Dossier

Manual de las principales

novedades del Reglamento Europeo
de Protección de Datos
1 DE MARZO DE 2018

comunicacion.es.thomsonreuters.info/AranzadiFusion
 Oh
happy
ley!
haz que tu trabajo sea mucho más cómodo, ágil y rentable
LA PRIMERA PLATAFORMA DIGITAL QUE RECOGE TODA LA INFORMACIÓN JURÍDICA DE
TU DESPACHO Y QUE, ADEMÁS, TE AYUDA A GESTIONARLO:

TE PERMITE AHORRAS TE AYUDA

controlar y gestionar todos el 50% del tiempo dedicado a en la gestión económica
los expedientes. la gestión de flujos de trabajo. de tu despacho.

TE AVISA PUEDES DISFRUTAS

de plazos, señalamientos y presentar escritos vía de ofertas y beneficios exclusivos
vencimientos y los vincula con telemática a través de LexNet. con el Club Aranzadi Fusión.
expediente.

UNA PLATAFORMA ONLINE COMPLETA, SENCILLA, CON RESPUESTAS

GLOBALES Y ACCESIBLE DESDE CUALQUIER DISPOSITIVO Y LUGAR.

i ¡Que
T. 900 40 40 47
tengas
www.thomsonreuters.es/es/tienda.html

unMÁS INFORMACIÓN
buen día!
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS

SUMARIO
INTRODUCCIÓN ................................................................................................................................. 4
ANÁLISIS .............................................................................................................................................. 7
El Reglamento Europeo y la futura
Ley General de Protección de Datos:
sus principales novedades ............................................................................................................. 7
Implementando el nuevo Reglamento General Europeo de Protección de Datos .................. 13
LESGISLACIÓN .................................................................................................................................. 16
Reglamento Europeo de Protección de
Datos Reglamento 2016/679/UE, de 27 de abril. LCEur 2016\605 ......................................... 16
Proyecto de Ley Orgánica de Protección
de Datos de Carácter Personal ..................................................................................................... 16
Ley de Protección de Datos 1999. Ley Orgánica 15/1999, de 13 de diciembre.
RCL 1999\3058 ............................................................................................................................. 16
TABLAS ............................................................................................................................................... 16
Tabla de equivalencias sumarios protección de datos .............................................................. 16
Tabla analítica de novedades ...................................................................................................... 22
PREGUNTAS CON RESPUESTA ........................................................................................................ 27
Dossier
Manual de las principales novedades del
Reglamento Europeo de Protección de Datos

A
Aunque entró en vigor el 25 de mayo de 2016, el próximo 25 de mayo comienza a ser directa y
efectivamente aplicable el Reglamento Europeo de Protección de Datos. Este desfase temporal
tenía como objetivo permitir que los Estados y las Instituciones de la Unión Europea y también
las organizaciones que tratan datos personales fueran, preparándose y adaptándose a dicho
momento.
En esta línea, y con el fin de adaptar la normativa española a las previsiones del citado Reglamento,
el pasado 10 de noviembre el Gobierno aprobó el Proyecto de Ley Orgánica de Protección de Datos
de Carácter Personal. El texto se encuentra actualmente en fase de presentación de enmiendas al
articulado, tras superar una enmienda a la totalidad. No obstante, por varias circunstancias existen
dudas razonables de que la norma nacional consiga estar aprobada para el próximo 25 de mayo, aunque
ello no es obstáculo para la aplicación e invocación directa del Reglamento Europeo.
Novedades, principios y directrices
Este dossier, elaborado por Thomson Reuters, le permitirá conocer cuáles son las principales novedades
reguladas en el Reglamento Europeo, así como los principios y directrices que están informando la
tramitación parlamentaria de la futura Ley Orgánica.
Destacamos como principales novedades las siguientes:
·D
 erecho al olvido y derecho a la portabilidad: ambos mejoran la capacidad de decisión y
control de los ciudadanos sobre los datos personales que confían a terceros. El derecho al olvido
supone que los interesados puedan solicitar respecto a los datos que a ellos se refieran y resulten
obsoletos, incompletos, falsos, irrelevantes y sin interés público, el bloqueo de los resultados de los
buscadores en Internet. Por su parte, el derecho a la portabilidad implica que el interesado puede
solicitar a la entidad que esté tratando sus datos, su recuperación en un formato que permita su
traslado a otra entidad, incluso de forma directa. Pensemos en los sistemas de computación en
nube o cloud computing.
·E
 l principio de responsabilidad activa (accountability), que viene a imponer al responsable y al
encargado del tratamiento estar en condiciones de demostrar que cumple con las previsiones
normativas en materia de protección de datos de carácter personal.
·Y
 por último, el consentimiento para tratar datos personales que, con carácter general, debe ser
libre, informado, específico e inequívoco. Además, debe prestarse mediante una acción positiva del
interesado, es decir, no será válido el consentimiento tácito.
La transformación digital, una necesidad para los despachos de abogados
La incorporación a nuestro marco normativo de la legislación comunitaria requiere contar con
herramientas que nos permitan integrarla en estrategias exitosas. Solo aquellos despachos que hayan
avanzado en su transformación digital tendrán una ventaja competitiva sobre el resto ya que serán más
eficientes en sus procesos.
DOSSIER | 5

MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO

EUROPEO DE PROTECCIÓN DE DATOS

Con Aranzadi Fusión, la solución integral de Thomson Reuters, podrás conocer al instante los cambios
legislativos que afectan a tus expedientes. Entre otras herramientas, Aranzadi Fusión ofrece un sistema
de avisos de las novedades legislativas que afectan a los documentos asociados a los expedientes
sobre los que el abogado está trabajando, lo que le permite mantener sus expedientes completamente
actualizados a la legislación vigente. Ninguna modificación pasará desapercibida con Aranzadi Fusión.
Por tanto, la transformación digital, que toma cuerpo en las herramientas jurídicas de nueva generación,
se ha convertido en una necesidad para los despachos de abogados. Thomson Reuters te ofrece de
forma gratuita un vídeo formativo, en el que cuatro expertos en la materia debaten sobre dónde se
encuentran y a dónde deben llegar los despachos de abogados en materia de transformación digital y
te ofrecen las claves para definir una estrategia jurídica exitosa.

ACCEDA AL VIDEO
 15% AHORRO
HASTA EL 31/03/2018

III CONGRESO INTERNACIONAL

C OMPLIANC E III INTERNATIONAL CONGRESS

31 MAYO - 1 JUNIO 2018
MAY 31 - JUNE 1 2018

DIRECTOR
Alain Casanovas Ysla
Abogado, socio responsable de servicios
de Compliance en KPMG abogados

El futuro
del Compliance

https://congresocompliance.com
T. 900 40 40 47 | masinfo@thomsonreuters.com
ANÁLISIS
El Reglamento Europeo y la futura
Ley General de Protección de Datos:
sus principales novedades
Javier Álvarez Hernando
Abogado. Delegado de Protección de Datos

E
CAMBIO DE PARADIGMA EN LA REGULACIÓN DE PROTECCIÓN
DE DATOS A PARTIR DE MAYO DE 2018
El Diario Oficial de la Unión Euro-
pea publicó el 4 de mayo de 2016
el esperado «Reglamento (UE)
2016/679 del Parlamento Europeo
y del Consejo de 27 de abril de 2016
relativo a la protección de las perso-
nas físicas en lo que respecta al tra-
tamiento de datos personales y a la
libre circulación de estos datos y por
el que se deroga la Directiva 95/46/
CE (Reglamento general de protec-
ción de datos, en adelante RGPD)».
dose a lo que se refiere a: nuevo instrumento, parece preten-
der evitar, fundamentalmente, que
-
la definición de conceptos (no se continúen produciendo obstácu-
siempre claros en el RGPD); los para el mercado interior de la
UE, lo que dificulta el ejercicio de
- la determinación de las condicio- actividades económicas a escala
nes del tratamiento, y comunitaria que está provocando, a
priori, un falseamiento de la compe-
- la ejecución de las habilitaciones tencia. En menor medida, también
expresas contempladas en el el Reglamento pretende salvaguar-
Reglamento. dar el derecho a la protección de da-
tos de los europeos.2

Si bien entró en vigor a los veinte
días de su publicación en el Diario
Oficial de la UE se establece que
será aplicable a partir del 25 de
mayo de 2018, según señala el artí-
culo 99 del RGPD.1 Por tanto, hasta
esta fecha son de aplicación la Ley
Orgánica 15/1999, de 13 de diciem-
bre, de Protección de Datos (LOPD)
y la Directiva 95/46/CE.
Cabe añadirse, que el legislador
español modificará la LOPD (actual-
mente en fase de proyecto de ley,
aunque es probable que no llegue
antes del 25 de mayo) y su Regla-
mento de desarrollo RD 1720/2007
y los adaptará a las previsiones del
Reglamento Europeo durante ese
periodo transitorio, si bien limitán-
En síntesis, puede decirse que el
RGPD propone un cambio impor-
tante de modelo de protección
de datos en Europa basado en
criterios como la responsabilidad
activa (accountability), la flexibili-
dad, la importancia del contexto
en los tratamientos de datos y la
cooperación entre autoridades
con competencia en esta materia
Llama la atención que el RGPD con-
tiene un extenso apartado dedicado
a los «considerandos» (concreta-
mente 173), que vienen a aclarar,
motivar y justificar, en gran medida,
los artículos que figuran acto segui-
do en la norma europea.
El legislador europeo, con este
Novedades de la nueva regula-
ción
El REPD y el Proyecto de LOPD in-
troducen novedades importantes
que resumimos en los puntos si-
guientes:
1. Derecho fundamental de ca-
rácter no absoluto. Partimos de la
consideración de que la protección
de datos es considerada como un
derecho fundamental que ostentan
exclusivamente, las personas físicas,
que busca proteger los datos perso-
nales que les conciernen frente a in-
tromisiones o violaciones ilegítimas
de su intimidad o privacidad. En el
nuevo RGPD se trata la protección
de datos directamente como un de-

1. L os Reglamentos de la UE tienen un alcance general y son de obligatoria y directa aplicación en todos los Estados Miembros, es decir no necesitan ni admiten transposición,
aunque sí en su caso, desarrollo (artículo 288 del Tratado de Funcionamiento de la UE).
2. El Considerando (9) reconoce que, a pesar de la Directiva 95/46/CE, la protección de datos en la UE se está aplicando de manera fragmentada, existe inseguridad jurídica y una
percepción generalizada en la opinión pública de que existen riesgos para la protección de datos sobre todo en Internet. Todo ello puede suponer un obstáculo para la actividad
económica en la UE, falsear la competencia e impedir que las autoridades persigan los incumplimientos en materia de protección de datos debido a las divergencias en la aplica-
ción de la Directiva 95/46/CE.
3. Ee reconoce en el Considerando (1) del Reglamento Europeo que la protección de datos personales es un derecho fundamental. En este sentido, el art. 8.1 de la Carta de Derechos
Fundamentales de la UE y el art. 16.1 del Tratado de Funcionamiento de la UE (TFUE) establecen que toda persona tiene derecho a la protección de los datos que le conciernan.
El derecho a la protección de datos no es un derecho absoluto tal y como reconoce expresamente el Considerando (4), sino que debe entenderse en relación con su función en la
sociedad y mantener el equilibrio con otros derechos fundamentales, atendiendo al principio de proporcionalidad.
DOSSIER | 8 ANÁLISIS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS

recho fundamental de carácter no
absoluto. Se positiviza un derecho
que es de construcción jurispruden-
cial por nuestro Tribunal Constitu-
cional.3
2. El objeto y el ámbito de aplica-
ción material del nuevo instrumen-
to europeo son los mismos que se
recogen en la Directiva 95/46/CE.
El art. 1 del RGPD se refiere a que
éste establece las normas relativas a
la protección de las personas físicas
en lo que respecta al tratamiento de
los datos personales y las normas
relativas a la libre circulación de
tales datos; y protege los derechos
y libertades fundamentales de las
personas físicas y, en particular, su
derecho a la protección de los datos
personales.
Por su parte, el artículo 2.1 se re-
fiere al ámbito de aplicación mate-
rial indicando que el RGPD se aplica
al tratamiento total o parcialmente
automatizado de datos, así como al
tratamiento no automatizado de da-
tos personales contenidos o destina-
dos a ser incluidos en un fichero.
Se excluye del ámbito de aplica-
ción del RGPD los tratamientos de
datos policiales y judiciales, a dife-
rencia de lo que ocurría en la Direc-
tiva 95/46/CE, que no decía nada al
respecto. En todo caso, en España,
la actual LOPD (y el nuevo Proyecto
de LOPD) también contempla estos
tratamientos de datos, no estando
excluida en el artículo 2 de la LOPD,
salvo terrorismo y delincuencia or-
ganizada.  formación (sitios web, blogs, redes
3. Ámbito de aplicación territorial.
El Reglamento, según su artículo 3,
es de aplicación tanto a entidades
establecidas en la UE como a aque-
llas empresas que realicen trata-
miento de datos que deriven de la
oferta de bienes y servicios destina-
dos a ciudadanos europeos, o bien
como consecuencia de la monito-
rización o seguimiento de su com-
portamiento. Estas organizaciones
deben designar un representante en
la UE e informar de ello a los ciuda-
danos.
Esto supone una importante no-
vedad que hará que las grandes
multinacionales de Internet deban
ajustarse a las previsiones de la nor-
mativa europea, ya que su target so-
mos los europeos y nuestros datos
personales.
4. Datos de fallecidos. El RGPD se
refiere, al tratar su ámbito de apli-
cación, a las personas fallecidas
indicando en su Considerando 27
que: «El Reglamento no se aplica
a la protección de datos personales
de personas fallecidas. Los Estados
miembros son competentes para
establecer normas relativas al tra-
tamiento de los datos personales de
estas».
Por su parte, en el Proyecto de
reforma de la LOPD regula, en su
artículo 3, el acceso a los datos de
personas fallecidas por parte de sus
herederos teniendo en cuenta las
instrucciones aportadas por aque-
llas. En línea similar se pronuncia
el Proyecto de LOPD (Disp. Adic.
7ª) respecto del acceso a los conte-
nidos de personas fallecidas que se
encuentren en poder de prestadores
de servicios de la sociedad de la in-
sociales…).
5. Tratamiento de datos de con-
tacto y de empresarios indivi-
duales.  Hasta la entrada en vigor
del RGPD, los datos de contacto de
personas jurídicas en determinadas
circunstancias, se les excluía del
ámbito de aplicación de la LOPD,
cuestión que parece cambiar con el
Reglamento Europeo que no hace
mención alguna a exclusiones para
este tipo de datos, si bien el trata-
miento de estos datos encontrará
su legitimación en la regla de pon-
deración de intereses del artículo
6.1 f) del RGPD, según establece el
Proyecto de reforma de la LOPD, en
su artículo 12, siempre que se traten
los mínimos datos imprescindibles
de contacto, y se realice con fines
de mantenimiento de relaciones de
cualquier tipo.
6. Bases jurídicas que legitiman el
tratamiento de datos.
El RGPD mantiene los principios
ya recogidos tanto en la Directiva
95/46/CE, como en la LOPD, con-
sistente en que todo tratamiento de
datos personales exige una base ju-
rídica que lo legitime, a saber (artí-
culo 6 RGPD):
- Consentimiento de afectado
- Existencia de una relación
contractual.
- Existencia de un interés legítimo
prevalente del responsable o
de terceros a los que se ceden o
comunican los datos personales4.
- Justificado en una necesidad vital
del interesado.
- Cuando resulte una obligación
legal para el responsable del
tratamiento.
- Exista un interés público o se derive
del ejercicio de poderes públicos.
7. Consentimiento de afectado.
El Reglamento impone que el con-

4. A
 lgunos supuestos en los que se ha reconocido la existencia de interés legítimo para el tratamiento de datos personales son los siguientes: Procedencia de que los
centros educativos (no universitarios) puedan facilitar a los progenitores o tutores de los alumnos mayores de edad las calificaciones de aquellos, siempre que exista una obli-
gación de los progenitores de hacerse cargo de los gastos de educación e instrucción de sus hijos y que el acceso se limite únicamente a las calificaciones de aquellos (Informe
0441/2015 del Gabinete Jurídico de la AEPD); Se recurrió a la prevalencia de interés legítimo como fundamento suficiente del tratamiento y de la comunicación a terceros,
cuando la Ley General de Telecomunicaciones permitió que la publicación de las guías de telecomunicaciones y los servicios de información sobre el número de los abonados
se prestaran en un régimen de libre competencia. Para ello, era necesaria la cesión de datos entre los operadores de telecomunicaciones, con el inconveniente de que no existía
una norma con rango de Ley que habilitara tal cesión; La regla del equilibrio de derechos e intereses también se ha demostrado aplicable en el ámbito de la videovigilancia. La
AEPD, en su Informe 0156/2014, consideró que existía la legitimación en el supuesto de que por las Fuerzas y Cuerpos de Seguridad se facilite a unas entidades (adheridas a un
convenio) las imágenes relacionadas con atracos o tentativas de atraco producidas en sucursales bancarias, «a fin de conocer la forma de actuación de los delincuentes y tratar
de prevenir la comisión de nuevos delitos». La finalidad del intercambio de la información sería la prevención de futuros hechos ilícitos con peligro para las personas y los bienes
en las sedes de las entidades financieras de crédito asociadas.
DOSSIER | 9
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
sentimiento para tratar datos perso-
nales, con carácter general, sea libre,
informado, específico e inequívoco
(artículo 4.11 del RGPD). El consen-
timiento debe prestarse mediante
una acción positiva del interesado,
es decir, no será válido como hasta
ahora, el consentimiento tácito.
Por otro lado, para datos sensibles
(origen étnico, opiniones políticas,
salud, orientación sexual,) se requie-
re un «consentimiento explícito», es
decir, que la declaración se refiera
de forma explícita al consentimiento
y al tratamiento en cuestión.
Hay que tener presente que el con-
sentimiento obtenido debe ser verifi-
cable, es decir, que la entidad que lo
ha recogido esté en condiciones de
demostrar que la obtención del con-
sentimiento respetó las directrices
legales indicadas anteriormente.
8. El Reglamento Europeo configura,
por un lado, la información como un
derecho de los afectados, además de
diferenciar los derechos a la rectifi-
cación y la supresión (olvido), que
lo trata de una forma expresa. En el
RGPD el derecho de oposición forma
parte del derecho de supresión, y fi-
nalmente, se crean dos nuevos dere-
chos: el de limitación y el de portabi-
lidad (Capítulo III del RGPD).
El derecho al olvido (recogido en la
Sentencia del TJUE de 13 de mayo de
2014) supone, entre otros, que el in-
teresado pueda solicitar el bloqueo
de los resultados de los buscadores
en Internet que se refieran a ellos y
estas resulten obsoletas, incomple-
tas, falsas o irrelevantes y no tengan
un interés público.
Por su parte, el derecho a la portabi-
lidad implica que el interesado puede
solicitar a la entidad que esté tratando
sus datos de forma automatizada, su
recuperación en un formato que per-
mita su traslado a otra entidad res-
ponsable, incluso de forma directa.
Pensemos en los sistemas de compu-
tación en nube o cloud computing.
El Proyecto de reforma de la LOPD
dedica su Capítulo II al ejercicio de
derechos incorporando el derecho
de acceso (art. 13); el de rectificación
(art. 14); el de supresión (art. 15); de
limitación del tratamiento (art. 16); de
portabilidad (art. 17) y de oposición
(art. 18). Igualmente, se introduce la
obligación de bloqueo (art. 32) que
garantiza que esos datos queden a
disposición de un tribunal, el Minis-
terio Fiscal u otras autoridades com-
petentes (como la AEPD) para la exi-
gencia de posibles responsabilidades
derivadas de su tratamiento.
9. Se determina que la edad en que
los menores pueden consentir el
tratamiento de sus datos en Inter-
net, por ejemplo, en redes sociales,
es de 16 años. No obstante, el Pro-
yecto de LOPD (artículo 7) señala
que el tratamiento de datos perso-
nales de un menor de edad única-
mente podrá fundarse en su con-
sentimiento cuando sea mayor de
13 años. Actualmente en España es
necesario contar con 14 años, si bien
por debajo de esta edad se requie-
re el consentimiento de los padres
o tutores. En todo caso, las empre-
sas que recopilen estos datos deben
poder verificar dicha edad debiendo
redactar sus cláusulas de privacidad
en un lenguaje claro que puedan en-
tender los menores.
10. Principio de información y
transparencia. Ya hemos indicado,
que con el RGPD la información se
configura como un derecho de los in-
teresados, y encuentra su regulación
en sus artículos 12, 13 y 14. Pues bien,
se va a requerir que los responsa-
bles de tratamientos actualicen las
advertencias o políticas de privaci-
dad, ya que el RGPD impone la ne-
cesidad, entre otras, de explicar con
un lenguaje sencillo y claro, la base
legal para el tratamiento de los da-
tos, los periodos de retención de los
mismos, y que los interesados pue-
den reclamar ante las Autoridades
de Protección de Datos.
Asimismo, en el Proyecto de LOPD
se contiene un esquema de infor-
ANÁLISIS
mación por capas, en determina-
dos supuestos de obtención de da-
tos, debiendo el responsable remitir
a una dirección electrónica para ac-
ceder a la restante información que
se exige por el Reglamento.
11. Una de las grandes novedades
que presenta el Reglamento Euro-
peo es el “principio de responsa-
bilidad activa” (accountability),
que viene a imponer al responsable,
y al encargado del tratamiento, es-
tar en condiciones de demostrar que
cumple con las previsiones norma-
tivas en materia de protección de
datos de carácter personal. Según el
RGPD (Art. 28.1 y Considerando 81),
el responsable debe adoptar medi-
das apropiadas, incluida la elección
de encargados, de tal forma que
garantice y esté en condiciones de
probar que el tratamiento de datos
se está realizando conforme a lo que
establece el Reglamento Europeo.
Esta previsión se extiende igualmen-
te al encargado cuando subcontra-
ten servicios que impliquen acceso a
datos, con otros subencargados.
Con este objetivo de la responsabi-
lidad activa, se configuran una bate-
ría de medidas:
a. La protección de datos desde el
diseño (Privacy by Design) a fin
de asegurar que las garantías de
protección de los datos se incor-
poran ya en la temprana fase de
planificación de los procedimien-
tos y sistemas.
b. Protección de datos por defec-
to. La configuración predefinida
de los mecanismos de recogida
de datos personales sólo debe
recopilar aquellos datos que sean
estrictamente necesarios.
c. Medidas de seguridad específi-
cas, adecuadas al riesgo que ten-
ga la organización.
El art. 24.1 del REPD impone la obli-
gación de adoptar medidas técnicas y
organizativas adecuadas a la natura-
leza, el ámbito, el contexto y los fines
DOSSIER | 10
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
del tratamiento, así como los riesgos
de diversa índole y gravedad para los
derechos de las personas.
El artículo 32 del RGPD, determina
una serie de medidas que deben im-
plementarse como mínimo, “tenien-
do en cuenta el estado de la técnica,
los costes de aplicación, y la natura-
leza, el alcance, el contexto y los fines
del tratamiento, así como riesgos de
probabilidad y gravedad variables
para los derechos y libertades de las
personas físicas, el responsable y el
encargado del tratamiento aplica-
rán medidas técnicas y organizativas
apropiadas para garantizar un nivel
de seguridad adecuado al riesgo,
que en su caso incluya, entre otros:”
I. La seudonimización.
La seudonimización consiste en la
sustitución de un atributo (normal-
mente un atributo único) por otro
en un registro.
II. El cifrado de datos personales.
Cifrar es, en esencia, aplicar un
conjunto de técnicas que per-
miten asegurar que un mensaje
solo es entendible por el destina-
tario del mismo.
III. La capacidad de garantizar
la confidencialidad, integridad,
disponibilidad y resiliencia per-
manentes de los sistemas y ser-
vicios de tratamiento;
- Confidencialidad implica que la
información únicamente debe
ser accesible o divulgada a aque-
llos que están autorizados.
- La integridad supone que la
información debe permanecer
correcta (integridad de los da-
tos) y como el emisor la originó
(integridad de fuentes) sin que
quepa la manipulación por ter-
ceros.
- La disponibilidad implica que
la información debe estar per-
5. R
 esulta muy interesante, como punto de referencia, la Guía de la AEPD para una Evaluación del Impacto en la Protección de Datos Personales, de 29 de octubre de 2014 (que
será actualizada próximamente), además de la Guía Práctica de evaluación de impacto de la Autoritat Catalana de Protecció de Dades, de junio de 2017.
manentemente accesible para
aquellos que estén autorizados.
- La resiliencia (en inglés, resilien-
ce) en sistemas tecnológicos,
se define como la capacidad de
un sistema de soportar y recu-
perarse ante desastres y per-
turbaciones.
I V. La capacidad de restaurar la
disponibilidad y el acceso a los
datos personales de forma rápi-
da en caso de incidente físico o
técnico.
. Un proceso de verificación,
V de impacto sobre la protección
evaluación y valoración regula-
res de la eficacia de las medidas
técnicas y organizativas para
garantizar la seguridad del tra-
tamiento.
d. Mantenimiento de un registro de
actividades de tratamientos. El
RGPD, que se refiere a esta me-
dida expresamente en su artículo
30, señala que los responsables y
los encargados están obligados
(en los supuestos que indicare-
mos a continuación), a mantener
un registro de las actividades de
tratamiento que realicen.
La obligación de mantenimiento
del registro, según el apartado 5º
del citado artículo 30 del RGPD,
se impone en el caso de empresas
u organizaciones que se encuen-
tren en alguno de los supuestos
siguientes: Empleen más de 250
personas, a menos que:
- el tratamiento que realice pue-
da entrañar un riesgo para los
derechos y libertades de los
interesados y realicen trata-
mientos con datos que no sea
de forma ocasional;
- Si el tratamiento que se realiza
incluye categorías especiales
de datos personales.
ANÁLISIS
- Si el tratamiento que se realiza
incluye datos personales relati-
vos a condenas e infracciones
penales.
Por su parte, el artículo 31 del Pro-
yecto de reforma de la LOPD hace
mención al Registro de las actividades
de tratamiento, remitiendo, en gran
medida al contenido del RGPD ya in-
dicado, destacándose la obligación
del responsable de hacer público, por
medios electrónicos, un inventario de
sus actividades de tratamiento.
e. L a realización de evaluaciones
de datos (EIPD) –o por sus siglas
en inglés: Privacy Impact Analysis
(PIAC) o Privacy Impact Assess-
ment (PIA)– es, básicamente, un
ejercicio de análisis de los riesgos
que un determinado sistema de
información, producto o servicio
puede entrañar para el derecho
a la protección de datos de los
afectados cuyos datos se tratan
y, como consecuencia de ese aná-
lisis, la gestión de dichos riesgos
mediante la adopción de las me-
didas necesarias para eliminar o
mitigar en lo posible aquellos que
se hayan identificado5.
El Reglamento Europeo (RGPD)
contempla la realización de Evalua-
ciones de impacto en sus artículos
35 y 36. Se va a exigir la realización
de una evaluación de impacto en los
supuestos siguientes:
- Cuando un tratamiento vaya a
entrañar un alto riesgo para
los derechos y libertades de
las personas físicas, como por
ejemplo en la monitorización
del comportamiento o la pu-
blicidad basada en el mismo,
la elaboración de perfiles de
cualquier tipo, la verificación
de la idoneidad para determi-
nadas tareas, la evaluación de
la personalidad o de la situa-
ción financiera, laboral, social,
DOSSIER | 11
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
familiar, formación, gustos o
aficiones y las que impliquen el
tratamiento de datos especial-
mente protegidos.
- Cuando se realice una evalua-
ción sistemática y exhaustiva
de aspectos personales de
personas físicas que se base
en un tratamiento automati-
zado, como, por ejemplo, la
elaboración de perfiles, y sobre
cuya base se tomen decisiones
que produzcan efectos jurídicos
para las personas físicas o que
les afecten significativamente
de modo similar;
- Cuando se realice un trata-
miento a gran escala de las
categorías especiales de da-
tos (contemplados en el artícu-
lo 9, apartado 1 del RGPD), o de
los datos personales relativos a
condenas e infracciones pena-
les (a que se refiere el artículo
10 del RGPD). Recordamos que
las categorías especiales de da-
tos personales son las que reve-
len el origen étnico o racial, las
opiniones políticas, las convic-
ciones religiosas o filosóficas, o
la afiliación sindical, y el trata-
miento de datos genéticos, da-
tos biométricos dirigidos a iden-
tificar de manera unívoca a una
persona física, datos relativos a
la salud o vida sexual u orienta-
ción sexual.

El Considerando
(91) del RGPD aclara que el tra-
tamiento de datos personales
no debe considerarse a gran
escala si se realiza, respecto de
datos personales de pacientes
o clientes, un solo médico, otro
profesional de la salud o abo-
gado. En estos casos, la eva-
luación de impacto no debe ser
obligatoria.
- En supuestos de observación
sistemática a gran escala de
una zona de acceso públi-
co, como, por ejemplo, según
el Considerando (91) RGPD,
cuando se utilicen dispositivos
optoelectrónicos. Esta clase de
dispositivos permiten conver-
tir señales ópticas en señales
electrónicas, o viceversa. Sus
aplicaciones son muy extensas
y variadas, pero fundamental-
mente se aplican en circuitos
de comunicaciones, sistemas
de señalización, y productos de
consumo masivo, entre otros.
f. 
Nombramiento de un delegado
en protección de datos.
El Reglamento Europeo incorpo-
ra como otra gran novedad, en su
Sección 4.ª (artículos 37, 38 y 39) la
figura del delegado de protección
de datos, o DPO, por sus siglas en
inglés (Data Protection Officer).
El DPO, en el nuevo marco refor-
zado de cumplimiento basado en
la responsabilidad, es la persona
encargada informar a la entidad
responsable o al encargado del
tratamiento sobre sus obligaciones
legales en materia de protección de
datos, así como de velar o supervi-
sar el cumplimiento normativo al
respecto, y de cooperar con la au-
toridad de control y actuar como
punto de contacto entre ésta y la
entidad responsable del tratamien-
to de datos.
No siempre va a ser necesario
en una organización contar con un
DPO. El Reglamento señala deter-
minados supuestos en los que sí
será obligatorio:
- Cuando el tratamiento lo lleve
a cabo una entidad pública.
Se exceptúan los juzgados y tri-
bunales que actúen en ejercicio
de su función judicial.
- Entidades de naturaleza priva-
da que realizan tratamientos
de datos «especiales» a gran
escala atendiendo a su natu-
raleza, alcance y fines; o aten-
diendo a las categorías espe-
ciales de datos que se tratan.
El Proyecto de LOPD, en su art. 34,
se refiere a los supuestos en los
ANÁLISIS
será obligatoria la figura del DPO,
encontrándose en este listado a
entidades aseguradoras, distri-
buidores y comercializadores de
energía eléctrica o gas natural; en-
tidades responsables de sistemas
de información crediticia;  entida-
des que desarrollen actividades de
publicidad que impliquen análisis
de preferencias o elaboración de
perfiles; centros sanitarios; centros
docentes que ofrezcan enseñanzas
regladas y Universidades; colegios
profesionales; y entidades dedica-
das al juego on line, entre otros.
g. 
Notificación de violaciones o
quiebras de la seguridad de los
datos, tanto a las Autoridades de
Protección de Datos, como in-
cluso a los propios afectados, en
determinados supuestos, que se
recogen en los artículos 33 y 34
del RGPD.
Con base en el principio de res-
ponsabilidad proactiva, en el su-
puesto de que el responsable del
tratamiento detecte una violación
de la seguridad de los datos perso-
nales, está obligado a notificarla, sin
dilación indebida, a la autoridad de
control competente (AEPD o Agen-
cias autonómicas) y, de ser posible,
a más tardar 72 horas después de
que haya tenido constancia de ella.
Esta obligación no se impone en
el caso de que “sea improbable que
dicha violación de la seguridad cons-
tituya un riesgo para los derechos y
las libertades de las personas físicas”.
Es, decir, el responsable debe anali-
zar subjetivamente el supuesto con-
creto y determinar ese improbable
riesgo. En cualquier caso, tal y como
apunta el apartado 5º del artículo 33,
el responsable del tratamiento debe
documentar cualquier violación de la
seguridad de los datos personales,
incluidos los hechos relacionados con
ella, sus efectos y las medidas correc-
tivas adoptadas. Es decir, únicamen-
te se impone la obligación de notifi-
cación en los casos de violaciones de
seguridad que constituyan un riesgo
para los derechos y libertades.
DOSSIER | 12
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
El artículo 34 del REPD se refiere a
la “comunicación de una violación
de la seguridad de los datos per-
sonales al interesado”. Señala este
precepto, en similares términos que
decíamos en el apartado anterior,
que cuando sea probable que la vio-
lación de la seguridad de los datos
personales entrañe un alto riesgo
para los derechos y libertades de las
personas físicas, el responsable del
tratamiento lo deberá comunicar al
interesado sin dilación indebida.
En esta comunicación al interesa-
do debe indicarse, con un “lenguaje
claro y sencillo”, como mínimo:
- La naturaleza de la violación de
la seguridad de los datos per-
sonales.
- Nombre y datos de contacto
del DPO de la organización.
- Una descripción de las posibles
consecuencias de la violación
de seguridad.
- Una descripción de las medi-
das adoptadas para corregir la
violación o, al menos, mitigar
sus efectos.
Sin embargo, esta comunicación
NO es necesaria si se cumplen AL-
GUNA de las condiciones siguien-
tes:
- el responsable del tratamiento
haya adoptado medidas técni-
cas y organizativas de protec-
ción apropiadas sobre los da-
tos afectados por la violación
de la seguridad, en particular
aquellas que hagan ininteligi-
bles los datos personales para
personas no autorizadas, como
el cifrado;
- el responsable del tratamiento
haya tomado medidas ulterio-
res que garanticen que ya no
exista la probabilidad de que
se concretice el alto riesgo para
los derechos y libertades del in-
teresado;
ANÁLISIS
- suponga un esfuerzo despro-
porcionado. En este caso, se
optará en su lugar por una co-
municación pública o una me-
dida semejante por la que se
informe de manera igualmente
efectiva a los interesados
h. Promoción de códigos de con-
ducta y esquemas de certifica-
ción. El RGPD (art. 28.5) prevé
que la adhesión a códigos de con-
ducta o la posesión de un certifi-
cado de protección de datos pue-
den servir como mecanismos de
prueba. En todo caso, no es un ca-
tálogo numerus clausus, pudien-
do el responsable acreditarlo de
cualquier otra forma, que debería
ser valorada, llegado el caso, por
la autoridad de control.
DOSSIER | 13
Implementando el nuevo Reglamento General
Europeo de Protección de Datos
Javier, Plaza Penadés
C
Catedrático de Derecho Civil Universidad de Valencia
Conviene recordar que el Regla-
mento General de Protección de
Datos, Reglamento 2016/679, de 27
de abril de 2016 (LCEur 2016, 605),
relativo a la protección de las perso-
nas físicas en lo que respecta al tra-
tamiento de datos personales y a la
libre circulación de estos datos y por
el que se deroga la Directiva 95/46/
CE ( LCEur 1995, 2977 ), ya ha entra-
do en vigor pese a que o será plena-
mente aplicable hasta 25 de mayo
del 2018.
Pero más allá de que esa plena
eficacia quede demorada, lo cierto
es que hay ya preceptos que son de
aplicación y que esa moratoria se
debe a la complejidad que lleva di-
cha implementación, por los que las
personas físicas y jurídicas públicas
y privadas deben de comenzar ya
su aplicación, y deben de hacerlo ya
pensando en la existencia de un De-
legado de Protección de Datos y en
el cambio de sistema de accountabi-
lity que impone el citado Reglamen-
to, especialmente cuando sea de
aplicación su régimen sancionador,
ya que las multas por infracción a
las previsiones legales de este nue-
vo Reglamento General Europeo
en materia de protección de datos
pueden llegar a los diez millones de
euros por el mero hecho de no cum-
plir los requisitos legales básicos y a
veinte millones de euros para infrac-
ciones al nuevo marco de protección
del derecho de protección de carác-
ter personal (artículo 83); todo ello
al margen de la responsabilidad civil
pertinente que se superpondría a
esta sanción administrativa.
Como aspectos que, en mi opi-
nión, ya resultan de aplicación en-
contramos el llamado Derecho al
olvido (que ya había sido reconocido
por el TJUE en el caso Mario Costeja
vs. Google), o el derecho de porta-
bilidad, o el de control de los datos
personales frente al big data o el
nuevo modo de obtener el consenti-
miento válido en materia de protec-
ción de datos y que impide su obten-
ción de forma presunta…
Data Protection Officer
Entre las que no son todavía obli-
gatorias, pero hay que tener ya en
las previsiones de planificación, es-
pecialmente de personas jurídicas
púbicas y privadas, está la figura del
Delegado de protección de datos o
Data Protection Officer (a partir de
ahora, DPO), ya que será obligatorio
en tres supuestos:
En primer lugar, cuando el trata-
miento lo lleve a cabo una autoridad
u organismo público, excepto los tri-
bunales que actúen en ejercicio de su
función judicial. Por tanto, el impacto
de este Reglamento en el sector pú-
blico es enorme, ya que va obligar a
todo el sector público a tener un DPO
y el mero hecho de no tenerlo asig-
nado puede suponer una multa de
hasta diez millones de euros.
En segundo lugar, ya en el sector
privado, cuando las operaciones de
tratamiento de datos personales,
por razón de su naturaleza, alcance
y/o fines, requieran una observación
habitual y sistemática de la protec-
ción de datos a gran escala.
Y en tercer lugar, también en el
sector privado, cuando se produz-
can actividades que consistan en el
tratamiento a gran escala de catego-
rías especiales de datos personales
especialmente protegidos (como
ANÁLISIS
p.e. datos de salud o que revelen
ideología) así como los datos relati-
vos a condenas e infracciones pena-
les a que se refiere el artículo 10 del
RGPG.
Por tanto, para el sector público
el impacto será mucho mayor, ya
que necesariamente tiene que tener
un DPO, si bien cuando el responsa-
ble o el encargado del tratamiento
sea una autoridad u organismo pú-
blico, se podrá designar un único
delegado de protección de datos
para varias de estas autoridades u
organismos, teniendo en cuenta su
estructura organizativa y tamaño.
Igualmente, en el sector privado, un
grupo empresarial podrá nombrar
un único delegado de protección
de datos siempre que sea fácilmen-
te accesible desde cada estableci-
miento.
El DPO, tanto en el sector público
como en el privado, será designado
atendiendo a sus cualidades profe-
sionales y, en particular, a sus conoci-
mientos especializados del Derecho
(en lo que refiere tanto a las nuevas
tecnologías en general como a la
protección de daos en particular).
Y, por supuesto, tanto en el sector
público como en el privado, el de-
legado de protección de datos po-
drá formar parte de la plantilla del
responsable del tratamiento o bien
desempeñar su función de forma ex-
terna a la organización del respon-
sable del tratamiento en el marco
de un contrato de servicios (como
los que puede ofrecer un despacho
de abogados o una consultaría, me-
diante contratos de outsourcing , mi-
nuta…).
DOSSIER | 14
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
Por tanto, conviene en este año
2017 tener claro si el DPO estará inte-
grado o formará parte de la empresa o
de la Administración Pública o si será
un profesional jurídico-técnico exter-
no, sabiendo que en todo caso va a
tener una enorme responsabilidad,
como prevenir y evitar las conductas
que pueden terminar con una sanción
administrativa tan desproporcionada.
En ese sentido, el DPO desempeña-
rá sus funciones prestando la debida
atención a los riesgos asociados a las
operaciones de tratamiento, teniendo
en cuenta la naturaleza, el alcance, el
contexto y fines del tratamiento.
Dichas previsiones son especial-
mente necesarias en la Administra-
ción y el sector público, ya que hay
que tenerlo previsto en el presu-
puesto del 2018 y se debe de contra-
tar conforme a la normativa de con-
tratación del sector público.
Además, la AEPD ya ha comenza-
do a publicar diversas guías, como la
relativa al nuevo modo en que se tie-
ne que obtener el consentimiento, o
las relaciones entre encargado y res-
ponsable del tratamiento o la imple-
mentación en pymes, que dan cuen-
ta de lo importante y conveniente
que es comenzar ya a implementar
el nuevo Reglamento General Euro-
peo de Protección de Datos.
En definitiva, una de las conse-
cuencias más importantes del Re-
glamento General de Protección
ANÁLISIS
de Datos de la Unión Europea es la
obligatoriedad en el sector público
y la cuasi obligatoriedad en el sec-
tor privada (bien porque se tratan
un elevado volumen de datos o bien
porque se tratan datos sensibles) en
tener un DPO que supervise, coordi-
ne, gestione y lleve la implantación
continua y las auditorías internas en
materia de protección de datos, con
el fin de prevenir y evitar conductas
o praxis que pueden desembocar en
grandes multas administrativa (de
10 o 20 millones de euros) para las
entidades públicas y privadas res-
ponsables del tratamiento de datos
personales.
* Artículo publicado en: Revista Aranzadi de Dere-
cho y Nuevas Tecnologías num.43/2017
Editorial Aranzadi, S.A.U.
CONTRACT EXPRESS
Automatización y
seguimiento de contratos
¿Cómo podemos ayudarte hoy en día a racionalizar de forma rigurosa el
proceso de elaboración de documentos de tu trabajo?
Algunos de los despachos de abogados y empresas más prestigiosos del mundo
recurren a Contract Express para aumentar su eficiencia a la hora de redactar documentos.
Han descubierto que esta herramienta les permite reducir horas de trabajo no recuperables
y aumentar su rentabilidad.
CONTRACT EXPRESS MARCA LA DIFERENCIA
Nuestra acreditada herramienta de creación de plantillas basadas en Microsoft® Word, es uno de los
sistemas más avanzados y sencillos de utilizar disponibles en la actualidad. Su lenguaje de marcado
extensible y natural elimina retrasos, errores, gastos, pérdidas de confianza y la falta general de
viabilidad propia de las herramientas de sistemas heredados. Contract Express permite a los abogados
realizar el trabajo por sí mismos sin necesidad de recurrir constantemente a los programadores de IT
para automatizar las plantillas de los documentos jurídicos.

https://www.thomsonreuters.es/es/tienda.html
T. 900 40 40 47 | masinfo@thomsonreuters.com
LEGISLACIÓN
Reglamento Europeo de Protección de
Datos Reglamento 2016/679/UE, de 27 de abril.
LCEur 2016\605
PROTECCIÓN DE DATOS. Protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por el que
se deroga la Directiva 95/46/CE (LCEur 1995\2977)
Parlamento Europeo y Consejo
DOL 4 mayo 2016, núm. 119, [pág. 1].

VER REGLAMENTO

Proyecto de Ley Orgánica de Protección

de Datos de Carácter Personal
BOE 24 noviembre 1917, núm. 13-1, [pág. 1].

VER PROYECTO LEY

Ley de Protección de Datos 1999

Ley Orgánica 15/1999, de 13 de diciembre.
RCL 1999\3058
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
REGULA LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Jefatura del Estado
BOE 14 diciembre 1999, núm. 298, [pág. 43088].

VER LEY ENTERA

TABLAS COMPARATIVAS
Tabla de equivalencias sumarios protección de datos
LEY ORGÁNICA DE PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL
LEY ORGÁNICA 15/1999, DE 13 DE
DICIEMBRE
(RCL 1999, 3058)
TITULO I. Disposiciones Generales
Artículo 1. Objeto.
Artículo 2. Ámbito de aplicación.Artículo 3.
Definiciones.
TITULO II. Principios de la
protección de datos
Artículo 4. Calidad de los datos.
Artículo 5. Derecho a información en la
recogida de datos.
Artículo 6. Consentimiento del afectado.
Artículo 7. Datos especialmente protegidos.
Artículo 8. Datos relativos a la salud.
Artículo 9. Seguridad de los datos.
Artículo 10. Deber de secreto.
Artículo 11. Comunicación de datos.
Artículo 12. Acceso a los datos por cuenta
de terceros.
TITULO III. Derechos de las personas
Artículo 13. Impugnación de valoraciones.
Artículo 14. Derecho de consulta al Registro
General de Protección de Datos.
Artículo 15. Derecho de acceso.
Artículo 16. Derecho de rectificación y
cancelación.
Artículo 17. Procedimiento de oposición,
acceso, rectificación o cancelación.
Artículo 18. Tutela de los derechos.
Artículo 19. Derecho a indemnización.
REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
REGLAMENTO 2016/679/UE, DE 27 DE ABRIL
(LCEur 2016, 605)
CAPÍTULO I. DISPOSICIONES GENERALES
Artículo 1. Objeto.
Artículo 2. Ámbito de aplicación material.
Artículo 3. Ámbito territorial.
Artículo 4. Definiciones.
CAPÍTULO II. PRINCIPIOS
Artículo 5. Principios relativos al tratamiento.
Artículo 6. Licitud del tratamiento
Artículo 7. Condiciones para el consentimiento.
Artículo 8. Condiciones aplicables al consentimiento del
niño en relación con los servicios de la sociedad de la
información.
Artículo 9. Tratamiento de categorías especiales de datos
personales.
Artículo 10. Tratamiento de datos personales relativos a
condenas e infracciones penales.
Artículo 11. Tratamiento que no requiere identificación.
CAPÍTULO III. DERECHOS DEL INTERESADO
SECCIÓN 1ª. Transparencia y modalidades
Artículo 12. Transparencia de la información,
comunicación y modalidades de ejercicio de los derechos
del interesado.
SECCIÓN 2ª. Información y acceso a los datos
personales
Artículo 13. Información que deberá facilitarse cuando los
datos personales se obtengan del interesado.
Artículo 14. Información que deberá facilitarse cuando los
datos personales no se hayan obtenido del interesado.
Artículo 15. Derecho de acceso del interesado.
SECCIÓN 3ª. Rectificación y supresión
Artículo 16. Derecho de rectificación
Artículo 17. Derecho de supresión («el derecho al
olvido»).
Artículo 18. Derecho a la limitación del tratamiento.
Artículo 19. Obligación de notificación relativa a la
rectificación o supresión de datos personales o la
limitación del tratamiento.
Artículo 20. Derecho a la portabilidad de los datos.
SECCIÓN 4ª. Derecho de oposición y decisiones
individuales automatizadas
Artículo 21. Derecho de oposición.
Artículo 22. Decisiones individuales automatizadas,
incluida la elaboración de perfiles.
SECCIÓN 5ª. Limitaciones
Artículo 23. Limitaciones.
PROYECTO DE LEY ORGÁNICA DE
PROTECCIÓN DE DATOS DE CARÁCTER
PERSONAL
(LEG 2017, 11347)
TÍTULO I. Disposiciones generales
Artículo 1. Objeto de la Ley.
Artículo 2. Ámbito de aplicación.
Artículo 3. Datos de las personas fallecidas.
TÍTULO II. Principios de protección de
datos.
Artículo 4. Inexactitud de los datos.
Artículo 5. Deber de confidencialidad.
Artículo 6. Tratamiento basado en el
consentimiento del afectado.
Artículo 7. Consentimiento de los menores
de edad.
Artículo 8. Tratamiento de datos amparado
por la ley.
Artículo 9. Categorías especiales de datos.
Artículo 10. Tratamiento de datos de
naturaleza penal.
TÍTULO III.
Derechos de las personas
CAPÍTULO I. Transparencia e información
Artículo 11. Transparencia e información al
afectado.
CAPÍTULO II. Ejercicio de los derechos
Artículo 12. Disposiciones generales sobre
ejercicio de los derechos.
Artículo 13. Derecho de acceso.
Artículo 14. Derecho de rectificación.
Artículo 15. Derecho de supresión.
Artículo 16. Derecho a la limitación del
tratamiento.
Artículo 17. Derecho a la portabilidad.
Artículo 18. Derecho de oposición.
DOSSIER | 18
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
TITULO IV. Disposiciones sectoriales
CAPITULO I. Ficheros de titularidad
pública
Artículo 20. Creación, modificación o
supresión.
Artículo 21. Comunicación de datos entre
Administraciones públicas.
Artículo 22. Ficheros de las Fuerzas y
Cuerpos de Seguridad.
Artículo 23. Excepciones a los derechos de
acceso, rectificación y cancelación.
Artículo 24. Otras excepciones a los
derechos de los afectados.
CAPITULO II. Ficheros de titularidad
privada
Artículo 25. Creación.
Artículo 26. Notificación e inscripción
registral.
Artículo 27. Comunicación de la cesión de
datos.
Artículo 28. Datos incluidos en las fuentes
de acceso público.
Artículo 29. Prestación de servicios de
información sobre solvencia patrimonial y
crédito.
Artículo 30. Tratamientos con fines de
publicidad y de prospección comercial.
Artículo 31. Censo promocional.
Artículo 32. Códigos tipo.
CAPÍTULO IV. RESPONSABLE DEL TRATAMIENTO Y
ENCARGADO DEL TRATAMIENTO
SECCIÓN 1ª. Obligaciones generales.
Artículo 24. Responsabilidad del responsable del
tratamiento.
Artículo 25. Protección de datos desde el diseño y por
defecto.
Artículo 26. Corresponsables del tratamiento.
Artículo 27. Representantes de responsables o
encargados del tratamiento no establecidos en la Unión.
Artículo 28. Encargado del tratamiento.
Artículo 29. Tratamiento bajo la autoridad del
responsable o del encargado del tratamiento.
Artículo 30. Registro de las actividades de tratamiento.
Artículo 31. Cooperación con la autoridad de control.
SECCIÓN 2ª. Seguridad de los datos personales.
Artículo 32. Seguridad del tratamiento.
Artículo 33. Notificación de una violación de la seguridad
de los datos personales a la autoridad de control.
Artículo 34. Comunicación de una violación de la
seguridad de los datos personales al interesado.
SECCIÓN 3ª. Evaluación de impacto relativa a la
protección de datos y consulta previa.
Artículo 35. Evaluación de impacto relativa a la
protección de datos
Artículo 36. Consulta previa.
SECCIÓN 4ª. Delegado de protección de datos
Artículo 37. Designación del delegado de protección de
datos.
Artículo 38. Posición del delegado de PD.
Artículo 39. Funciones del delegado de PD.
SECCIÓN 5ª. Códigos de conducta y certificación
Artículo 40. Códigos de conducta.
Artículo 41. Supervisión de códigos de conducta
aprobados.
Artículo 42. Certificación.
Artículo 43. Organismo de certificación.
TABLAS COMPARATIVAS
TÍTULO IV. Disposiciones aplicables a
tratamientos concretos
Artículo 19. Tratamiento de datos de
contacto y de empresarios individuales.
Artículo 20. Sistemas de información
crediticia.
Artículo 21. Tratamientos relacionados con
la realización de determinadas operaciones
mercantiles.
Artículo 22. Tratamientos con fines de
videovigilancia.
Artículo 23. Sistemas de exclusión
publicitaria.
Artículo 24. Sistemas de información de
denuncias internas en el sector privado.
Artículo 25. Tratamiento de datos en el
ámbito de la función estadística pública.
Artículo 26. Tratamiento de datos con fines
de archivo en interés público por parte de
las Administraciones Públicas.
Artículo 27. Datos relativos a infracciones y
sanciones administrativas.
TÍTULO V. Responsable y encargado del
tratamiento
CAPÍTULO I. Disposiciones generales.
Medidas de responsabilidad activa
Artículo 28. Obligaciones generales del
responsable y encargado del tratamiento.
Artículo 29. Supuestos de
corresponsabilidad en el tratamiento.
Artículo 30. Representantes de los
responsables o encargados del tratamiento
no establecidos en la Unión Europea.
Artículo 31. Registro de las actividades de
tratamiento.
Artículo 32. Bloqueo de los datos.
CAPÍTULO II. Encargado del tratamiento
Artículo 33. Encargado del tratamiento.
CAPÍTULO III. Delegado de protección de
datos
Artículo 34. Designación de un delegado de
protección de datos.
Artículo 35. Cualificación del delegado de
protección de datos.
Artículo 36. Posición del delegado de
protección de datos.
Artículo 37. Intervención del delegado de
protección de datos en caso de reclamación
ante las autoridades de protección de datos.
CAPÍTULO IV. Códigos de conducta y
certificación
Artículo 38. Códigos de conducta.
Artículo 39. Acreditación de instituciones de
certificación.
DOSSIER | 19
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
TITULO V. Movimiento internacional de
datos
Artículo 33. Norma general.
Artículo 34. Excepciones.
TITULO VI. Agencia de protección de
datos
Artículo 35. Naturaleza y régimen jurídico.
Artículo 36. El Director.
Artículo 37. Funciones.
Artículo 38. Consejo Consultivo.
Artículo 39. El Registro General de
Protección de Datos.
Artículo 40. Potestad de inspección.
Artículo 41. Órganos correspondientes de
las Comunidades Autónomas.
Artículo 42. Ficheros de las Comunidades
Autónomas en materia de su exclusiva
competencia.
CAPÍTULO V. TRANSFERENCIAS DE DATOS
PERSONALES A TERCEROS PAÍSES U
ORGANIZACIONES INTERNACIONALES
Artículo 44. Principio general de las transferencias.
Artículo 45. Transferencias basadas en una decisión de
adecuación.
Artículo 46. Transferencias mediante garantías
adecuadas.
Artículo 47. Normas corporativas vinculantes.
Artículo 48. Transferencias o comunicaciones no
autorizadas por el Derecho de la Unión.
Artículo 49. Excepciones para situaciones específicas.
Artículo 50. Cooperación internacional en el ámbito de
la protección de datos personales.
CAPÍTULO VI. AUTORIDADES DE CONTROL
INDEPENDIENTES
SECCIÓN 1ª. Independencia
Artículo 51. Autoridad de control
Artículo 52. Independencia.
Artículo 53. Condiciones generales aplicables a los
miembros de la autoridad de control.
Artículo 54. Normas relativas al establecimiento de la
autoridad de control.
SECCIÓN 2ª. Competencia, funciones y poderes
Artículo 55. Competencia.
Artículo 56. Competencia de la autoridad de control
principal.
Artículo 57. Funciones.
Artículo 58. Poderes.
Artículo 59. Informe de actividad.
TABLAS COMPARATIVAS
TÍTULO VI. Transferencias internacionales
de datos
Artículo 40. Régimen de las transferencias
internacionales de datos.
Artículo 41. Supuestos de adopción por la
Agencia Española de Protección de Datos.
Artículo 42. Supuestos sometidos a
autorización previa de la Agencia Española
de Protección de Datos.
Artículo 43. Supuestos sometidos a
información previa a la autoridad de
protección de datos competente.
TÍTULO VII. Autoridades de protección
de datos
CAPÍTULO I. La Agencia Española de
Protección de Datos
Sección 1.ª Disposiciones generales
Artículo 44. Disposiciones generales.
Artículo 45. Régimen jurídico.
Artículo 46. Régimen económico
presupuestario y de personal.
Artículo 47. Funciones y potestades de la
Agencia Española de Protección de Datos.
Artículo 48. El Presidente de la Agencia
Española de Protección de Datos.
Artículo 49. Consejo Consultivo de la
Agencia.
Artículo 50. Publicidad.
Sección 2.ª Potestades de investigación y
planes de auditoría preventiva
Artículo 51. Ámbito y personal competente.
Artículo 52. Deber de colaboración.
Artículo 53. Alcance de la actividad de
investigación.
Artículo 54. Planes de auditoría preventiva.
Sección 3.ª Otras potestades de la Agencia
Española de Protección de Datos
Artículo 55. Potestades de regulación.
Circulares de la Agencia Española de
Protección de Datos.
Artículo 56. Acción exterior.
CAPÍTULO II. Autoridades autonómicas
de protección de datos
Sección 1.ª Disposiciones generales
Artículo 57. Autoridades autonómicas de
protección de datos.
Artículo 58. Cooperación institucional.
Artículo 59. Tratamientos contrarios al
Reglamento (UE) 2016/679 y la presente
ley orgánica.
Sección 2.ª Coordinación en el marco de
los procedimientos establecidos en el
Reglamento (UE) 2016/679.
Artículo 60. Coordinación en caso de
emisión de dictamen por el Comité
Europeo de Protección de Datos.
Artículo 61. Intervención en caso de
tratamientos transfronterizos.
Artículo 62. Coordinación en caso de
resolución de conflictos por el Comité
Europeo de Protección de Datos.
DOSSIER | 20 TABLAS COMPARATIVAS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS

CAPÍTULO VII. COOPERACIÓN Y COHERENCIA

SECCIÓN 1ª. Cooperación y coherencia
Artículo 60. Cooperación entre la autoridad de
control. principal y las demás autoridades de control
interesadas.
Artículo 61. Asistencia mutua.
Artículo 62. Operaciones conjuntas de las autoridades
de control.
SECCIÓN 2ª. Coherencia
Artículo 63. Mecanismo de coherencia.
Artículo 64. Dictamen del Comité.
Artículo 65. Resolución de conflictos por el Comité.
Artículo 66. Procedimiento de urgencia.
Artículo 67. Intercambio de información.
SECCIÓN 3ª. Comité europeo de protección de datos
Artículo 68. Comité Europeo de Protección de Datos.
Artículo 69. Independencia.
Artículo 70. Funciones del Comité.
Artículo 71. Informes.
Artículo 72. Procedimiento.
Artículo 73. Presidencia.
Artículo 74. Funciones del presidente.
Artículo 75. Secretaría.
Artículo 76. Confidencialidad.

TÍTULO VIII. Procedimientos en caso de

posible vulneración de la normativa de
protección de datos
Artículo 63. Régimen jurídico.
Artículo 64. Clases de iniciación.
Artículo 65. Admisión a trámite de las
reclamaciones.
Artículo 66. Determinación del alcance
territorial.
Artículo 67. Actuaciones previas de
investigación.
Artículo 68. Medidas provisionales.
Artículo 69. Plazo de tramitación de los
procedimientos.

TITULO VII. Infracciones y sanciones
Artículo 43. Responsables.
Artículo 44. Tipos de infracciones.
Artículo 45. Tipo de sanciones.
Artículo 46. Infracciones de las
Administraciones públicas.
Artículo 47. Prescripción.
Artículo 48. Procedimiento sancionador.
Artículo 49. Potestad de inmovilización de
ficheros.
CAPÍTULO VIII. RECURSOS, RESPONSABILIDAD Y
SANCIONES
Artículo 77. Derecho a presentar una reclamación ante
una autoridad de control.
Artículo 78. Derecho a la tutela judicial efectiva contra
una autoridad de control.
Artículo 79. Derecho a la tutela judicial efectiva contra
un responsable o encargado del tratamiento.
Artículo 80. Representación de los interesados.
Artículo 81. Suspensión de los procedimientos.
Artículo 82. Derecho a indemnización y responsabilidad.
Artículo 83. Condiciones generales para la imposición
de multas administrativas.
Artículo 84. Sanciones.
TÍTULO IX. Régimen sancionador
Artículo 70. Sujetos responsables.
Artículo 71. Infracciones.
Artículo 72. Infracciones consideradas muy
graves.
Artículo 73. Infracciones consideradas
graves.
Artículo 74. Infracciones consideradas
leves.
Artículo 75. Interrupción de la prescripción.
Artículo 76. Sanciones y medidas
correctivas.
Artículo 77. Régimen aplicable a
determinadas categorías de responsables o
encargados del tratamiento.
Artículo 78. Prescripción de las sanciones.
DOSSIER | 21 TABLAS COMPARATIVAS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS

CAPÍTULO IX. DISPOSICIONES RELATIVAS A

SITUACIONES ESPECÍFICAS DE TRATAMIENTO
Artículo 85. Tratamiento y libertad de expresión y de
información.
Artículo 86. Tratamiento y acceso del público a
documentos oficiales.
Artículo 87. Tratamiento del número nacional de
identificación.
Artículo 88. Tratamiento en el ámbito laboral.
Artículo 89. Garantías y excepciones aplicables al
tratamiento con fines de archivo en interés público, fines
de investigación científica o histórica o fines estadísticos
Artículo 90. Obligaciones de secreto.
Artículo 91. Normas vigentes sobre protección de datos
de las iglesias y asociaciones religiosas.
CAPÍTULO X. ACTOS DELEGADOS Y ACTOS DE
EJECUCIÓN
Artículo 92. Ejercicio de la delegación.
Artículo 93. Procedimiento de comité.

DISPOSICIONES ADICIONALES Disposición adicional primera. Medidas de

Primera. Ficheros preexistentes. seguridad en el ámbito del sector público.
Segunda. Ficheros y Registros de Población Disposición adicional segunda. Protección
de las Administraciones públicas. de datos y transparencia y acceso a la
Tercera. Tratamiento de los expedientes de información pública.
las derogadas Leyes de Vagos y Maleantes Disposición adicional tercera. Cómputo de
y de Peligrosidad y Rehabilitación Social plazos.
Cuarta. Modificación del artículo 112.4 de la Disposición adicional cuarta.
Procedimiento en relación con las
Ley General Tributaria.
competencias atribuidas a la Agencia
Quinta. Competencias del Defensor del
Española de Protección de Datos por otras
Pueblo y órganos autonómicos semejantes.
leyes.
Sexta. Modificación del artículo 24.3 de
Disposición adicional quinta. Autorización
la Ley de Ordenación y Supervisión de los judicial en relación con decisiones de
Seguros Privados. la Comisión Europea en materia de
transferencia internacional de datos.
Disposición adicional sexta. Registros de
apoyo a la Administración de Justicia.
Disposición adicional séptima. Acceso a
contenidos de personas fallecidas.
Disposición adicional octava. Incorporación
de deudas a sistemas de información
crediticia.
Disposición adicional novena. Identificación
de los interesados en las notificaciones por
medio de anuncios y publicaciones de actos
administrativos.
Disposición adicional décima. Potestad
de verificación de las Administraciones
Públicas.
Disposición adicional undécima. No
incremento de gasto.
Disposición adicional decimosegunda.
Tratamiento de datos de carácter personal
en relación con la notificación de incidentes
de seguridad.
Disposición adicional decimotercera.
Comunicaciones de datos por los sujetos
enumerados en el artículo 77.1.
Disposición adicional decimocuarta.
Privacidad en las comunicaciones
electrónicas.
Disposición adicional decimoquinta.
Disposiciones específicas aplicables a los
tratamientos de los registros de personal
del sector público.
Disposición adicional decimosexta.
Transferencias internacionales de datos
tributarios.
Disposición adicional decimoséptima.
Normas dictadas en desarrollo del artículo
13 de la Directiva 95/46/CE.
DOSSIER | 22
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
DISPOSICIONES TRANSITORIAS
Primera. Tratamientos creados por
Convenios internacionales.
Segunda. Utilización del censo
promocional.
Tercera. Subsistencia de normas
preexistentes.
DISPOSICION DEROGATORIA
Única. Derogación normativa.
DISPOSICIONES FINALES
Primera. Habilitación para el desarrollo
reglamentario.
Segunda. Preceptos con carácter de Ley
ordinaria
Tercera. Entrada en vigor.
CAPÍTULO XI. DISPOSICIONES FINALES
Artículo 94. Derogación de la Directiva 95/46/CE.
Artículo 95. Relación con la Directiva 2002/58/CE.
Artículo 96. Relación con acuerdos celebrados
anteriormente.
Artículo 97. Informes de la Comisión.
Artículo 98. Revisión de otros actos jurídicos de la Unión
en materia de protección de datos.
Artículo 99. Entrada en vigor y aplicación.
TABLAS COMPARATIVAS
Disposición transitoria primera. Estatuto
de la Agencia Española de Protección de
Datos.
Disposición transitoria segunda. Códigos
tipo inscritos en las autoridades de
protección de datos conforme a la Ley
Orgánica 15/1999, de 13 de diciembre.
Disposición transitoria tercera. Régimen
transitorio de los procedimientos.
Disposición transitoria cuarta. Tratamientos
sometidos a la Directiva (UE) 2016/680.
Disposición transitoria quinta. Contratos de
encargado del tratamiento.
Disposición transitoria sexta.
Consentimientos otorgados con
anterioridad a la aplicación del
Reglamento (UE) 2016/679.
Disposición derogatoria única. Derogación
normativa.
Disposición final primera. Naturaleza de la
presente ley.
Disposición final segunda. Título
competencial.
Disposición final tercera. Modificación
de la Ley 1/2000, de 7 de enero, de
Enjuiciamiento Civil.
Disposición final cuarta. Modificación de la
Ley 29/1998, de 13 de julio, reguladora de
la Jurisdicción Contencioso-Administrativa.
Disposición final quinta. Entrada en vigor.
DOSSIER | 23

MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO

EUROPEO DE PROTECCIÓN DE DATOS

Tabla analítica de novedades

PUNTOS DESTACABLES EN LA FUTURA NUEVA REGULACIÓN
DE LA PROTECCIÓN DE DATOS FRENTE A LA REGULACIÓN ACTUAL
A DESTACAR REGULACIÓN ACTUAL FUTURA REGULACIÓN
(LOPD LO 15/1999 y Directiva 95/46/CE) (Reglamento 2016/679 y Proyecto LOPD)

MODELO DE PROTECCIÓN DE Cambio de modelo de protección de

datos:
DATOS - Responsabilidad activa (accountability).
- Flexibilidad.
- Importancia del contexto en el
tratamiento de datos.
- Cooperación entre autoridades con
competencia
Objetivo: eliminar obstáculos para el
mercado interior de la UE y salvaguardar
el drecho de protección de datos de los
europeos.

CARÁCTER DEL DERECHO Derecho fundamental de carácter no

absoluto:
DE PROTECCIÓN DE DATOS en relación con la sociedad y equilibrado
- Titular: personas físicas. con el resto de derechos fundamentales,
- Objetivo: proteger datos personales atendiendo al principio de proporcionalidad
frente a intromisiones o violaciones (RGPD)
ilegítimas de la intimidad o
privacidad

TRATAMIENTO DE DATOS Directiva 95/46: sin regulación Proyecto LOPD: continúa contemplando su
LOPD: no excluye estos datos de su regulación, salvo terrorismo y delincuencia
POLICIALES Y JUDICIALES regulación, salvo terrorismo y delincuencia organizada.
organizada.

DATOS DE PERSONAS LOPD: acceso a los datos por los herederos Reglamento 2016/679: No se aplica a la
conforme a las instrucciones dadas por el protección de datos de personas fallecidas.
FALLECIDAS titular fallecido. Remisión a la regulación por los Estados
miembros.
Proyecto LOPD: regulación similar a
la LOPD respecto a los datos del titular
fallecido en poder de prestadores de
servicios de la sociedad de la información.

DATOS DE PERSONAS En determinadas circunstancias excluídos Reglamento 2016/679: no hace mención a

del ámbito de aplicación de la ley. ninguna exclusión para este tipo de datos,
JURÍDICAS pero el tratamiento de estos datos será
legítimo en función de:
- l a regla de la ponderación de intereses.
- s iempre que se traten los mínimos datos
imprescindibles de contacto, (Proyecto
LOPD).
- s e realice con la finalidad de mantener
relaciones (Proyecto LOPD).
CONSENTIMIENTO DEL Validez del consentimiento tácito. El consentimiento exige una acción
positiva.
AFECTADO
Consentimiento explícito: para datos
sensibles (origen étnico, opiniones políticas,
salud, orientación sexual).
Exigencia de verificación del consentimiento
por parte de las entidades que lo hayan
obtenido.
DOSSIER | 24 TABLAS COMPARATIVAS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS

A DESTACAR REGULACIÓN ACTUAL FUTURA REGULACIÓN

(LOPD LO 15/1999 y (Reglamento 2016/679 y Proyecto
Directiva 95/46/CE) LOPD)
RGPD
Información: configurado como
un derecho. Los responsables de
tratamientos deben actualizar las
advertencias o políticas de privacidad,
porque se impone la necesidad de
explicar con un lenguaje sencillo y claro
el tratamiento de los datos, los periodos
de retención de los datos y la posibilidad
de reclamar ante las autoridades de
protección de datos.
Derecho de rectificación.
Derecho de supresión (Derecho al
olvido): solicitud por el titular del bloqueo
de los resultados en Internet siempre que:
se refieran a el titular, estén obsoletas,
incompletas, falsas o irrelevantes y no
tengan interés público.
Derecho de oposición
Creación del Derecho de limitación
Creación del Derecho de portabilidad:
DERECHOS DE LOS posiblidad de solicitar a la entidad que
AFECTADOS trata sus datos de forma automatizada la
recuperación en un formato que permita
su traslado a otra entidad responsable.

Proyecto LOPD
Derecho de información: esquema de
información por capas, en determinados
supuestos de obtención de datos:
el responsable de be remitir a una
dirección electrónica para acceder a la
restante información que se exige en el
Reglamento.
Derecho de acceso
Derecho de rectificación
Derecho de supresión
Derecho de limitación de tratamiento
Derecho de portabilidad
Derecho de oposición
Incorporación de la obligación de
bloqueo: garantiza que los datos queden
a disposición de un Tribunal, Ministerio
Fiscal u otras autoridades

CONSENTIMIENTO DE 14 años. Con carácter general, en RRSS, 16 años.

LOS MENORES PARA EL
TRATAMIENTO DE SUS DATOS
EN INTERNET
Para los menores de 14 años:
consentimiento de los padres o tutores.
Las empresas deben verificar dicha edad
con la redacción de las cláusulas de
privacidad en un lenguaje claro, entendible
por los menores
Proyecto LOPD: el tratamiento de los datos
personales de un menor de edad sólo podrá
fundarse en su consentimiento cuando sea
mayor de 13 años.
DOSSIER | 25 TABLAS COMPARATIVAS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS

A DESTACAR REGULACIÓN ACTUAL FUTURA REGULACIÓN

(LOPD LO 15/1999 y (Reglamento 2016/679 y Proyecto
Directiva 95/46/CE) LOPD)
RGPD
El responsable, el encargado del
tratamiento, incluso cuando se
subcontraten servicios que impliquen
acceso a datos, es decir, el subencargado,
debe poder demostrar que cumple con
todas las previsiones normativas en materia
de protección de datos; debe estar en
condiciones de probar que el tratamiento
de los datos se está realizando conforme a
lo establecido por la normativa aplicable.
Se han previsto al efecto una serie de
medidas. Identificadas a continuación de
esta tabla.
- Protección de datos desde el diseño
(Privacy by Design).
- Protección de datos por defecto. Sólo
deben recopilarse los datos estrictamente
necesarios.
- Medidas de seguridad que deben
adoptarse como mínimo:
· Seudonimización. Sustitución de un
atributo por otro en un registro.
· Cifrado de datos personales. Asegurar
ue un mensaje solo es entendible por su
PRINCIPIO DE destinatario.
· Garantizar la confidencialidad (sólo
RESPONSABILIDAD ACTIVA NO EXISTE acceso y divulgación por los autorizados),
“ACCOUNTABILITY” integridad (integridad de datos y de
fuentes. Sin que terceros lo puedan
manipular), disponibilidad (accesibilidad
para aquellos que estén autorizados) y
resilencia permanentes (capacidad del
sistema de soportar y recuperar desastres
y perturbaciones) de los sistemas y
servicios de tratamiento.
· Capacidad de restaurar la
disponibilidad y el acceso a los datos de
forma rápida, en caso de incidente.
· Proceso de verificación, evaluación y
valoración regulares de la eficacia de las
medidas técnicas y organizativas.
- En empresas u organizaciones de más
de 250 personas obligatoriedad de
responsables y encargados de mantener
un registro de actividades de tratamiento.
- Excepciones:
· Cd el tratamiento pueda entrañar un
riesgo para los derechos y libertades de
los interesados y realicen tratamientos
con datos de no sea de forma ocasional.
· Si el tratamiento incluye categorías
especiales de datos personales o datos
relativos a condenas o infracciones
penales.
Proyecto de LOPD: además se incluye
la obligación del responsable de hacer
público, por medios electrónicos,
un inventario de sus actividades de
tratamiento.
DOSSIER | 26 TABLAS COMPARATIVAS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS

A DESTACAR REGULACIÓN ACTUAL FUTURA REGULACIÓN

(LOPD LO 15/1999 y (Reglamento 2016/679 y Proyecto
Directiva 95/46/CE) LOPD)
- Evaluaciones de impacto (Privacy
Impact Analysis -PIAC- o Privacy Impact
Assessment (PIA) para gestionar los
riesgos identificados. Serán obligatorias:
· Cuando el tratamiento vaya a entrañar
un alto riesgo para los derechos y
libertades de las personas físicas.
· Cuando se realice una evaluación
sistemática y exhaustiva de aspectos
personales de las personas físicas.
· Cuando se realice un tratamiento a gran
escala de las categorías especiales de
datos o de los datos peersonales relativos
a condenas e infracciones penales.
En este punto, no se considera
tratamiento a gran escala y por tanto no
es obligatorio, si se realiza respecto de
datos personales de pacientes o clientes
por un sólo médico, un sólo abogado u
otro profesional, respectivamente.
· Cuando se trate de la observación
sistemática a gran escala de una zona de
acceso público.

- Nombramiento de un Delegado de
Protección de Datos (Data Protection
Officer DPO) (RGPD)
PRINCIPIO DE - Obligatoriedad de su nombramiento:
RESPONSABILIDAD ACTIVA NO EXISTE · En entidades públicas. Excepto juzgados
y tribunales cuando ejerzan la función
“ACCOUNTABILITY” judicial.
· Entidades de naturaleza privada que
realizan tratamientos de datos especiales
a gran escala atendiendo a su naturaleza,
alcance y fines o a las categorías
especiales de datos que se tratan.
Proyecto de LOPD: listado en los que será
obligatoria la designación de un DPO.
Art. 34 (aseguradoras, distribuidores y
comercializadores de energía eléctrica o
gas natural, responsables de sistemas de
información crediticia, centros sanitarios,
centros docentes de enseñanzas regladas
y Universidades, juegos on line....)

- Notificación de violaciones o quiebras de

seguridad a:
· Autoridades de protección de datos.
· Afectados
Notificación a las autoridades:
de probabilidad de que se materialice el
riesgo para los derechos y libertades de los
interesados.
- Obligación de notificación sin dilación
indebida a la AEPD o Agencias
autonómicas. No más tardar 72 horas
desde que se tuvo constancia.
- No se impone esta obligación: cuando sea
improbable que dicha violación constituya
un riesgo para los derechos y libertades de
las personas físicas.
DOSSIER | 27 TABLAS COMPARATIVAS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS

A DESTACAR REGULACIÓN ACTUAL FUTURA REGULACIÓN

(LOPD LO 15/1999 y (Reglamento 2016/679 y Proyecto
Directiva 95/46/CE) LOPD)
- El responsable del tratamiento debe
documentar en cualquier caso toda
violación de la seguridad de los datos
personales.
Notificación al interesado
.- La comunicación al interesado debe
realizarse con un lenguaje claro y sencillo.
No será necesaria la comunicación :
· si el responsable del tratamiento
PRINCIPIO DE ha adoptado medidas técnicas y
RESPONSABILIDAD ACTIVA NO EXISTE organizativas.
“ACCOUNTABILITY” · si el responsable ha tomado medidas
ulteriores que garanticen la inexistencia
· si supone un esfuerzo desproporcionado.
- Promoción de Códigos de conducta y
esquemas de certificación. Pueden servir
de prueba.
Aunque cualquier elemento de prueba es
válido y puede ser tenido en cuenta.
PREGUNTAS CON RESPUESTA

1. ¿Deben las empresas informar a sus

empleados de todos los tratamientos que se
van a realizar con sus datos?
De acuerdo a las exigencias del Reglamento General de Protección de Datos se debe informar a los em-
pleados de todos los tratamientos que van a ser llevados a cabo con sus datos personales.
Por ejemplo, la empresa debe informar a sus empleados de que sus datos personales serán utilizados
en el Departamento de RRHH para controlar las horas de trabajo, salidas, fichajes….
En este sentido, y aunque son en base a la legislación actual (LOPD y RDLOPD) ya existen algunos
precedentes de denuncias ante la AEPD que han prosperado por utilizarse determinados datos personales
de empleados para fines distintos de los informados.

2. ¿Qué requisitos son exigibles para poder

actuar como delegado de protección de
datos (DPO)?
Agencia Española de Protección de Datos y la Certificación
El RGPD establece las funciones y responsabilidades del DPO, pero no cuáles han de ser sus competen-
cias o cualificaciones profesionales (titulación y experiencia).  Por este motivo, la Agencia Española de
Protección de Datos (AEPD), ha desarrollado un esquema de certificación haciendo uso de la herra-
mienta establecida a nivel internacional para dar confianza en la competencia de los profesionales que
es la certificación de personas acreditada por ENAC conforme a la norma ISO 17024.
La confianza que aporta la certificación acreditada se fundamenta en dos pilares principales:
• La existencia de un esquema de certificación, elaborado por la propia Agencia en colaboración
con todas las partes interesadas y basado en los principios establecidos por la norma, en el que
se han identificado las competencias que deben tener las personas que quieran desempeñar de
manera solvente esta función.

• La obligatoriedad  de que las personas que quieran ver certificadas dichas competencias deban
ser evaluadas por entidades de certificación acreditadas por ENAC de acuerdo con los requisi-
tos establecidos en la norma ISO 17024 que garantiza su competencia técnica e imparcialidad.
De esta manera las empresas dispondrán de una información transparente y veraz sobre las compe-
tencias que le aporta una persona que vaya a contratar como DPO si dicha persona ha sido certificada
dentro del esquema de la AEPD.
DOSSIER | 29 PREGUNTAS CON RESPUESTA
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS

Entidades de certificación y primera fase de evaluación

para el acceso a los exámenes
Las entidades de certificación podrán solicitar y ser objeto de una designación provisional por parte de la
Agencia, no renovable y con una vigencia máxima de un año. Esta autorización provisional estará condi-
cionada a la presentación de la solicitud de acreditación a ENAC y a la superación favorable de la fase de
revisión de la solicitud.
Y ya desde un punto de vista más concreto, se establece una primera fase de evaluación, para acceder
a los exámenes. Básicamente consiste o en experiencia previa, o en número de horas de formación, de
acuerdo a un esquema preestablecido. En este contexto es necesario el cumplimiento de alguno de los
siguientes prerrequisitos:
1) E
 xperiencia profesional de, al menos, cinco años en proyectos y/o actividades y tareas relacionadas
con las funciones del DPD en materia de protección de datos.
2) E
 xperiencia profesional de, al menos, tres años en proyectos y/o actividades y tareas relacionadas
con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida
de 60 horas en relación con las materias incluidas en el programa del Esquema.
3) Experiencia profesional de, al menos, dos años en proyectos y/o actividades y tareas relacionadas
con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida
de 100 horas en relación con las materias incluidas en el programa del Esquema.
4) S
 in experiencia y formación mínima reconocidas de 180 horas en relación con las materias inclui-
das en el programa del Esquema.

Los exámenes: preguntas y duración

Los exámenes tendrán un total de 150 preguntas tipo test y la duración del examen es de cuatro ho-
ras. Consta de tres bloques:
1) NORMATIVA GENERAL DE PROTECCIÓN DE DATOS, pondera un 50%.
2) RESPONSABILIDAD ACTIVA. Evaluación y gestión de riesgos de tratamientos de datos personales;
evaluación de impacto de protección de datos, protección de datos desde el diseño, protección de
datos por defecto, etc.; pondera un 30%.
3) TÉCNICAS PARA GARANTIZAR EL CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE
DATOS Y OTROS CONOCIMIENTOS. Auditorías de seguridad, auditorías de protección de datos, etc.
pondera un 20%.
comunicacion.es.thomsonreuters.info/AranzadiFusion
T. 902 40 40 47 | atencionclientes@thomsonreuters.com