1. La proteccién de datos de caracter personal. Régimen juridico 1.1. Introduccién En cualquier actividad de la vida moderna es normal que se nos solicite informacién referente a datos personales. Dato personal es una informacion que nos identifica o nos Puede hacer identificables, como el nombre, el NIF, una fotografia o una grabacién de nuestra voz. Cuando hacemos una matricula para realizar unos estudios, reservamos una habitacién de hotel, abrimos una cuenta en un banco, navegamos por internet, estamos facilitando datos que quedan a merced de la entidad o las personas que nos los solicitan, En las redes sociales exponemos informacién sobre nosotros mismos, colgamos fotos, videos y comentarios, nos agregamos a paginas que tratan sobre las cosas que nos intere- san y también etiquetamos a nuestros amigos y compartimos datos y opiniones sobre ellos, Cada vez més, se hace necesario que aprendamos a vivir respetando la intimidad de los demas y a defender y proteger nuestros derechos y los de los mas cercanos a nosotros, El derecho a la proteccién de datos supone que los ciudadanos tenemos la capacidad para disponer y decidir sobre todas las informaciones que se refieran a nosotros. En este tema vamos a tratar cuestiones muy importantes sobre el uso y la proteccién de los datos propios y de datos de terceros que puedan pasar por nuestras manos o el ordenador de nuestro puesto de trabajo. 1.2. Regulacion La proteccién de datos de caracter personal es un derecho fundamental reconocido en el articulo 18 de la Constitucién Espafiola. Dicho articulo establece lo siguiente: “1, Se garantiza el derecho al honor, a la intimidad personal y familiar y ala pro- piaimagen. 2. El domicilio es inviolable. Ninguna entrada o registro podré hacerse en él sin con- sentimiento del titular o resolucién judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, tele- graficas y telefénicas, salvo resolucién judicial. 4, Laley limitaré el uso de la informatica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.” El Tribunal Constitucional sefialé en su Sentencia 94/1998, de 4 de mayo, que nos en- contramos ante un derecho fundamental a la proteccién de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el trafico ilfcito de los mismos 0 lesivo para la dignidad y los derechosde los afectados; de esta forma, el derecho a la proteccién de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificé su obtencién. Por su parte, en la Sentencia 292/2000, de 30 de noviembre, lo considera como un de- recho auténomo e independiente que consiste en un poder de disposicién y de control sobre los datos personales que faculta a la persona para decidir cudles de esos datos pro- porcionar a un tercero, sea el Estado o un particular, o cuales puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesién 0 uso. Anivel legislativo, la concrecion y desarrollo del derecho fundamental de protecci6n de las personas fisicas en relacién con el tratamiento de datos personales tuvo lugar en sus origenes mediante la aprobacién de la Ley Organica 5/1992, de 29 de octubre, regu- ladora del tratamiento automatizado de datos personales, conocida como LORTAD. La Ley Organica 5/1992 fue reemplazada por la Ley Organica 15/1999, de 5 de di- ciembre, de proteccién de datos personales, la cual adoptd al ordenamiento espajiol lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la proteccién de las personas fisicas en lo que respecta al tra- tamiento de datos personales y a la libre circulacién de estos datos. Por otra parte, también se recoge en el articulo 8 de la Carta de los Derechos Funda- mentales de la Union Europea y en el articulo 16.1 del Tratado de Funcionamiento de la Uni6dn Europea. Anteriormente, a nivel europeo, se habfa adoptado la Directiva 95/46/CE citada, cuyo objeto era procurar que la garantia del derecho a la proteccién de datos personales no supusiese un obstaculo a la libre circulacion de los datos en el seno de la Unién, estable- ciendo asf un espacio comtin de garantia del derecho que, al propio tiempo, asegurase que en caso de transferencia internacional de los datos, su tratamiento en el pais de desti- no estuvlese protegido por salvaguardas adecuadas a las previstas en la propia directiva. E125 de mayo de 2016 entré en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccién de las per- sonas fisicas en lo que respecta al tratamiento de sus datos personales y a la libre circulacion de estos datos y por el que se deroga la Directiva 95/46/CE, aunque no comenzé a aplicarse hasta dos afios después, el 25 de mayo de 2018. Este Reglamento se conoce también como Reglamento General de Proteccién de Da- tos (en adelante nos referiremos a él como RGPD). Asimismo, se ha adoptado por la legislacién espafola la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la proteccién de las personas fisicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevencién, investigacién, deteccién o enjulcia- miento de infracclones penales o de ejecuclén de sanciones penales, y a la libre circula- cién de dichos datos y por la que se deroga la Decisién Marco 2008/977/JAl del Consejo. 379El principio de seguridad juridica, en su vertiente positiva, obliga a los Estados miem- bros a integrar el ordenamiento europeo en el interno de una manera lo suficientemente clara y publica como para permitir su pleno conocimiento tanto por los operadores juri- dicos como por los proplos ciudadanos, en tanto que, en su vertiente negativa, Implica la obligaci6n para tales Estados de eliminar situaciones de incertidumbre derivadas de la existencia de normas en el Derecho nacional incompatibles con el europeo. La adaptacion al RGPD requiere, en suma, la elaboracién de una nueva ley organica que sustituya a la LO 15/1999. En esta labor se han preservado los principios de bue- na regulaci6n, al tratarse de una norma necesaria para la adaptacién del ordenamiento espariol a la citada disposicién europea y proporcional a este objetivo, siendo su razén ultima procurar seguridad juridica. Con objeto de incorporar de forma inmediata al Derecho interno aquellas cuestiones que resultaran imprescindibles para la adecuada aplicacién en Espafia del RGPD y que no estuvieran excluidas del ambito del legislador de urgencia por el articulo 86 de la Consti- tuci6n Espariola, se aprobé el Real Decreto-ley 5/2018, de 27 de julio, de medidas ur- gentes para la adaptacién del Derecho espafiol a la normativa de la Union Europea en materia de proteccién de datos. Finalmente, las Cortes Generales han aprobado la esperada nueva ley orgénica, la Ley Organica 3/2018, de 5 de diciembre, de Proteccién de Datos Personales y garantia de los derechos digitales, |a cual deroga la LO 15/1999 asi como el RDL 5/2018. EI derecho fundamental de las personas fisicas a la proteccién de datos personales, amparado por el articulo 18.4 de la Constitucién, se ejercerd con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley organica. 1.3. Disposiciones generales del RGPD 1.3.1. Objeto El Reglamento General de Protecclén de Datos (RGPD) establece: = Las normas relativas a la proteccién de las personas fisicas en lo que respecta al tratamiento de los datos personales. — Las normas relativas a la libre circulacién de tales datos. La libre circulacién de los datos personales en la Unién no podrd ser restringida ni prohibida por motivos relacionados con la proteccién de las personas fisicas en lo que respecta al trata miento de datos personales. EI RGPD protege los derechos y libertades fundamentales de las personas fisicas y, e". particular, su derecho a la proteccién de los datos personales.1.3.2, Ambito de aplicacién EIRGPD se aplica al tratamiento total o parcialmente automatizado de datos persona- les, asi como al tratamiento no automatizado de datos personales contenidos o destina- dos a ser incluidos en un fichero, El Reglamento no se aplica al tratamiento de datos personales: a) En el ejercicio de una actividad no comprendida en el ambito de aplicacién del Derecho de la Unién. b) Por parte de los Estados miembros cuando lleven a cabo actividades comprendi- das en el Ambito de aplicacién del Capitulo 2 del Titulo V del Tratado de la Union Europea -TUE- (se refiere a disposiciones especlficas sobre la politica exterior y de se- guridad comun). c) Efectuado por una persona fisica en el ejercicio de actividades exclusivamente personales o domésticas. d) Por parte de las autoridades competentes con fines de prevencisn, investigacin, deteccién o enjuiciamiento de infracciones penales, o de ejecucién de sanciones penales, incluida la de proteccién frente a amenazas a la seguridad publica y su prevencién. El Reglamento se aplica al tratamiento de datos personales en el contexto de las ac- tividades de un establecimiento del responsable o del encargado en la Unién, indepen- dientemente de que el tratamiento tenga lugar en la Unién o no. El Reglamento se aplica al tratamiento de datos personales de interesados que resi- dan en la Unién por parte de un responsable o encargado no establecido en la Union, cuando las actividades de tratamiento estén relacionadas con: a) La oferta de bienes o servicios a dichos interesados en la Unién, independiente- mente de si a estos se les requiere su pago. b) El control de su comportamiento, en la medida en que este tenga lugar en la Union. El Reglamento se aplica al tratamiento de datos personales por parte de un responsa- ble que no esté establecido en la Unin sino en un lugar en que el Derecho de los Estados miembros sea de aplicacién en virtud del Derecho internacional publico. La proteccién otorgada por el Reglamento debe aplicarse a las personas fisicas, inde- pendientemente de su nacionalidad o de su lugar de residencia, en relacion con el trata- miento de sus datos personales. El Reglamento no regula el tratamiento de datos perso- nales relativos a personas juridicas y en particular a empresas constituldas como personas juridicas, incluido el nombre y la forma de la persona juridica y sus datos de contacto. EI RGPD no se aplica a la proteccién de datos personales de personas fallecidas. Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de estas, asl, como luego veremos, la LO 3/2018 establece ciertas normas en su articulo 3 referidas a los datos personales de las personas fallecidas. 3811.3.3. Definiciones Alos efectos del RGPD, su articulo 4 define los siguientes términos: 1. «Datos personales»; toda informacién sobre una persona fisica identificada o identificable («el interesado»); se considerara persona fisica identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particu- lar mediante un identificador, como por ejemplo un nombre, un nuimero de iden- tificacion, datos de localizacién, un identificador en linea 0 uno 0 varios elementos propios de la identidad fisica, fisiologica, genética, psiquica, econdémica, cultural 0 social de dicha persona. «Tratamiento»: cualquier operacién o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos au- tomatizados 0 no, como la recogida, registro, organizacion, estructuracién, con- servacion, adaptacién 0 modificacién, extracci6n, consulta, utilizacién, comunica- cién por transmisi6n, difusién o cualquier otra forma de habilitacién de acceso, cotejo 0 interconexién, limitacién, supresion o destruccién. «Limitacién del tratamiento»: el marcado de los datos de cardcter personal con- servados con el fin de limitar su tratamiento en el futuro. «Elaboracion de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona fisica, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situacién econdmica, salud, prefe- rencias personales, intereses, fiabilidad, comportamiento, ubicacién o movimien- tos de dicha persona fisica. «Seudonimizaciom: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar informacién adicional, siempre que dicha informacion adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona fisica identificada o identificable. «Ficherow: todo conjunto estructurado de datos personales, accesibles con arre- glo a criterios determinados, ya sea centralizado, descentralizado 0 repartido de forma funcional o geogréfica. «Responsable del tratamiento» o «responsablen: la persona fisica o juridica, autoridad publica, servicio u otro organismo que, solo o junto con otros, determi- ne los fines y medios del tratamiento; si el Derecho de la Unién o de los Estados miembros determina los fines y medios del tratamiento, el responsable del trata- miento 0 los criterios especificos para su nombramiento podra establecerlos el Derecho de la Unién o de los Estados miembros. «Encargado del tratamiento» o «encargado»: la persona fisica o juridica, autori- dad publica, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.10. 1. 12. 13. 14, 15. 16. «Destinatarion: la persona fisica o juridica, autoridad publica, servicio u otro orga- nismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se consideraran destinatarios las autoridades publicas que pue- dan recibir datos personales en el marco de una Investigacién concreta de con- formidad con el Derecho de la Unién o de los Estados miembros; el tratamiento de tales datos por dichas autoridades publicas seré conforme con las normas en materia de proteccién de datos aplicables a los fines del tratamiento. «Terceron: persona fisica 0 juridica, autoridad publica, servicio u organismo distin- to del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado. «Consentimiento del interesadon: toda manifestacidn de voluntad libre, especi- fica, informada e inequivoca por la que el interesado acepta, ya sea mediante una declaracl6n o una clara acci6n afirmativa, el tratamiento de datos personales que le conciernen. «Wiolacién de la seguridad de los datos personales»: toda violacion de la sequ- ridad que ocasione la destruccién, pérdida o alteracién accidental o ilicita de datos personales transmitidos, conservados 0 tratados de otra forma, o la comunicaci6n o acceso no autorizados a dichos datos. «Datos genéticos»: datos personales relativos a las caracteristicas genéticas here- dadas 0 adquiridas de una persona fisica que proporcionen una informaci6n unica sobre la fisiologfa o la salud de esa persona, obtenidos en particular del andlisis de una muestra biolégica de tal persona. «Datos biométricosn: datos personales obtenidos a partir de un tratamiento téc- nico especifico, relativos a las caracteristicas fisicas, fisioldgicas o conductuales de una persona fisica que permitan o confirmen la identificacién Unica de dicha per- sona, como imagenes faciales o datos dactiloscépicos. «Datos relativos a la salud»: datos personales relativos a la salud fisica o mental de una persona fisica, incluida la prestacién de servicios de atencion sanitaria, que revelen informacién sobre su estado de salud (entre los datos personales relativos ala salud se incluyen: todo numero, simbolo o dato asignado a una persona fisica que la identifique de manera univoca a efectos sanitarios; la informacién obtenida de pruebas o exdmenes de una parte del cuerpo o de una sustancia corporal, indluida la procedente de datos genéticos y muestras biolégicas, y cualquier informacién relativa, a titulo de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfer- medades, el historial médico, el tratamiento clinico 0 el estado fisiolégico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profe- sional sanitario, un hospital, un dispositive médico, o una prueba diagnéstica in vitro). «Establecimiento principal»: a) Enlo que se refiere a un responsable del tratamiento con establecimientos en mas de un Estado miembro, el |ugar de su administracién central en la Union, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en 38317, 18. 19, 20. 21. 22. 23. otro establecimiento del responsable en la Unién y este ultimo establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerard establecimiento principal. b) En lo que se refiere a un encargado del tratamiento con establecimientos en mds de un Estado miembro, el lugar de su administracién central en la Union 9, si careciera de esta, el establecimiento del encargado en la Unién en el que se realicen las principales actividades de tratamiento en el contexto de las acti- vidades de un establecimiento del encargado en la medida en que el encarga- do esté sujeto a obligaciones especificas con arreglo al RGPD. «Representanten: persona fisica 0 juridica establecida en la Unin que, hablendo sido designada por escrito por el responsable o el encargado del tratamiento re- Presente al responsable o al encargado en lo que respecta a sus respectivas obli- gaclones en virtud del RGPD. «Empresa»: persona fisica 0 Juridica dedicada a una actividad econdmica, inde- pendientemente de su forma juridica, incluidas las sociedades 0 asociaciones que desempefien regularmente una actividad econdémica. «Grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas. «Normas corporativas vinculantesn: las politicas de proteccién de datos perso- nales asumidas por un responsable 0 encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transfe- rencias de datos personales a un responsable o encargado en uno o mas paises terceros, dentro de un grupo empresarial o una unién de empresas dedicadas a una actividad econdémica conjunta. «Autoridad de control»: la autoridad publica independiente establecida por un Estado miembro. «Autoridad de control interesadan: la autoridad de control a la que afecta el tra- tamiento de datos personales debido a que: a) El responsable o el encargado del tratamiento esta establecido en el territorio del Estado miembro de esa autoridad de control. b) Los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados 0 es probable que se vean sustancialmente afectados por el tratamiento. ) Se ha presentado una reclamacién ante esa autoridad de control. «Tratamiento transfronterizon: a) El tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en mas de un Estado miembro de un responsable o un encargado del tratamiento en la Union, si el responsable o el encargado esta establecido en mas de un Estado miembro.b) El tratamiento de datos personales realizado en el contexto de las actividades de un Unico establecimiento de un responsable o un encargado del tratamien- to en la Unién, pero que afecta sustancialmente o es probable que afecte sus- tancialmente a interesados en mas de un Estado miembro. 24, «Objecién pertinente y motivadan: la objecién a una propuesta de declslén sobre la existencia 0 no de infracci6n del Reglamento, o sobre la conformidad con el presen- te Reglamento de acciones previstas en relaclén con el responsable o el encargado del tratamiento, que demuestre claramente la importancla de los riesgos que entrania el proyecto de decisién para los derechos y libertades fundamentales de los Interesa- dos y, en su caso, para la libre circulacl6n de datos personales dentro de la Union. 25, «Servicio de la sociedad de la informacidn» [definicién del articulo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo]: todo servicio prestado normalmente a cambio de una remuneracién, a distancia, por via electrénica y a peticidn individual de un destinatario de servicios. A efectos de la presente definicién, se entenderd por: 1) «A distancia», un servicio prestado sin que las partes estén presentes simulta- neamente, «Por via electrénica», un servicio enviado desde la fuente y reclbido por el des- tinatario mediante equipos electrénicos de tratamiento (incluida la compresion digital) y de almacenamiento de datos y que se transmite, canaliza y recibe entera- mente por hilos, radio, medios dpticos o cualquier otro medio electromagnético. Ill) «A peticién individual de un destinatario de servicios», un servicio prestado mediante transmisién de datos a peticién Individual. 26 «Organizacién internacional»: una organizacién internacional y sus entes su- bordinados de Derecho Internacional publico o cualquier otro organismo creado mediante un acuerdo entre dos o mas paises 0 en virtud de tal acuerdo. 1.4. Disposiciones generales de la LO 3/2018 1.4.1. Objeto La Ley Organica 3/2018, de 5 de diciembre tiene por objeto: a) Adaptar el ordenamiento juridico espafiol al RGPD y completar sus disposiclones. b) Garantizar los derechos digitales de la ciudadania conforme al mandato estableci- do en el articulo 18.4 de la Constituci6n. Las comunidades aut6nomas ostentan competencias de desarrollo normativo y eje- cucién del derecho fundamental a la proteccién de datos personales en su ambito de actividad y alas autoridades autonémicas de proteccién de datos que se creen les corres- Ponde contribuir a garantizar este derecho fundamental de la ciudadan(a. 385386 1.4.2. Naturaleza Conforme a su Disposicién Final primera, la LO 3/2018 tiene el caracter de ley organica, No obstante, tienen cardcter de ley ordinaria: - ElTitulo IV (disposiciones aplicables a tratamientos concretos). El Titulo Vil (autoridades de protecci6n de datos); salvo los articulos 52 (deber de cola. boracién) y 53 (alcance de la actividad de investigacién), que tienen cardcter orgdnico, El Titulo VIII (procedimientos en caso de posible vulneracién de la normativa de Proteccién de datos). - El Titulo IX (régimen sancionador). - Del Titulo X (garantla de los derechos digitales), los siguientes articulos: * 79 (los derechos en la Era digital). * 80 (derecho ala neutralidad de Internet). * 81 (derecho de acceso universal a Internet). * 82 (derecho ala seguridad digital). * 8 (derecho ala desconexién digital en el ambito laboral). * 95 (derecho de portabilidad en servicios de redes sociales y servicios equiva- lentes). * 96 (derecho al testamento digital). * 97 (politicas de impulso de los derechos digitales). Las disposiciones adicionales, salvo la disposicién adicional segunda (proteccién de datos y transparencia y acceso a Ia informacién publica) y la disposicién adicional decimoséptima (tratamientos de datos de salud), que tienen cardcter orgénico. - Las disposiciones transitorias. Y las disposiciones finales, salvo las disposiciones finales primera (naturaleza de la presente ley), segunda (titulo competencial), tercera (modificacién de la LO del Régi- men Electoral General), cuarta (modificacién de la LO del Poder Judicial), octava (mo- dificacién de la LO de Universidades), décima (modificacion de la LO de Educacién) y decimosexta (entrada en vigor), que tienen cardcter orgdnico. Con respecto a las leyes ordinarias, las leyes organicas requieren el voto favorable de la mayoria absoluta de los miembros del Congreso de los Diputados en una votacién final sobre el conjunto del proyecto aprobado. Las leyes organicas tienen ademas las siguientes limitaciones procedimentales: no cabe en materia de ley orgénica la delegacién legislativa en Comisi6n (75.3), la iniciativa legislativa popular (87.3) nila aprobaclon por decreto ley (articulo 86, que enumera con otra terminologla materias similares a las contenidas en el articulo 81). Enel caso de la LO 3/2018; las caracter’sticas de las leyes organicas son aplicables alas partes de esta ley que gozan del cardcter de ley organica.1.4.3. Ambito de aplicacion Lo dispuesto en los Titulos | a IX y en los articulos 89 a 94 de la LO 3/2018 se aplicaa cualquier tratamiento total o parcialmente automatizado de datos personales, asi como al tratamiento no automatizado de datos personales contenidos o destinados a ser Inclui- dos en un fichero. Esta ley organica no seré de aplicacién: a) Alos tratamientos excluidos del ambito del RGPD. b) Alos tratamientos de datos de personas fallecidas. c) Alos tratamientos sometidos a la normativa sobre proteccién de materias clasificadas. Los tratamientos a los que no sea directamente aplicable el RGPD por afectar a activi- dades no comprendidas en el 4mbito de aplicacién del Derecho de la Unién Europea, se regirn por lo dispuesto en su legislacién especifica s! la hubiere y supletoriamente por lo establecido en el citado RGPD y en la LO 3/2018. Se encuentran en esta situaci6n, entre otros: = Los tratamientos realizados al amparo de la legislacién orgdnica del régimen elec- toral general. - Los tratamientos realizados en el ambito de instituciones penitenclarias. - Los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mer- cantiles. El tratamiento de datos llevado a cabo con ocasién dela tramitaci6n por los organos judi- ciales de los procesos de los que sean competentes, asi como el realizado dentro de la gestion de la Oficina Judicial, se regirdn por lo dispuesto en el RGPD y la LO 3/2018 sin perjuicio de las disposiciones de la Ley Organica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables. En cuanto a los datos de las personas fallecidas, el articulo 3 de la LO 3/2018 dispo- ne lo siguiente: 1. Las personas vinculadas al fallecido por razones famillares 0 de hecho asi como sus herederos podran dirigirse al responsable o encargado del tratamiento al ob- Jeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectifi- cacién o supresi6n. Como excepcién, las personas a las que se refiere el parrafo anterior no podran acceder a los datos del causante, ni solicitar su rectificacién o supresi6n, cuando la persona fallecida lo hubiese prohibido expresamente o asi lo establezca una ley. Dicha prohibicién no afectard al derecho de los herederos a acceder a los datos de caracter patrimonial del causante. 2. Las personas 0 instituciones a las que el fallecido hubiese designado expresamen- te para ello podran también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso, su rectificacién o supresion. Mediante real decreto se establecerdn los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos. 387388 3, En caso de fallecimiento de menores, estas facultades podran ejercerse tampy, Por Sus representantes legales o, en el marco de sus competencias, por el yin, terio Fiscal, que podrd actuar de oficio o a instancia de cualquier persona fig juridica interesada, Se En caso de fallecimiento de personas con discapacidad, estas facultades tambian, drdn ejercerse, ademas de por quienes sefiala el parrafo anterior, por quienes hubjes.” sido designados para el ejercicio de funclones de apoyo, si tales facultades se entengy ran comprendidas en las medidas de apoyo prestadas por el designado. 2. Prin 2.1, Principios relativos al tratamiento ios de la proteccién de datos En relacion con el tratamiento, el articulo 5 del RGPD establece los siguientes Principios, a) Principio de licitud, lealtad y transparencia: los datos personales serén tratadog de manera licita, leal y transparente en relacion con el interesado. b) Principio de limitacién dela finalidad: los datos personales sern recogidos con fines determinados, explicitos y legitimos, y no seran tratados ulteriormente de manera incompatible con dichos fines. No se considerard incompatible con los fines iniciales el tratamiento ulterior de los datos personales con: - Fines de archivo en interés publico. - Fines de investigaci6n cientifica e historia, - Fines estadisticos. Principio de minimizacién de datos: los datos personales seran adecuados, perti- nentes y limitados a lo necesario en relacién con los fines para los que son tratados. qd No es posible, segun este principio, recabar y tratar datos simplemente por si pu- dieran resultar utiles o "por tenerlos’. dq) Principio de exactitud: los datos personales seran exactos y, si fuera necesario, actualizados; se adoptarén todas las medidas razonables para que se suprimano rectifiquen sin dilacién los datos personales que sean inexactos con respecto alos fines para los que se tratan, Seguin el articulo 4 de la LO 3/2018, no sera imputable al responsable del trata- Miento, siempre que este haya adoptado todas las medidas razonables para qué se supriman o rectifiquen sin dilacion, la inexactitud de los datos personales, co" respecto a los fines para los que se tratan, cuando los datos inexactos: - Hubiesen sido obtenidos por el responsable directamente del afectado. ~ Hubiesen sido obtenidos por el responsable de un mediador o intermediario e” caso de que las normas aplicables al sector de actividad al que pertenez@ a responsable del tratamiento establecieran la posibilidad de intervencion de Y"intermediario 0 mediador que recoja en nombre propio los datos de los afec- tados para su transmisién al responsable. E| mediador 0 intermediario asumird las responsabilidades que pudieran derivarse en el supuesto de comunicacién al responsable de datos que no se correspondan con los facilitados por el afectado. - Fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro responsable en virtud del ejercicio por el afectado del derecho ala portabilidad con- formeal articulo 20 del Reglamento (UE) 2016/679 y lo previsto en esta ley organica. - Fuesen obtenidos de un registro ptiblico por el responsable. e) Principio de limitacién del plazo de conservacién: los datos personales seran mantenidos de forma que se permita la identificaclon de los Interesados durante no més tiempo del necesarlo para los fines del tratamiento de los datos persona- les; los datos personales podran conservarse durante periodos mas largos siempre que se traten exclusivamente con fines de archivo en interés publico, fines de in- vestigacin cientifica o histérica o fines estadisticos, sin perjulcio de la aplicacién de las medidas técnicas y organizativas apropladas que impone el Reglamento a fin de proteger los derechos y libertacles del Interesado, f) Principio de integridad y confidenclalidad: los datos personales seran tratados de tal manera que se garantice una seguridad adecuada de los mismos, inclulda la protecci6n contra el tratamiento no autorizado o Ilicito y contra su pérdida, destruccl6n o dahio accidental, mediante la aplicacién de medidas técnicas u organizatlvas apropladas. Tal como sefala el articulo 5 de la LO 3/2018, los responsables y encargaclos del tratamiento de datos asi como todas las personas que Intervengan en cualquier fase de este estardn sujetas al deber de confidenclalidad, La obligacién general sefialada en el parrafo anterlor seré complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable. Las obligaciones sefialadas en los parrafos anteriores se mantendran aun cuando hubie- se finalizado la relacién del obligado con el responsable o encargado del tratamiento, 9) Principio de responsabilidad proactiva: el responsable del tratamiento serd responsable del cumplimiento de lo indicado en las letras anteriores y capaz de demostrarlo. EI RGPD describe este principio como la necesidad de que el responsable del trata- miento aplique medidas técnicas y organizativas apropladas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. En términos précticos, este principio requlere que las organizaciones analicen qué da- tos tratan, con qué finalidades fo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explicita la forma en que aplicaran las medidas que el RGPD prevé, aseguréndose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervision. En sintesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo. 389390 2.2. Licitud del tratamiento Todo tratamiento de datos necesita apoyarse en una base que lo legitime. La identi- ficacion de la base legal es indispensable para estar en condiciones de demostrar que se cumple con las previsiones del RGPD. Seguin dispone el articulo 6 del RGPD, el tratamien- to solo sera licito si se cumple al menos una de las siguientes condiciones: a) Elinteresado dio su consentimiento para el tratamiento de sus datos personales para uno 0 varios fines especificos. b) El tratamiento es necesario para la ejecucién de un contrato en el que el intere- sado es parte o pare la aplicacion a peticlon de este de medidas precontractuales, qQ El tratamiento es necesario para el cumplimiento de una obligacién legal aplica- ble al responsable del tratamiento. d) El tratamiento es necesario para proteger intereses vitales del interesado 0 de otra persona fisica. 2) El tratamiento es necesario para el cumplimiento de una misién realizada en inte- rés piiblico o en el ejercicio de poderes publicos conferidos al responsable del tratamiento. f) El tratamiento es necesario para la satisfaccién de intereses legitimos persegui- dos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamenta- les del interesado que requieran la proteccién de datos personales, en particular cuando el interesado sea un niflo. Lo dispuesto en Ia letra f) no seré de aplicaci6n al tratamiento realizado por las auto- ridades publicas en el ejercicio de sus funciones. Los Estados miembros podrén mantener o introducir disposiciones mas especificas a fin de adaptar la aplicacién de las normas del RGPD con respecto al tratamiento en cumplimiento de las letras ¢) y e), fijando de manera mas precisa requisitos especificos de tratamiento y otras medidas que garanticen un tratamiento licito y equitativo, con inclusion de otras situaciones especificas de tratamiento. Conforme al articulo 8 de la LO 3/2018, el tratamiento de datos personales solo podra considerarse fundado en el cumplimiento de una obligacién legal exigible al responsa- ble, cuando asi lo prevea una norma de Derecho de la Unién Europea o una norma con rango de ley, que podré determinar las condiciones generales del tratamiento y los tipos de datos abjeto de! mismo asi como las cesiones que procedan como consecuencia del cumplimiento de la obligacién legal. Dicha norma podra igualmente imponer condiclo- nes especiales al tratamiento, tales como la adopcién de medidas adicionales de seguri- dad u otras establecidas en el Capitulo IV del RGPD). Este es el caso, por ejemplo, de las bases de datos requladas por ley y gestionadas por autoridades publicas que responden a objetivos especificos de control de riesgos y solvencia, supervisin e inspeccién del tipo de la Central de Informacién de Riesgos del Banco de Espanaregulada por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sisterna Finan- ciero, 0 de los datos, documentos e informaciones de cardcter reservado que obren en poder de la Direccién General de Seguros y Fondos de Pensiones de conformidad con lo previsto en la Ley 20/2015, de 14 de julio, de ordenacién, supervisién y solvencia de las entidades osequ- radoras y reaseguradoras. El tratamiento de datos personales solo podrd considerarse fundado en el cumpli- miento de una misi6n realizada en interés publico o en el ejercicio de poderes puiblicos conferidos al responsable cuando derive de una competencia atribuida por una norma con rango de ley. La base del tratamiento indicado en las citadas letras c) y e), deberd ser establecida por: a) El Derecho de la Uni6én. b) El Derecho de los Estados miembros que se aplique al responsable del trata- miento. La finalidad del tratamiento deberé quedar determinada en dicha base juridica 0, en lo relativo al tratamiento a que se refiere la letra e), sera necesaria para el cumplimiento de una misién realizada en interés ptiblico 0 en el ejercicio de paderes publicos conferi- dos al responsable del tratamiento. Dicha base juridica podra contener disposiciones especificas para adaptar la aplica- cién de normas del Reglamento, entre otras: - Las condiciones generales que rigen la licitud del tratamiento por parte del res- ponsable; los tipos de datos objeto de tratamiento. - Los Interesados afectados. — Las entidades a las que se pueden comunicar datos personales y los fines de tal comunicaci6n. — Lalimitacién de la finalidad. - Los plazos de conservacién de los datos. - Las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento licito y equitativo, como las relativas a otras situaciones especificas de tratamiento a tenor del Capitulo IX del Reglamento. El Derecho de la Unién o de los Estados miembros cumpliré un objetivo de interés puiblico y sera proporcional al fin legitimo persequido. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado 0 en el Derecho de la Unién o de los Estados miembros que constituya una medida necesarla y proporcional en una sociedad democratica para salvaguardar los objetivos indicados en el articulo 23, 391392 apartado 1 del RGPD (ver apdo. 3.9), el responsable del tratamiento, con objeto de de- terminar si el tratamiento con otro fin es compatible con el fin para el cual se recogleron inicialmente los datos personales, tendra en cuenta, entre otras cosas: a) Cualquier relacién entre los fines para los cuales se hayan recogido los datos per- sonales y los fines del tratamiento ulterior previsto. b) El contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relacidn entre los interesados y el responsable del tratamiento, ©) La naturaleza de los datos personales, en concreto cuando se traten categoria especiales de datos personales, o datos personales relativos a condenas e infrac- ciones penales. d) Las posibles consecuencias para los interesados del tratamiento ulterior previsto, e) Laexistencia de garantias adecuadas, que podran incluir el clfrado o la seudonimi- zacion. 2.3. Condiciones para el consentimiento De conformidad con lo dispuesto en el articulo 4.11 del RGPD, se entiende por con- sentimiento del afectado toda manifestacién de voluntad libre, especifica, informada e inequivoca por la que este acepta, ya sea mediante una declaracion o una clara accion afirmativa, el tratamiento de datos personales que le conciernen. EI RGPD mantiene los mismos principios del consentimiento que establecia la LO 15/1999, exigiendo un consentimiento libre, informado, especifico e inequivoco. Sin embargo, como novedad respecto de la LOPD, el RGPD indica que para poder considerar que el consentimiento es inequivoco, deberd existir una declaracion del in- teresado o una accién positiva que manifieste su conformidad. El silencio, las casillas ya marcadas 0 la inaccion no constituiran prueba de consentimiento. Cuando el tratamiento se base en el consentimiento del interesado, el responsable de- berd ser capaz de demostrar que aquel consintié el tratamiento de sus datos personales. El articulo 6.2 de la LO 3/2018 afiade que, cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades sera preciso que conste de manera especifica e inequivoca que dicho consentimiento se otor- ga para todas ellas. No podrd supeditarse la ejecucién del contrato a que el afectado consienta el trata- miento de los datos personales para finalidades que no guarden relacion con el mantenlI- miento, desarrollo 0 control de la relacién contractual. Si el consentimiento del interesado se da en el contexto de una declaracion escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentara de tal forma que se distinga claramente de los demas asuntos, de forma inteligible y de facil acceso y utilizando un lenguaje claro y sencillo,No serd vinculante ninguna parte de la declaracién que constituya infraccién del RGPD. El interesado tendré derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectard a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado sera informado de ello. Seré tan facil retirar el consentimiento como darlo. Al evaluar si el consentimiento se ha dado libremente, se tendré en cuenta en la ma- yor medida posible el hecho de si, entre otras cosas, la ejecucién de un contrato, incluida la prestacién de un servicio, se supedita al consentimiento al tratamiento de datos perso- nales que no son necesarios para la ejecucidn de dicho contrato. EI RGPD contempla algunas situaciones en las que el consentimiento, ademas de in- equivoco, ha de ser explicito: - Tratamiento de datos sensibles (art. 9.2.4). - Adopcién de decisiones automatizadas (art. 22.2.c). - Transferencias internacionales (art. 49.1.2). 2.4. Consentimiento de los menores de edad Conforme al RGPD, cuando se aplique el consentimiento para el tratamiento de sus datos personales para uno o varios fines especificos en relacién con la oferta directa de servicios de la sociedad de la informacién a nifios, el tratamiento de los datos personales de un nifio se considerara licito cuando tenga como minimo 16 afios. Si el niho es menor de 16 anos, tal tratamiento Gnicamente se consideraré licito si el consentimiento lo dio o autoriz6 el titular de la patria potestad o tutela sobre el nifio, y solo en la medida en que se dio 0 autoriz6. Los Estados miembros podran establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 afios. Lo sefialado en el parrafo anterior no afectard a las disposiciones generales del Dere- cho contractual de los Estados miembros, como las normas relativas a la validez, forma- cidn 0 efectos de los contratos en relacién con un nifio. Anivel del Estado espafiol, la LO 3/2018, en su articulo 7 establece que el tratamiento de los datos personales de un menor de edad Unicamente podra fundarse en su consenti- miento cuando sea mayor de catorce afios. Se exceptuan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebracién del acto 0 negocio juridico en cuyo contexto se recaba el consentimiento para el tratamiento. El tratamiento de los datos de los menores de catorce ajios, fundado en el consenti- miento, solo sera licito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela. El responsable del tratamiento hard esfuerzos razonables para verificar que el consen- timiento fue dado o autorizado por el titular de la patria potestad 0 tutela sobre el nifio, teniendo en cuenta la tecnologia disponible. 393394 2. 2. 5, Tratamientos especiales . Tratamiento de categorias especiales de datos personales Elarticulo 9.1 del RGPD prohibe: — Eltratamiento de datos personales que revelen el origen étnico o racial, las opinio- nes politicas, las convicclones religiosas 0 filosdficas, 0 la afiliacién sindical. - El tratamiento de datos genéticos, datos biométricos dirigidos a Identificar de ma- Nera unlvoca a una persona fisica, datos relativos a la salud o datos relativos a la vida sexual u orlentacién sexual de una persona fisica. Segtin el articulo 9.2 del RGPD, lo anterior no sera de aplicaci6n cuando concurra una de las circunstancias siguientes: a) Elinteresado dio su consentimiento explicito para el tratamiento de dichos datos personales con uno o més de los fines especificados, excepto cuando el Derecho de la Unién o de los Estados miembros establezca que la prohibicién del citado articulo 9.1 no puede ser levantada por el interesado. b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos especificos del responsable del tratamiento o del interesado en el ambito del Derecho laboral y de la seguridad y proteccién social, en la medida en que asi lo autorice el Derecho de la Uni6n o de los Estados miembros 0 un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantias adecua- das del respeto de los derechos fundamentales y de los intereses del interesado. El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona fisica, en el supuesto de que el interesado no esté capacitada, fisica o juridicamente, para dar su consentimiento. d) Eltratamiento es efectuado, en el Ambito de sus actividades legitimas y con las de- bidas garantias, por una fundacién, una asociacién o cualquier otro organismo sin &nimo de lucro, cuya finalidad sea politica, filosdfica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos 0a personas que mantengan contactos regulares con ellos en relacién con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados. e) El tratamiento se refiere a datos personales que el interesado ha hecho manifiesta- mente publicos. El tratamiento es necesarlo para la formulacién, el ejercicio o la defensa de recla- maciones o cuando los tribunales acttien en ejercicio de su funcién judicial. El tratamiento es necesario por razones de un interés publico esencial, sobre la base del Derecho de la Unidn o de los Estados miembros, que debe ser propor- cional al objetivo perseguido, respetar en lo esencial el derecho a la proteccion de datos y establecer medidas adecuadas y especificas para proteger los intereses y derechos fundamentales del interesado. gh) Eltratamiento es necesario para fines de medicina preventiva o laboral, evaluacion de la capacidad laboral del trabajador, diagnéstico médico, prestacién de asisten- cia o tratamiento de tipo sanitario o social, o gestidn de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unién o de los Estados miembros 0 en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantias contempladas en el articulo 9.3 del RGPD, i) Eltratamiento es necesario por razones de interés publico en el Ambito de la salud publica, como la proteccién frente a amenazas transfronterizas graves para la sa- lud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos 0 productos sanitarios, sobre la base del Derecho de la Unién o de los Estados miembros que establezca medidas adecuadas y es- pecificas para proteger los derechos y libertades del interesado, en particular el secreto profesional. j) El tratamiento es necesario con fines de archivo en interés pUblico, fines de inves- tigaci6n cientifica o histérica o fines estadisticos, sobre la base del Derecho de la Unién o de los Estados miembros, que debe ser proporcional al objetivo persegui- do, respetar en lo esencial el derecho a la proteccién de datos y establecer medi- das adecuadas y especificas para proteger los intereses y derechos fundamentales del interesado, En virtud del articulo 9 de la LO 3/2018, a los efectos del articulo 9.2.4) del RGPD, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastara para levantar la prohibicién del tratamiento de datos cuya finalidad principal sea identificar su ideologia, afiliacion sindical, religidn, orientacidn sexual, creencias u origen racial 0 étnico. Lo dispuesto en el parrafo anterior no impedird el tratamiento de dichos datos al am- paro de los restantes supuestos contemplados en el citado articulo 9.2 del RGPD cuando asi proceda. Los tratamientos de datos contemplados en las letras g), h) ei) del articulo 9.2 del RGPD fundados en el Derecho espariol deberan estar amparados en una norma con rango de ley, que podra establecer requisitos adicionales relativos a su seguridad y confidencialidad. En particular, dicha norma podré amparar el tratamiento de datos en el ambito de la salud cuando asi lo exlja la gestién de los sistemas y servicios de asistencia sanitaria y social, pu- blica y privada, o la ejecucién de un contrato de seguro del que el afectado sea parte. Seguin el articulo 9.3 del RGPD, los datos personales a que se refiere el articulo 9.1 Podrdn tratarse a los fines citados en la letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligacidn de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unidn o de los Estados miembros o con las normas esta- blecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligacién de secreto de acuerdo con el Derecho de la Unién o de los Esta- dos miembros o de las normas establecidas por los organismos nacionales competentes. Los Estados miembros podrén mantener o introducir condiciones adicionales, inclu- sive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos 0 datos relativos a la salud. 395396 2.5.2. Tratamiento de datos personales relativos a condenas e infracciones penales El tratamiento de datos personales relativos a condenas e infracciones penales o me- didas de seguridad conexas sobre la base del articulo referido a la licitud del tratamiento, solo podra llevarse a cabo bajo la supervision de las autoridades publicas o cuando lo autorice el Derecho de la Unién o de los Estados miembros que establezca garantias ade- cuadas para los derechos y libertades de los interesados. Seguin el articulo 10.1 dela LO 3/2018, el tratamiento de datos personales relativos a con- denas e infracciones penales, as{como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevencién, investigacién, deteccién o enjuiciamiento de infracciones penales o de ejecucién de sanciones penales, solo podrd llevarse a cabo cuan- dose encuentre amparado en una norma de Derecho de la Unién, en esta ley orgdnica 3/2018 o en otras normas de rango legal. Solo podré llevarse un registro completo de condenas penales bajo el control de las autoridades publicas. El registro completo de los datos referidos a condenas e infracciones penales, asf comoa procedimientos y medidas cautelares y de seguridad conexas a que se refiere el articulo 10 del RGPD, podré realizarse conforme con lo establecido en la regulacién del Sistema de registros administrativos de apoyo a la Administracién de Justicia. Fuera de los supuestos sefialados en los pdrrafos anteriores, los tratamientos de datos referidos acondenas e infracciones penales, asi como a procedimientos y medidas cautelares y de seguri- dad conexas solo serdn posibles cuando sean llevados a cabo por abogados y procuradores y ten- gan por objeto recoger la informacién facilitada por sus clientes para el ejercicio de sus funciones. 2.5.3. Tratamiento que no requiere identificacién Silos fines para los cuales un responsable trata datos personales no requleren o yano Tequieren la identificacién de un interesado por el responsable, este no estaré obligadoa mantener, obtener o tratar informacién adicional con vistas a identificar al interesado con la Unica finalidad de cumplir el RGPD. Cuando, en los casos a que se refiere el parrafo anterior, el responsable sea capaz de demostrar que no esté en condiciones de identificar al interesado, le informara en con- secuencia, de ser posible, En tales casos no se aplicardn los articulos 15 a 20 del RGPD, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos articulos, facilite informacién adicional que permita su identificacion. 3. Derechos de las personas EI RGPD actualiza y refuerza los derechos de los ciudadanos sobre su informacién personal, cambia la forma en que las organizaciones gestionan la proteccién de datos, debiendo adoptar medidas conscientes, diligentes y proactivas.EI Capitulo 3 del RGPD trata de los derechos del Interesado. Concretamente se men- clonan los siguientes: - Derecho de informacién. - Derecho de acceso del interesado. - Derecho de rectificaci6n. - Derecho de supresién (derecho al olvido). = Derecho ala limitacién del tratamiento. = Derecho a la portabilidad de los datos. - Derecho de oposicién. - Derecho a no ser objeto de decisiones individuales automatizadas. 3.1. Derecho de informacion Cuando se recaben datos de cardcter personal el responsable del tratamiento debe facilitar al interesado determinada informacién al respecto en aras de la transparencia en el tratamiento de sus datos personales. EI RGPD regula este derecho distinguiendo entre la informacién que se debe facilitar al Interesado dependiendo de si los datos personales se han obtenido directamente de élo no. El responsable del tratamiento tomar las medidas oportunas para facilitar al intere- sado toda informaci6n indicada en los epigrafes A y B de este apartado, asi como cual- quier comunicaci6n con arreglo a los derechos citados relativa al tratamiento, en forma concisa, transparente, inteligible y de facil acceso, con un lenguaje claro y sencillo, en particular cualquier informacién dirigida especificamente a un nifio. La informacién sera facilitada por escrito o por otros medios, inclusive, si procede, por medios electrénicos. Cuando lo solicite el interesado, la Informacién podra facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios. El responsable del tratamiento facilitard al interesado el ejercicio de sus derechos, tal como veremos en los subapartados siguientes que los desarrollan. En los casos a que se refiere el segundo pdrrafo del apartado 2.5.3., el responsable no se negaré a actuar a peticién del interesado con el fin de ejercer sus derechos, salvo que pueda demostrar que no esta en condiciones de identificar al interesado. El responsable del tratamiento facilitara al interesado informacidn relativa a sus ac- tuaciones sobre la base de una solicitud con arreglo a los derechos que desarrollaremos seguidamente, y, en cualquier caso, sin dilacién indebida, en el plazo de un mes a partir de la recepcidn de la solicitud. Dicho plazo podra prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el numero de solicitudes. El responsable informaré al interesado de cualquiera de dichas prorrogas en el plazo de un mes a partir de la recepcién de la solicitud, indicando los motivos de la dilacion. 397398 Cuando el interesado presente la solicitud por medios electrénicos, la informacién se facilitard por medios electrénicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informa- rd sin dilaclén, y a mas tardar transcurrido un mes de la recepcién de la solicitud, de las razones de su no actuacién y de la posibilidad de presentar una reclamacién ante una autoridad de control y de ejercitar acciones judiciales. La informacién facilitada en virtud de los derechos que tratamos en este apartado serd a titulo gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su cardcter repetitivo, el responsable del tratamiento podra: a) Cobrar un canon razonable en funcién de los costes administrativos afrontados para facilitar la informacion o la comunicaci6n o realizar la actuaci6n solicitada. b) Negarse a actuar respecto de la solicitud. Elresponsable del tratamiento soportard la carga de demostrar el cardcter manifiesta- mente infundado o excesivo de la solicitud. Cuando el responsable del tratamiento tenga dudas razonables en relacién con la identidad de la persona fisica que cursa la solicitud a que se refieren los subapartados 4.2, 4.7. podra solicitar que se facilite la informacién adicional necesaria para confirmar la identidad del interesado. A) Informacién que deberd facilitarse cuando los datos personales se obtengan del interesado (art. 13 del RGPD) Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, previamente a la recogida o registro de los mismos, le facllitara toda la informaclén indicada a continuacién: a) Laidentidad y los datos de contacto del responsable y, en su caso, de su representante. b) Los datos de contacto del delegado de proteccidn de datos, en su caso. ©) Los fines del tratamiento a que se destinan los datos personales y la base Juridica del tratamiento. d) Cuando el tratamiento se base en el articulo 6, apartado 1, letra f), los intereses legitimos del responsable o de un tercero; [el tratamiento es necesario para la satis- faccién de intereses legitimos perseguidos por el responsable del tratamiento 0 porun tercero, siempre que sobre dichos intereses no prevalezcan los intereses 0 los derechos y libertades fundamentales del interesado que requieran la proteccién de datos perso- nales, en particular cuando el interesado sea un nifio). e) Los destinatarios o las categorias de destinatarios de los datos personales, en su ca50-f) En su caso, la intencién del responsable de transferir datos personales a un tercer pals u organizaci6n internacional y la existencia o ausencla de una decision de adecuaci6n de la Comisién, 0, en el caso de las transferencias indicadas en los ar- ticulos del RGPD 46 0 47 o el articulo 49, apartado 1, parrafo segundo, referencia a las garantias adecuadas o apropiadas y a los medios para obtener una copia de estas 0 al lugar en que se hayan puesto a disposicién. Ademés de la citada informacién, el responsable del tratamiento facilitaré al intere- sado, en el momento en que se obtengan los datos personales, la siguiente informacion necesarla para garantizar un tratamiento de datos leal y transparente: a) El plazo durante el cual se conservardn los datos personales 0, cuando no sea po- sible, los criterios utilizados para determinar este plazo. b) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificacién o supresi6n, o Ia limi- tacién de su tratamiento, 0 a oponerse al tratamiento, asf como el derecho a la portabilidad de los datos. ¢) Cuando el tratamiento esté basado en el articulo 6, apartado 1, letra a) (el intere- sado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines especlficos), o el articulo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. d) El derecho a presentar una reclamacién ante una autoridad de control. e) Sila comunicacién de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado esta obligado a facilitar los datos personales y esta informado de las posibles consecuencias de no facilitar tales datos. f) La existencia de decisiones automatizadas, incluida la elaboracién de perfiles, y, al menos en tales casos, informacién significativa sobre la légica aplicada, asi como la Importancla y las consecuencias previstas de dicho tratamiento para el interesado. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos per- sonales para un fin que no sea aquel para el que se recogieron, proporcionara al inte- resado, con anterioridad a dicho tratamiento ulterior, informacién sobre ese otro fin y cualquier informacién adicional pertinente. Las disposiciones de este epigrafe A) no serdn aplicables cuando y en la medida en que el interesado ya disponga de la informacién. En relacién con la informacion a facilitar cuando los datos personales se hayan obte- nido del interesado, el articulo 11 (puntos 1 y 2) de la LO 3/2018, establece que el respon- sable del tratamiento podré dar cumplimiento al deber de informacién establecido en el articulo 13 del RGPD facilitando al afectado la informacién basica e indicéndole una direccién electrénica u otro medio que permita acceder de forma sencilla e inmediata a la restante informacién. 399La informacién basica a la que se refiere el parrafo anterior deberd contener, al menos: a) Laidentidad del responsable del tratamiento y de su representante, en su caso, b) La finalidad del tratamiento. ¢) La posibilidad de ejercer los derechos establecidos en los articulos 15 a 22 del RGPD, antes relacionados. Si los datos obtenidos del afectado fueran a ser tratados para la elaboracién de perfiles, lainformacién basica comprenderd asimismo esta circunstancia. En este caso, el afectado de- beré ser informado de su derecho a oponerse a la adopcidn de decisiones individuales auto- matizadas que produzcan efectos Juridicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el articulo 22 del RGPD, B) Informacion que deberd facilitarse cuando los datos personales no se hayan obtenido del interesado (art. 14 del RGPD) Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento le facilitara la siguiente informacion: a) Laidentidad ylos datos de contacto del responsable y, en su caso, de su representante. b) Los datos de contacto del delegado de proteccién de datos, en su caso. ) Los fines del tratamiento a que se destinan los datos personales, asi como la base juridica del tratamiento. d) Las categorias de datos personales de que se trate. ) Los destinatarios 0 las categorias de destinatarios de los datos personales, en su caso, f) En su caso, la intencién del responsable de transferir datos personales a un des- tinatario en un tercer pais u organizacién internacional y la existencia o ausencla de una decisién de adecuacién de la Comisién, 0, en el caso de las transferencias indicadas en los articulos del RGPD 46 0 47 0 el articulo 49, apartado 1, parrafo segundo, referencia a las garantias adecuadas 0 apropiadas y a los medios para obtener una copia de estas 0 al lugar en que se hayan puesto a disposicion. ‘Ademés de la informacién anterior, el responsable del tratamiento facilitara al inte- resado la siguiente informacién necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado: a) El plazo durante el cual se conservaran los datos personales 0, cuando eso no sea posible, los criterios utilizados para determinar este plazo. b) Cuando el tratamiento es necesario para la satisfaccién de intereses legitimos perse- guidos por el responsable del tratamiento o por un tercero: los intereses legitimos del responsable del tratamiento o de un tercero. ¢) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificaci6n o supresion, 0 Ia limi- tacién de su tratamiento, y a oponerse al tratamiento, asf como el derecho a la portabilidad de los datos,d) Cuando el tratamiento esté basado en que el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines especlficos: la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada. e) El derecho a presentar una reclamacién ante una autoridad de control. f) La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso publico. g) La existencia de decisiones automatizadas, incluida la elaboracion de perfiles, y, al menos en tales casos, informacidn significativa sobre la légica aplicada, asi como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. El responsable del tratamiento facilitard la informacion indicada en los parrafos ante- riores de este epigrafe 8): a) Dentro de un plazo razonable, una vez obtenidos los datos personales, y a mas tardar dentro de un mes (en lugar de los 3 meses que sefalaba la LO 15/1999), habida cuenta de las circunstancias especificas en las que se traten dichos datos. b) Silos datos personales han de utilizarse para comunicacién con el interesado, a mas tardar en el momento de la primera comunicacidn a dicho interesado. ) Siesta previsto comunicarlos a otro destinatario, a mas tardar en el momento en que los datos personales sean comunicados por primera vez. Esta obligacién de informar se debe cumplir sin necesidad de requerimiento alguno, y el responsable deberd poder acreditar con posterioridad que ha sido satisfecha. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionara al in- teresado, antes de dicho tratamiento ulterior, informacién sobre ese otro fin y cualquier Otra informacién pertinente indicada en el segundo grupo de este epigrafe. Las disposiciones de este epigrafe B) no seran aplicables cuando y en la medida en que: a) El interesado ya disponga de la informacion. b) La comunicacién de dicha informacién resulte imposible o suponga un esfuer- 20 desproporcionado, en particular para el tratamiento con fines de archivo en interés publico, fines de investigacién cientifica 0 histérica o fines estadisticos, a reserva de las condiciones y garantias indicadas en el articulo 89, apartado 1 del RGPD, 0 en la medida en que la obligacién mencionada en el primer grupo de este epigrafe pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptara medidas adecuadas Para proteger los derechos, libertades e intereses legitimos del interesado, inclusi- ve haciendo publica la informacion. ¢) La obtencién o la comunicacién esté expresamente establecida por el Derecho de la Unién o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legitimos del interesado. 401402 d) Cuando los datos personales deban seguir teniendo cardcter confidencial sobre la base de una obligacién de secreto profesional regulada por el Derecho de la Union ode los Estados miembros, incluida una obligacién de secreto de naturaleza legal. En relaci6n con la Informacién que habrd de solicitarse cuando los datos personales no hubieran sido obtenidos del afectado, el articulo 11.3 de la LO 3/2018 dispone que, el responsable podra dar cumplimiento al deber de informacién establecido en el articulo 14 del RGPD facilitando a aquel la informacién basica sefialada en los puntos 1 y 2 del articulo 11 (citados en el epigrafe A), Indicandole una direccidn electronica u otro medio que permita acceder de forma sencilla e inmediata a la restante informacion. En estos supuestos, la informacién basica incluird también: a) Las categorias de datos objeto de tratamiento. b) Las fuentes de las que procedieran los datos. Q Transparencia La informacién que deberd facilitarse a los interesados en virtud de los epigrafes A y B de este apartado podra transmitirse en combinacidn con iconos normalizados que permitan proporcionar de forma facilmente visible, inteligible y claramente legible una adecuada vision de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrénico seran legibles mecénicamente. La Comisi6n estar facultada para adoptar actos delegados a fin de especificar la in- formacion que se ha de presentar a través de iconos y los procedimientos para propor- cionar iconos normalizados. El Titulo Ill de la LO 3/2018, dedicado a los derechos de las personas, adapta al Dere- cho espanol el principio de transparencia en el tratamiento del regiamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento y recoge la denominada «informacién por capas» ya generalmente aceptada en dmbitos como el de la videovigilancia 0 la instalacion de dispositivos de almacenamiento masivo de datos {tales como las cookies), facilitando al afectado la informacion basica, si bien, indicandole una direccién electronica u otro medio que permita acceder de forma sencilla e inmedia- taa la restante informacion. 3.2. Derecho de acceso del interesado El articulo 15.1 del RGPD dispone que el interesado tendré derecho a obtener del responsable del tratamiento confirmacién de si se estan tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente informacién: a) Los fines del tratamiento. b) Las categorlas de datos personales de que se trate.c) Los destinatarios o las categorias de destinatarios a los que se comunicaron o se- ran comunicados los datos personales, en particular destinatarios en terceros pai- ses u organizaciones internacionales. d) De ser posible, el plazo previsto de conservacién de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo. e) La existencia del derecho a solicitar del responsable la rectificaci6n o supresi6n de datos personales o la limitacién del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento. f) El derecho a presentar una reclamacién ante una autoridad de control. g) Cuando los datos personales no se hayan obtenido del interesado, cualquier infor- macién disponible sobre su origen. h) La existencia de decisiones automatizadas, incluida la elaboracion de perfiles, y, al menos en tales casos, informacién significativa sobre la ldgica aplicada, asf como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. Cuando se transfieran datos personales a un tercer pals 0 a una organizacién interna- cional, el interesado tendré derecho a ser informado de las garantias adecuadas en virtud del articulo 46 del RGPD relativas a la transferencia. El responsable del tratamiento facilitara una copia de los datos personales objeto de tratamiento. Cuando el interesado presente la solicitud por medios electrénicos, y a me- nos que este solicite que se facilite de otro modo, la informacién se facilitaré en un forma- to electronico de uso comin. El derecho a obtener copia no afectard negativamente a los derechos y libertades de otros. Respecto al derecho de acceso, el articulo 13 de la LO 3/2018 afade las siguientes consideraciones: - Cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podra solicitarle, antes de facilitar la informacidn, que el afectado especifique los datos 0 actividades de tratamiento a los que se refiere la solicitud. - Elderecho de acceso se entendera otorgado s/ el responsable del tratamiento faci- litara al afectado un sistema de acceso remoto, directo y seguro a los datos perso- nales que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicacién por el responsable al afectado del modo en que este podra ac- ceder a dicho sistema bastard para tener por atendida la solicitud de ejercicio del derecho. No obstante, el interesado podrd solicitar del responsable la informacion referida a los extremos previstos en el articulo 15.1 del RGPD que no se incluyese en el sistema de acceso remoto. 403