin
especfica, en cambio en la actual normativa no se podrn realizar transferencias de datos en
mbito internacional como se recogen en la actual normativa espaola donde le nivel de
proteccin y tratamiento del pas de origen y destino no sea el mismo, como recoge la Ley
Orgnica de Proteccin de Datos, salvo que se obtenga autorizacin previa de la Direccin
de la Agencia Espaola de Proteccin de Datos.
a. Autoridad de Control Francesa y especialidades, precedente de

accin conjunta en las autoridades de control europeas
Quiero dedicar un epgrafe a la particularidad de la autoridad de Control Francesa, puesto que
estamos ante el primer rgano de control europeo, que fue capaz de coordinar y poner de acuerdo
a varias autoridades de control de pases vecinos, es ms fue una accin eficaz, coordinada,
conjunta y unidireccional liderada por la Autoridad de Control Francesa.
Partiendo de documentado por la Autoridad Francesa de Proteccin de Datos, en este caso la
Commission Nationale de linformatique et des Liberts CNIL donde se emiti un resolucin
para red social Facebook con relacin a la practicas de proteccin de datos.
Concretamente en las modificaciones de polticas de privacidad de Facebook en 2015 varias
autoridades europeas de proteccin de datos (Francia, Holanda, Blgica, Espaa y provincia de
Hamburgo Alemania) decidieron conducir investigacin de cara a las prcticas de Facebook.
Citamos este ejemplo debido a que la autoridad francesa tiene la particularidad de trabajar en
grupo o de determinar una conducta conjunta entre diversos pases contra una actividad en
concreto de una entidad que opera en varios pases, ello debe al poder de posicin que tiene la
autoridad francesa en el mbito europeo.
Quiero darle importancia a este apartado, porque estamos hablando de la primera accin conjunta
en mbito de instruccin contra un mismo individuo que opera en varios estados miembros de la
Unin Europea, adems de tratarse a mi juicio de una de las primeras actividades coordinadas de
las que viene a implementar el Reglamento General de Proteccin de Datos, de ah la
importancia que quiero darle a este apartado, incluso llegando a la consecucin de una sancin
conjunta contra en este caso Facebook.
b. Autoridad de Control Rusa y especialidades

A continuacin voy a detallar como a raz de la cada de acuerdos como el Safe Harbor y el
acuerdo marco con Rusia sobre tratamiento y transferencia de datos personales, se ha
implementado un rgano de control y una legislacin acorde en el pas siberiano.
En septiembre de 2015, la legislacin Rusa oblig en su normativa a que todos los servidoresoperadores de datos personales rusos se encontraran ubicados en territorio ruso, todo ello fue
implementado y coordinado a travs del Roskommnadzor inspection plan.
Debemos tener en cuenta que muchas de las grandes compaas se encontraban operando en
territorio ruso, este plan de inspeccin llamado Roskommnadzor no significa un control y
auditoria de las actividades empresariales, sino un control y auditoria de la ubicacin de los
servidores.
Rusia a raz de la cada del Safe Harbour, ha visto como muchos nichos de mercado se han
trasladado al territorio europeo, vase Facebook, Google, etc, es ms ha visto como
servidores-operadores europeos han elevado su cuota de mercado gracias a ello, todo ello
mientras se tramita el nuevo escudo europeo se ha trasladado a una nueva oportunidad de
negocio. Cuestin esta que las autoridades rusas no han dejado pasar.
Adems para adecuarse a un posible nuevo acuerdo con la Unin Europea, muy al contrario de
los Estados Unidos de Amrica, Rusia ha procedido a crear una autoridad de proteccin de datos
en su territorio de cobertura federal, cuestin esta que se hace imposible debido a la distribucin
territorial, poltica y legislativa que posee los Estados Unidos de Norte Amrica.
Para concluir estamos viendo como a raz de este Reglamento General de Proteccin de Datos
se han producido unos grandes movimientos polticos, econmicos y sociales para ganar peso y
potencia en el mercado del tratamiento de datos personales, porque como hemos visto a lo largo
de la realizacin de este Mster, los datos personales son beneficios econmicos.
18.
Autoridades de Control Independientes
De conformidad a lo dispuesto en el artculo 51 del presente Reglamento General de

Proteccin de Datos a cada estado miembro le corresponder establecer bajo su responsabilidad
jurdica una o varias autoridades pblicas de control que funcionen de manera independiente,
estas a raz del nuevo Reglamento se dedicaran a la supervisin de la aplicacin del mismo con
el fin de proteger los derechos y libertades fundamentales de las personas fsicas de la Unin
Europea con respecto al tratamiento de datos y a su circulacin por el mbito de la Unin
Europea.
As mismo le sern atribuidas aquellas competencias que no se recojan en el Reglamento
General de Proteccin de Datos o que se estipulen en normativa interna por no estar recogido
en el mismo y todas aquellas que hasta ahora viniera recogiendo que no entre en confrontacin
con el Reglamento.
Dentro de este apartado podemos delimitar aquellas competencias o funciones propias que a
partir de la entrada en vigor del Reglamento se les atribuyen a las Autoridades de Control, como
son:
-
Investigar y denunciar
Estudio novedades en tecnologas, transformacin digital, Big Data y Internet of
Things
Informar sobre normas, informes, resoluciones o similares que afecten a la proteccin
de datos
Emitir autorizaciones de tratamientos de datos
Informar y publicar los cdigos tipo
Aprobar los BCRs
Cooperacin entre empresas, Autoridades de control y dems instituciones.
Supervisar el cumplimiento del Reglamento General de Proteccin de Datos.
Participar en el Consejo Europeo de Proteccin de Datos
Formacin y promocin de la proteccin de Datos
Por otro lado las autoridades de control a raz del Reglamento General de Proteccin de Datos,
tendrn atribuidas una serie de poderes como:
-
Advertencias de mala conducta o conducta ilcita a los implicados

Notificacin de violaciones de seguridad en los organismos supeditados
Tutelas de derecho
Prohibicin a un tercero para el tratamiento de datos
Suspensin de flujos de datos entre terceros
Emitir dictamos y similares
Informar a los poderes polticos de los diferentes estados miembros sobre los
derechos de los datos personales

Actividades de Inspeccin
Controlar autorizacin y consultas previas
Requerir Informacin
Para continuar debemos resaltar que el futuro Reglamento recoge la caracterstica fundamental a
estas Autoridades de Control, estamos hablando de su carcter de independencia, que viene
recogido en su artculo 52, en l se detalla expresamente que cada autoridad de control actuar
con total independencia de los distintos poderes polticos, legislativos e incluso judiciales en
el desempeo de sus funciones y en el ejercicio de sus poderes todo ello siempre de conformidad
con el Reglamento General de Proteccin de Datos.
Por ultimo podemos concluir en este apartado a modo de comparativa con la legislacin espaola
actual como venimos haciendo a lo largo de este Trabajo de Fin de Master, que con el futuro
Reglamento cuando haya varias autoridades de control en un Estado miembro, dicho Estado
estar obligado a designar una autoridad de control principal, que en nuestro caso a bien
seguro ser la Agencia Espaola de Proteccin de Datos, donde el Reglamento manifiesta que
debern encontrarse representadas las distintas otras autoridades de control del pas,
concretamente estarn representadas en el Comit de la Agencia, todo ello a mi juicio en claro

detrimento de la Agencia Catalana de Proteccin de Datos y de la Agencia Vasca de
Proteccin de Datos.
19.
Comit Europeo de proteccin de datos
En este epgrafe voy a desarrollar la figura de nueva creacin en las instituciones europeas, que
nacer a raz del nuevo Reglamento General de Proteccin de Datos, estoy hablando del
Comit Europeo de Proteccin de Datos en cual viene desarrollada su creacin en el artculo
68 del Reglamento en cuestin, en dicho Reglamento se recoge que dicho Comit estar
compuesto por el director de una autoridad de control de cada Estado miembro y por el
supervisor Europeo de Proteccin de Datos, eso en cuanto a su formacin y su composicin.
Pero en cuanto a las funciones que le son atribuidas en este artculo se recogen las siguientes:
-
El Comit se encargara de observar y garantizar el correcto cumplimiento y
aplicacin del Reglamento General de Proteccin de Datos.

El Comit realizar la acreditacin de los organismos de certificacin y su revisin
peridica.
El Comit llevar un registro pblico de los organismos acreditados para ejercer
dichas tareas de tratamiento.

El Comit se encargar de emitir una resolucin/dictamen destinado a la Comisin
Europea sobre el nivel de proteccin de los datos personales en terceros pases u
organizaciones internacionales.
Por ltimo el Reglamento General de Proteccin de Datos incluye la creacin de un Comit

Europeo de Proteccin de Datos, formado por los representantes de cada una de las 28
autoridades de control independientes, muy posiblemente este comit se nutra de los actuales
miembros del actual Comit del artculo 29.
20.
Responsabilidad y Sanciones
Este es uno de los apartados claves de este Trabajo Fin de Mster y tambin del propio
Reglamento puesto que es una de las claves de la normativa en cuestin y donde se apoya todo el
contorno de la finalidad de la creacin de esta norma.
En cuanto a la responsabilidad se determinan en el artculo 82 del Reglamento General de
Proteccin de Datos que cualquier responsable que participe en la operacin de tratamiento de
datos, responder de los daos y perjuicios causados en caso de que dicha operacin no cumpla
lo dispuesto por el propio Reglamento.
As mismo el responsable determinado en relacin a lo mencionado anteriormente ser
responsable de los prejuicios provocados por el tratamiento solo en aquellos casos en los que no
se haya cumplido con las respectivas obligaciones del el Reglamento General de Proteccin de
Datos.
Para determinar la reclamacin y la presentaciones de las mismas por parte de los interesados a
las Autoridades de control, debemos entender que cualquier persona puede presentar denuncia
ante la vulneracin en el tratamiento de sus datos personales, as mismo la capacidad jurdica del
Reglamento permite reclamar sobre aquellas normas que sean obsoletas en la proteccin de
datos, no se acordes a la nueva proteccin y sean contradictorias.
Adems se reconoce a travs de este Reglamento los derechos de las personas fsicas, de nuevo
sin perjuicio de los recursos administrativos o jurdicos a su alcance a los cuales puede acudir,
para el logro de cualquier satisfaccin.
Por otro lado las sanciones que vienen recogidas en el artculo 83 del el Reglamento General de
Proteccin de Datos define los conceptos y cuantas a los que se someten a los responsables del
incumplimiento, puesto que debemos entender que no existe un solo criterio a efectos de cuanta
a nivel europeo, sino que algunos pases ni existen cuantas para las sanciones ni tampoco
Autoridades de Control. Por otro lado dentro de este marco regulatorio se regula de nuevo la
figura del apercibimiento, aunque ahora solo se limita a dos opciones, que estemos ante
personas fsicas sin inters comercial, o en las PYMES y autnomos sin tratamiento de datos
personales de manera habitual.
Con la actual normativa reglamentaria de mbito europeo existen multas que llaman la atencin
porque llegan hasta los 20 millones de euros o el 4% del volumen de la entidad en
representacin de su negocio anual mundial. Tambin se delimita al acumulacin de sanciones
es decir, si un responsable o encargado del tratamiento de datos incumpliera las condiciones
recogidas en el Reglamento General de Proteccin de Datos de forma intencionado o
negligente por su parte y en varias ocasiones, el Reglamento recoge que el importe de la sancin
correspondiente o total de la multa no podr exceder de la cantidad prevista para la sancin ms
grave en nuestro Reglamento de estudio.
Para concluir podemos decir que las grandes diferencias que residen en este reglamento con
respecto a la actual normativa espaola, son que el nuevo rgimen sancionador tiene toda la
intencin de ser ms estricto, porque como podemos apreciar se tratan de multas que oscilan en
su mximo en los veinte millones de euros o el 4% del volumen de negocio total o anual de la
empresa o entidad, por el contrario la actuales sanciones que recoge la Ley Orgnica de
Proteccin de Datos, parten de:
-
Leves: multa de 601 a 60.101.

Graves: multa de 60.101 a 300.506
Muy graves: multa de 300.506 a 601.012
Siendo estas sanciones destinadas nicamente a las entidades privadas, por lo tanto no a todas las
entidades como recoge el Reglamento.
Por ltimo los criterios de graduacin de las sanciones, varan en funcin de la naturaleza,
gravedad y duracin de la infraccin, tambin se tiene en cuenta la intencionalidad o negligencia,
as como el grado de responsabilidad y reincidencia.
21.
Resumen de principales novedades
El Reglamento General de Proteccin de Datos se aplica tambin al tratamiento de datos

personales de interesados que residan en la UE por parte de un responsable o encargado no
establecido en la Unin Europea14.
Cuando el tratamiento se base en el consentimiento del interesado, el responsable deber ser
capaz de demostrar que aquel consinti el tratamiento de sus datos personales.
El Registro de las actividades de tratamiento por parte tanto del Responsable de Tratamiento
como del encargado del Tratamiento se pondr a disposicin de la autoridad de control y de los
interesados cuando se les solicite.
Este Registro de las actividades de tratamiento ser aplicable para Pymes en algunos casos, a mi
juicio en aquellas actividades donde exista tratamiento de datos de manera habitual, estarn
obligados por medio de un individuo u organismo facultado a mostrar este Registro de actividad.
El Reglamento General de Proteccin de Datos slo dispone que se deben implementar
medidas tcnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en
relacin con los riesgos que entrae el tratamiento y la naturaleza de los datos que deban
protegerse, partiendo de las tcnicas existentes y los costes asociados a su implementacin.
El Reglamento General de Proteccin de Datos establece la obligacin de notificar brechas o
quiebras de seguridad, tanto a la autoridad de control como a los afectados.
Las empresas debern realizar una evaluacin del impacto de las operaciones de tratamiento
(que incluya medidas para afrontar los riesgos) cuando sea probable que un tipo de tratamiento
suponga un alto riesgo para los derechos y libertades de las personas. La autoridad de control
publicar los tipos de operaciones y tratamientos que requieran de un anlisis de impacto.
El responsable y/o el encargado del tratamiento debern designar un delegado de proteccin de
datos siempre que sus actividades principales consistan en operaciones de tratamiento que, en
razn de su naturaleza, alcance y/o fines, requieran una observacin habitual y sistemtica de
interesados a gran escala, o consistan en el tratamiento a gran escala de categoras especiales de
datos personales.
14 Rallo Lombarte, Artemi: Hacia un nuevo derecho europeo de proteccin de datos: towards a
new european data protection regime. Editor: Tirant Lo Blanch. Castelln 2015.
Podr realizarse una transferencia de datos personales a un tercer pas u organizacin

internacional cuando la Comisin haya decidido que el tercer pas o la organizacin
internacional garantizan un nivel de proteccin adecuado. Dicha transferencia no requerir de
ninguna autorizacin especfica.
Los responsables del tratamiento pueden enfrentarse a multas de hasta veinte millones de euros
o el 4% de su volumen de negocio anual mundial.
La publicacin del Reglamento General de Proteccin de Datos no supondr la derogacin
formal de las normativas internas de los Estados Miembros, sino que stas simplemente sern
inaplicables en aquellos aspectos en que contradigan al Reglamento General de Proteccin de
Datos.
22.
Nuevos Retos / prximos pasos
Necesidad a partir de este momento de realizar una vigilancia contina de los informes o
textos legales que publique la AEPD para la trasposicin del RGPD a la legislacin
espaola, para poder conocer si el RGPD es una ley de mximos, de mnimos o complementaria
a la legislacin espaola. Ser necesario conocer finalmente qu partes de la legislacin espaola
seguirn vigentes y qu partes sern revocadas.
Necesidad, a partir de la entrada en vigor del RGPD, de que las empresas realicen anlisis de
riesgos para determinar las medidas de seguridad a implantar y que estarn en funcin no solo de
la naturaleza de los datos (como hasta ahora) sino de la naturaleza del tratamiento.
Necesidad de implementar metodologas de mercado para realizar el Anlisis de Riesgos.
Necesidad de coordinar las actividades de anlisis de riesgos de privacidad y de anlisis de
riesgos de seguridad de la informacin que actualmente se estn llevando a cabo, para
aprovechar sinergias.
Establecer un procedimiento y estrategia en las empresas para su posible certificacin como

empresa en materia de proteccin de datos (como empresa global, por unidad organizativa,
).
Tener en cuenta la oportunidad para cualquier empresa de incorporar en su portfolio la
prestacin de nuevos servicios de privacidad a clientes ante la aparicin del RGPD (anlisis
de riesgos, soporte en el proceso de certificacin, etc.).
Posibilidad de utilizar como primera referencia (argumento comercial) a la entidad
empresarial como empresa adecuada al nuevo reglamento/ certificada en materia de proteccin
de datos. Analizar el cuestionario Privacy Impact Analysis requerido por la Poltica Global de la
empresa en cuestin de obligatoria cumplimentacin al inicio de la prestacin de cualquier
proyectos/servicio a clientes.
23.
Conclusiones
Este trabajo plantea un anlisis jurdico en la interpretacin del Reglamento General de

Proteccin de Datos, concretamente como hemos mencionado desde un punto de vista
empresarial, es por ello que hemos planteado una serie de retos y nichos de mercado que se abren
con la implantacin del mismo en un entorno empresarial de cara a un posible Request For
Project aprovechando dichas circunstancias.
De este mismo modo, quiero aprovechar este apartado para hacer llegar una serie de
conclusiones acerca del cumplimiento de la empresas con referencia a la aplicacin de esta
normativa, donde podemos concluir que partimos de una mayor exigencia y control para las
empresas que como hemos mencionado le aplican datos personales, es decir la gran mayora, es
muy difcil imaginar algn entorno empresarial en el que no se conste con datos personales.
El objetivo de crear nuevas oportunidades de negocio y fomentar la innovacin empresarial,
siempre y en nuestro futuro prximo pasa por el tratamiento de datos personales para mejorar la
eficacia del negocio, vase por ejemplo los dictmenes del negocio de la transformacin digital.
Podemos destacar entre las afecciones a las empresas lo siguiente:
La responsabilidad empresarial, en cuanto sern estas ltimas las responsables y

encargadas de implementar medidas que permitan adoptar los criterios necesarios para el
cumplimiento legal y la salvaguarda en el correcto tratamiento de los datos personales de
los que la empresa dispone, importante destacar que con el actual Reglamento General
de Proteccin de Datos se habla de la disposicin de datos personales de la empresa, no
de los datos personales que posea la empresa, puesto que es responsable de todo aquello
que disponga.
Las entidades empresariales se encuentran sometidas ahora al rgimen del Privacy by

design, as como al anlisis de riesgos va Privacy Impact assetsi, siendo ambas
cuestiones de evaluacin de impacto a realizar, las que determinan los riesgos a los que se
someten las entidades y el tratamiento de datos personales.
Las entidades empresariales debern designar un Delegado de Proteccin de Datos o Data

Proteccin Officer, el problema que surge a raz de esta figura en los entornos
empresariales se fundamenta en cuanto al perfil y delimitacin de competencias del
mismo. Debemos entender que estamos ante la duda del perfil necesario para este puesto
y su encuadre en la organizacin, podramos estar ante un tcnico con conocimientos en
derecho o un jurista con conocimientos tcnicos, ser necesario algn tipo de acreditacin
al respecto y lo que es ms importante quien definir ese perfil, el conjunto empresarial o
la normativa de desarrollo que se prev. Por otro parte tambin surge la pregunta del
encuadre de esta persona en el organigrama empresarial, puesto que se trata de una
persona con independencia empresarial y que por tanto podra externalizarse, el problema
de externalizar estos servicios, seria cuestiones como el secreto industrial, credenciales de
acceso, confidencialidad del individuo, etc., permitir que un extrao se adentre en el
entorno empresarial no es muy recomendable y mucho menos que se haga por un
prestador de servicio externo.
Es por ello que a raz de todas estas premisas me atrevo a definir una serie de
caractersticas que debe poseer un Data Protection Officer:
o Conocimiento especializados en Derecho de nuevas tecnologas y Proteccin de
Datos
o
o
o
o
o
Relacin con la prctica y tratamiento de Datos personales

Independencia
Visin Global de la compaa y de sus relaciones exteriores
Conocedor de la entidad empresarial y de su modelo de negocio
Canalizador, emptico y buenas dotes de relacin, puesto que ser el canalizador
entre la Empresa, Cliente, Usuario y la AEPD.

o Con formacin actualizada a los continuos cambios legales del mbito
o Trabajo en equipo, posiblemente el DPO se apoye de un equipo multidisciplinar
para la ejecucin de sus tareas.
o Conocimientos tcnicos y tecnolgicos, sobre las aplicaciones para el tratamiento
o
o
o
o
de Datos, vase SAP, SharePoint y similares.

Proactivo, Innovador y Transversal a todas las reas
Anticipado a las necesidades legales y de mercado
Imparcial en su tarea
Buenas dotes comunicativas y de conciliacin
En cuanto a la afeccin de este Reglamento General de Proteccin de Datos debemos

entender que las empresas deben hacer frente a las consecuencias del incremento de la
cuanta de las sanciones, porque pueden ser muy altas y progresivas a su volumen de
negocio, sera conveniente incrementar las necesidades econmicas para cubrir las
posibles las consecuencias a las que se expone la empresa y su actividad.
Por otro lado las empresas que no tengan claramente delimitado su territorio empresarial
debern designar la ventanilla nica a la cual dirigirse, vase por ejemplo aquellas
empresas que se encuentran legalmente establecidas en varios territorios dentro de la
Unin Europea. Esta cuestin ser de suma importancia, puesto que la autoridad de
control seguir siendo lo misma y con el mismo personal, por ello la reputacin ser
importante.
Ejemplo a esto ser por ejemplo si podemos elegir entre varias autoridades de control,
por ejemplo la espaola o la Polaca, sera importante lidiar con esta ltima debido al
carcter sancionador de la espaola y el aumento de sanciones que puede hacer peligrar el
negocio.
Dentro de las cuestiones que debern tener en cuenta las empresas en cuanto a la
implantacin de este Reglamento General de Proteccin de Datos, destaco aquellas
normas especficas que favorecen la innovacin. De entre ellas cabe destacara aquellas
que surgen para establecer las garantas de proteccin de datos en los productos y
servicios, tanto en la creacin, disposicin, distribucin y uso de los mismos, desde un
punto de vista enclavado en el Privacy by Design. Por otro lado en cuanto al uso de la
tecnologa en el tratamiento de datos las empresas debern tener en consideracin,
aquellos usos, estudios o tratamientos que recurran al Big Data porque este ser uno de
los sectores donde ms aplicar y tendr incidencia estas normas del Reglamento.
Otro punto a destacar para las empresas deriva del ahorro de costes que supone la
eliminacin de parte de la burocracia, puesto que el coste por notificacin y relacin
administrativa con la autoridad de control desaparece, siendo un ahorro nada despreciable
para las empresas.
Por ultimo voy a concluir una definicin del concepto de Privacy by Design, para situar
mejor estas conclusiones, inicio las mismas dejando constancia que no existe una definicin
limitada tanto en la normativa como en la cultura social, parar mi es la siguiente: La Privacy
by Design es aquella configuracin predeterminada o por diseo, que acta en la
totalidad de la funcionalidad del servicio o bien prestado con datos personales, que
garantiza la seguridad de los datos durante todo el proceso del tratamiento, de forma
transparente, de cara a los derechos del usuario y siempre se realiza de forma proactiva
y preventiva para evitar las posibles violaciones de seguridad sobre esos datos
personales.
24.
Bibliografa y Referencias
Aparicio Vaquero, Juan Pablo: En torno a la privacidad y la proteccin de datos en la
sociedad de la Informacin. Editor: Comares. Madrid 2015.

Barnard, Catherine: European Union Law, ISBN: 9780199686117, Publication:
University Press, Oxford 2014.

Bryman, A.: Analyzing qualitative data. Editor: Routledge. London 1995.
Craig, Paul: EU Law: text, cases and materials, ISBN:
9780198714927. Edicin: 6th
ed. Publicacin: University Press, Oxford 2015.
Decisin 2000/520/CE de la Comisin, de 26 de julio de 2000

Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de 1995
Garriga Domnguez, Ana: Nuevos retos para la proteccin de datos personales: en la Era
del Big Data y de la computacin ubicua. Editor: Dykinson. Madrid 2015

Iglesias Buhigues, Jos Luis: Nuevas fronteras del derecho de la Unin Europea: liber
amicorum. Editor: Tirant lo Blanch. Valencia 2013.

ISMS Forum Spain and Data Privaccy Institute: Estudio de impacto y comparativa con la
normative Espaola de la propuesta del Reglamento General de Proteccin de Datos de la
UE, Editor: ISMS Forum Spain and Data Privaccy Institute. Madrid 2012.
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal
Maxwell, Joseph A.: Qualitative research design. An interactive approach. Editor: Sage
Publications. London 1996.

Ortega, Luis (Ortega lvarez): Derecho comunitario europeo, Deposito Legal:
1144-2007, Publicacin:
Lex Nova. Valladolid 2007.
Rallo Lombarte, Artemi: Hacia un nuevo derecho europeo de proteccin de datos:
VA
towards a new european data protection regime. Editor: Tirant Lo Blanch. Castelln
2015.
Reglamento del Parlamento Europeo y del Consejo relativo a la proteccin de las
circulacin de estos datos (6 de Abril 2016)

Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin
de datos de carcter personal

SENTENCIA 292/2000, de 30 de noviembre de 2000.Magistrados: Don Pedro Cruz
Villaln, don Carles Viver Pi-Sunyer, don Rafael de Mendizbal Allende, don Julio D.
Gonzlez Campos, don Manuel Jimnez de Parga y Cabrera, don Toms Salvador Vives
Antn, don Pablo Garca Manzano, don Pablo Cachn Villar, don Fernando Garrido
Falla, don Vicente Conde Martn de Hijas, don Guillermo Jimnez Snchez y doa Mara
Emilia Casas Baamonde. SENTENCIA 292/2000, de 30 de noviembre de 2000. Tipo y
nmero de registro Recurso de inconstitucionalidad 1463-2000. Fecha de resolucin
30/11/2000.
Sentencia TJUE de 6 de Octubre de 2015 / Asunto C-362/14.
Sempere Samaniego, Fco. Javier: Comentarios prcticos a la Propuesta de Reglamento de
Proteccin de Datos de la Unin Europea. Madrid 2013.
anexo Ejemplo de Privacy Impact Assets. Fuente:

Unipersonal) 2016.
i Ver
Copyright Atos Spain, S.A. (Sociedad

Reglamento General de Protección de Datos de La Unión Europea

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Reglamento General de Protección de Datos de La Unión Europea

Caricato da

Copyright:

Formati disponibili

Estudio Jurdico del Reglamento General de Proteccin de Datos de la UE y comparativa

con la actual LOPD: Perspectiva y Retos

3.1. Diseo en funcin de objetivos..................................................................................9

Proteccin de Datos y Derecho Internacional comparado...............................................24

US Federal Privacy Council..................................................................................25

Derechos del interesado........................................................................................... 27

Derechos a la portabilidad de los datos....................................................................28

Obligaciones del responsable y Encargado del tratamiento..........................................30

Responsable del tratamiento.................................................................................30

Encargado del tratamiento.................................................................................... 31

Registro de las actividades de tratamiento................................................................31

Registro para empresas de ms 250 trabajadores......................................................31

Registro para empresas de menos de 250 trabajadores (PYMES).................................32

Comparativa del Registro de actividades del tratamiento............................................34

Seguridad del tratamiento.................................................................................... 34

Notificacin de violacin de datos personales............................................................35

Notificacin de una violacin de datos personales a la Autoridad de control....................35

Comunicacin de una violacin de datos personales al interesado.................................36

Comparativa de las Notificaciones de violaciones de datos personales............................36

Evaluacin del impacto relativa a la proteccin de datos personales..............................37

Designacin del Delegado de Proteccin de Datos......................................................38

La Oficina Local de Proteccin de Datos / Concepto y funciones del DPO......................39

Comparativa de las Certificaciones y Cdigos de conducta con la normativa actual.........44

Principios generales de la transferencia internacional de datos.....................................44

a. Autoridad de Control Francesa y especialidades, precedente de accin conjunta en las

Autoridad de Control Rusa y especialidades.............................................................46

Autoridades de Control Independientes...................................................................47

Comit Europeo de proteccin de datos...................................................................49

Resumen de principales novedades.........................................................................52

Nuevos Retos / prximos pasos..............................................................................54

Propuesta de Reglamento del Parlamento Europeo y del Consejo relativa a la proteccin de

El presente comentario jurdico trata de la reciente promulgacin del Reglamento del

Dentro de este apartado hablaremos de los objetivos que el legislador ha inculcado en el

Reglamento General de Proteccin de Datos entrar en vigor el 25 de Mayo de 2018, despus

el plazo de 2 aos para su transposicin, en cuanto produzca efectos esta transposicin, es

En cuanto a la metodologa utilizada en el presente trabajo, estamos ante un estudio o informe de

3.1. Diseo en funcin de objetivos

Publications. London 1996.

Para documentar, analizar y comprobar el objeto de este estudio, he acometido un diseo de

Telecomunicaciones, Proteccin de Datos, Derechos Audiovisuales y Sociedad de la

jurisprudencial que he utilizado para este trabajo.

Partimos de que en un principio interpretativo el alcance de un Reglamento Europeo sera el

El Reglamento General de Proteccin de Datos se aplica al tratamiento de datos

El Reglamento General de Proteccin de Datos se aplica al tratamiento de datos

El Reglamento General de Proteccin de Datos se aplica al tratamiento de datos

Principios Legales del tratamiento de datos afines a este Trabajo de Fin de

normative Espaola de la propuesta del Reglamento General de Proteccin de Datos de la UE,

La Proteccin de datos personales como Derecho Fundamental.

Lex Nova. Valladolid 2007.

5 Barnard, Catherine: European Union Law, ISBN: 9780199686117, Publication: University

Press, Oxford 2014.

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, relativa al tratamiento de

Directiva 2006/24/CE sobre la conservacin de datos generados o tratados en relacin

Publicacin: University Press, Oxford 2015.

Supuestos de no aplicacin de la LOPD

Si el tratamiento de los datos contiene datos adicionales a los mencionados, se

De un tratamiento de manera licita, leal y transparente en relacin con el interesado.

Seguidamente conceptualizaremos la licitud del tratamiento que el Reglamento contempla,

Proteccin de Datos y Derecho Internacional comparado

De este antecedente anteriormente mencionado, surgen dentro de los principios legales

Imposicin de fuertes obligaciones

a las compaas de los Estados Unidos de

Amrica, concretamente aquellas que traten o procesen datos personales de residentes