TEMA 12: EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL, RELATIVO A

LA PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL

TRATAMIENTO DE DATOS PERSONALES Y A LA LIBRE CIRCULACIÓN
DE ESTOS DATOS. PRINCIPIOS Y DERECHOS. OBLIGACIONES.

El DOUE ha publicado el Reglamento (UE) 2016/679 del Parlamento Europeo y del

Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de estos datos y
por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de
datos).
Junto a esta norma se ha publicado también la Directiva (UE) 2016/680 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección
de las personas físicas en lo que respecta al tratamiento de datos personales por parte de
las autoridades competentes para fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre
circunlación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del
Consejo DOUEL 04-05-2016 119 C.
Ambas componen lo que se conoce como el nuevo marco europeo de protección de
datos:
El Reglamento Europeo de Protección de Datos unifica y moderniza la normativa
europea sobre protección de datos, permitiendo a los ciudadanos un mejor control de
sus datos personales y a las empresas aprovechar al máximo las oportunidades de un
mercado único digital, reduciendo la burocracia y beneficiándose de una mayor
confianza de los consumidores.
La Directiva Europea de Protección de Datos, por su parte, está destinada a los ámbitos
policiales y de la Justicia. Pretende asegurar que los datos de las víctimas, testigos y
sospechosos de la comisión de delitos, se encuentren debidamente protegidos en el
ámbito de una investigación criminal o de aplicación de la ley. A la vez, esta normativa
armonizada facilitará la cooperación transfronteriza de la policía y los fiscales para
combatir más eficazmente el crimen y el terrorismo en toda Europa.
Por su importancia, reseñamos a continuación lo principal del Reglamento general de
protección de datos.

Entrada en vigor y aplicabilidad

Según su artículo 99, el Reglamento “entrará en vigor a los veinte días de su
publicación en el Diario Oficial de la Unión Europea.”
Sin embargo, solo será aplicable “a partir del 25 de mayo de 2018”.
Como tal Reglamento de la Unión y según establece su frase final, “será obligatorio en
todos sus elementos y directamente aplicable en cada Estado miembro”.
Finalidad del Reglamento
Según su art. 1, este Reglamento establece:
1. Las normas relativas a la protección de las personas físicas en lo que respecta al
tratamiento de los datos personales y
2. Las normas relativas a la libre circulación de tales datos.

Ámbito de aplicación
Material

Según su art. 2 “El presente Reglamento se aplica al tratamiento total o parcialmente

automatizado de datos personales, así como al tratamiento no automatizado de
datos personales contenidos o destinados a ser incluidos en un fichero.”
Y no se aplicará, en particular:
a. Al ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho
de la Unión
b. A la actividad de las autoridades con fines de prevención o investigación de delitos o
de protección de la seguridad pública,
c. A las actividades de los Estados miembros comprendidas en el ámbito de aplicación
del capítul
d. Ni al tratamiento de datos efectuado por una persona física en el ejercicio de
actividades exclusivamente personales o domésticas.

Territorial

Es importante resaltar que, conforme a su artículo 3 “El presente Reglamento se aplica

al tratamiento de datos personales en el contexto de las actividades de un
establecimiento del responsable o del encargado en la Unión, independientemente de
que el tratamiento tenga lugar en la Unión o no.”
Y, muy especialmente, según el número 2 del mismo artículo, el Reglamento se aplica
también al tratamiento de datos personales de residentes en la Unión “por parte de un
responsable o encargado no establecido en la Unión, cuando las actividades de
tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos
interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el
control de su comportamiento, en la medida en que este tenga lugar en la Unión.”
Es decir, se aplica también al también al tratamiento de datos fuera de la Unión, lo que
amplía notablemente su ámbito de aplicación.
Ese alcance tan amplio explica, según el catedrático de Derecho Administrativo y ex
director de la AEPD José Luis Piñar Mañas, que el Reglamento sea un texto muy
extenso y detallado.
Principios rectores
En el ámbito actual de la economía digital, los datos personales han adquirido una
enorme relevancia económica, en particular en el área del Big Data. Ello tiene además
directas consecuencias en el derecho a la privacidad de los ciudadanos.
En consecuencia, la nueva norma se basa en los siguientes principios:
1. Un continente, una norma
La nueva normativa establece un único conjunto de normas aplicable en el conjunto de
la Unión Europea.
2. Ventanilla única
Los empresarios solo tendrán que relacionarse con un único supervisor en Europa, lo
que se estima representará un ahorro de 2.300 millones de euros al año.
3. Europa se rige por la normativa europea
Las empresas radicadas fuera de la Unión deberán aplicar las mismas reglas cuando
ofrezcan sus servicios en la Unión Europea.
4. Consideración de los riesgos específicos
Las nuevas normas evitarán pesadas obligaciones genéricas sobre el tratamiento de
datos, adaptándolas apropiadamente a sus respectivos factores de riesgo.
5. Privacidad desde el diseño
Las nueva regulación garantizará que la salvaguarda de la protección de datos se
incorpora a los productos y servicios desde sus primeros estadios de desarrollo (Data
protection by design). Se fomentarán las técnicas “Privacy-friendly”, como la
seudoanonimización, para salvaguardar los beneficios de la innovación en Big Data a la
vez que se protege la privacidad.
Este principio de privacidad desde el diseño (art. 25.1), significa que en el diseño de
aplicaciones que traten datos personales, se tiene que garantizar la privacidad de los
mismos desde el principio. Esto implica, por ejemplo, que en materia de redes sociales,
los perfiles de privacidad de los usuarios estarán por defecto cerrados a otros usuarios,
debiendo ser el usuario quien los abra a otros.
6. La importancia del consentimiento
El consentimiento para el tratamiento de los datos deberá “libre, específico,
informada e inequívoco” y el responsable del tratamiento de los datos deberá poder
probar que el titular “consintió el tratamiento de sus datos”.
Por tanto, en virtud del principio de responsabilidad, el responsable del tratamiento
aplicará las medidas adecuadas para poder demostrar que ese consentimiento se prestó
en la forma adecuada.
Nuevos derechos de los ciudadanos
Según el profesor Piñar, con esta nueva norma se acabaron los conocidos en España
como derecho ARCO (Acceso, Rectificación, Cancelación y Oposición). El nuevo
Reglamento se refiere ahora a los derechos de Transparencia (art. 12), Información
(arts. 13 a 14), Acceso (art. 15), Rectificación (Art. 16), Supresión o derecho al olvido
(art. 17), Limitación del tratamiento (art. 18), Portabilidad de datos (art. 20) y
Oposición (art. 21).

Estructura
Se trata de una norma muy extensa, que consta de 173 considerandos previos y 99
artículos, agrupados en once capítulos, con la siguiente estructura:
Capítulo I. Disposiciones generales (arts. 1. Objeto, a 4. Definiciones)
Capítulo II. Principios (arts. 5. Principios relativos al tratamiento, a 11. Tratamiento
que no requiere identificación)
Capítulo III. Derechos del interesado, divido en 5 secciones; 1.ª Transparencia y
modalidades (art. 12. Transparencia de la información, comunicación y modalidades
de ejercicio de los derechos del interesado); 2.ª Información y acceso a los datos
personales (arts. 13. Información que deberá facilitarse cuando los datos personales se
obtengan del interesado, a 15. Derecho de acceso del interesado); 3.ª Rectificación y
supresión (arts. 16. Derecho de rectificación, a 20. Derecho a la portabilidad de los
datos --incluyendo el importante art. 17. Derecho de supresión («el derecho al olvido»)-
-; 4.ª Derecho de oposición y decisiones individuales automatizadas (arts.
21. Derecho de oposición, y 22. Decisiones individuales automatizadas, incluida la
elaboración de perfiles) y 5.ª Limitaciones (art. 23. Limitaciones).
Capítulo IV. Responsable del tratamiento y encargado del tratamiento, dividido en
5 secciones: 1.ª Obligaciones generales (art. 24. Responsabilidad del responsable del
tratamiento; 25. Protección de datos desde el diseño y por
defecto; 26. Corresponsables del tratamiento; 27. Representantes de responsables o
encargados del tratamiento no establecidos en la Unión; 28. Encargado del
tratamiento; 29. Tratamiento bajo la autoridad del responsable o del encargado del
tratamiento; 30. Registro de las actividades de tratamiento, y 31. Cooperación con la
autoridad de control; 2.ª Seguridad de los datos personales (arts. 32. Seguridad del
tratamiento, a 34. Comunicación de una violación de la seguridad de los datos
personales al interesado; 3.ª Evaluación de impacto relativa a la protección de datos
y consulta previa (arts. 35. Evaluación de impacto relativa a la protección de datos, a
36. Consulta previa); 4.ª Delegado de protección de datos (arts. 37. Designación del
delegado de protección de datos, a 39. Funciones del delegado de protección de datos)
y 5.ª Códigos de conducta y certificación (arts. 40. Códigos de
conducta, a 43. Organismo de certificación)
Capítulo V. Transferencias de datos personales a terceros países u organizaciones
internacionales(arts. 44. Principio general de las transferencias, a 50. Cooperación
internacional en el ámbito de la protección de datos personales).
Capítulo VI. Autoridades de control independientes, dividido en 2 secciones: 1.ª
Independencia (arts. 51. Autoridad de control, a 54. Normas relativas al
establecimiento de la autoridad de control) y 2.ª Competencia, funciones y
poderes (arts. 55. Competencia, a 59. Informe de actividad)
Capítulo VII. Cooperación y coherencia, dividido en 3 secciones, 1.ª Cooperación y
coherencia (arts. 60. Cooperación entre la autoridad de control principal y las demás
autoridades de control interesadas, a 62. Operaciones conjuntas de las autoridades de
control); 2.ª Coherencia (arts. 63. Mecanismo de coherencia, a 67. Intercambio de
información) y 3.ª Comité europeo de protección de datos (arts. 68. Comité Europeo
de Protección de Datos, a 76. Confidencialidad)
Capítulo VIII. Recursos, responsabilidad y sanciones (arts. 77. Derecho a presentar
una reclamación ante una autoridad de control, a 84. Sanciones)
Capítulo IX. Disposiciones relativas a situaciones específicas de tratamiento (arts.
85. Tratamiento y libertad de expresión y de información, a 91. Normas vigentes sobre
protección de datos de las iglesias y asociaciones religiosas)
Capítulo X. Actos delegados y actos de ejecución (arts. 92. Ejercicio de la
delegación, y 93. Procedimiento de comité)
Capítulo XI. Disposiciones finales (arts. 94. Derogación de la
Directiva 95/46/CE, a 99. Entrada en vigor y aplicación)

Principales novedades que incorpora el

Reglamento
Según José Luis Piñar Mañas, en la Jornada Enatic sobre el nuevo Reglamento
Europeo de protección de datos:
1, Principios aplicables al tratamiento de datos (art. 5): Licitud, lealtad y transparencia;
recogidos con fines determinados, explícitos y legítimos («limitación de la finalidad»);
limitados a lo necesario en relación con los fines para los que son tratados
(«minimización de datos»); exactos y, si fuera necesario, actualizados («exactitud»);
mantenidos de forma que se permita la identificación de los interesados durante no más
tiempo del necesario para los fines del tratamiento de los datos personales («limitación
del plazo de conservación»); tratados de tal manera que se garantice una seguridad
adecuada de los datos personales («integridad y confidencialidad»); el responsable del
tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz
de demostrarlo («responsabilidad proactiva»).
2. Condiciones para entender válidamente prestado el consentimiento (art. 7)
3. Necesidad de que el responsable del tratamiento pueda probar que se prestó el
consentimiento
4. Regulación específica del conocido como Derecho al olvido o, más propiamente,
derecho de supresión (art. 17)
5. Principio de portabilidad de los datos (art. 20)
6. Responsabilidad del responsable del tratamiento de los datos por la adopción y
actualización de las medidas adecuadas (art. 24)
7. Registro de las actividades de tratamiento (art. El Reglamento (UE) 2016/679, de
27 de abril, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos. 30)
8. Notificación a los interesados de las violaciones de seguridad (art. 33)
9. Evaluación de impacto relativa a la protección de datos (art. 35)
10. Consulta previa a la autoridad de control en caso de identificarse riesgos en el
tratamiento (art. 36)
11. Introducción de la figura del Delegado de protección de datos (arts. 37 a 39)
12. Regulación de las transferencias internacionales de datos (arts. 45 y 47)
13. Criterio “One stop shop” para la reclamación de la violación de las obligaciones de
protección de datos por parte de una multinacional (arts. 60 a 67)

Convivencia con la LOPD

La entrada en vigor de este nuevo Reglamento plantea la duda de cómo va a convivir en
España con la LOPD.
A este respecto, el tanto Piñar Mañas como Pablo García-Mexia, apuntaron
recientemente a que parece que la ley española podrá seguir siendo aplicable en lo que
esté fuera del Derecho de la UE, pues, además, el Reglamento hace numerosas
remisiones a la legislación nacional de los Estados miembros.
Pero se suscitan dudas en materias como el registro de ficheros ¿Habrá que seguir
realizándolo en nuestro país por efecto de la LOPD o cabe entender una derogación
tácita de sus disposiciones en este sentido?
Igualmente también cabe preguntarse en qué papel quedará al AEPD y qué valor
tendrán sus circulares en el nuevo contexto.