Trabajo realizado por estudiantes del grupo de

Gestión Humana Integrada 2020-2021

 Hubiesen sido obtenidos
por el responsable
directamente del
afectado.
PRINCIPIOS DE
Hubiesen sido obtenidos
PROTECCION DE
No será imputable al
responsable del
por el responsable de un
mediador o
intermediario
DATOS
Art.4 tratamiento, siempre
Exactitud de los datos que este haya adoptado
todas las medidas Fuesen sometidos a
razonables si los datos: tratamiento por el
responsable por
haberlos recibido de
otro responsable
Los responsables del tratamiento de datos, así
como todas las personas que intervengan en
Fuesen obtenidos de cualquier fase de éste, estarán sujetas al
un registro público deber de confidencialidad
por el responsable

Artículo 5. La obligación general del deber de

confidencialidad, será complementaria de los
Deber de confidencialidad deberes de secreto profesional

Las obligaciones establecidas de

confidencialidad y secreto profesional, se
mantendrán aun cuando hubiese finalizado la
relación del obligado con el responsable o
encargado del tratamiento
 Cuando sea mayor de
catorce años.
Artículo 7.
Consentimiento de los
menores de edad. Para los menores de 14
años, solo será lícito si
consta el del titular de la
patria potestad o tutela
El consentimiento del afectado es toda
manifestación de voluntad libre, específica,
Cuando lo prevea una informada e inequívoca por la que este acepta, ya
norma de Derecho de la sea mediante una declaración o una clara acción
Artículo 8. Unión Europea o una afirmativa, el tratamiento de datos personales que
norma con rango de ley le conciernen
Tratamiento de datos por
obligación legal, interés
público o ejercicio de Cuando derive de una
poderes públicos competencia atribuida
Artículo 6. Cuando se pretenda fundar el tratamiento de los
por una norma con rango datos en el consentimiento del afectado para una
de ley. Tratamiento basado en el
consentimiento del afectado pluralidad de finalidades será preciso que conste de
manera específica e inequívoca que dicho
consentimiento se otorga para todas ellas

No podrá supeditarse la ejecución del contrato a

que el afectado consienta el tratamiento de los
datos personales para finalidades que no guarden
relación con el mantenimiento, desarrollo o control
de la relación contractual
 Tratamiento de datos de naturaleza penal.
El tratamiento de datos personales relativos a
condenas e infracciones penales, solo podrá
llevarse a cabo cuando se encuentre amparado en
una norma de Derecho de la Unión, en esta ley
orgánica o en otras normas de rango legal.

Artículo 10.
El registro completo de los datos referidos a
condenas e infracciones penales, podrá realizarse
conforme con lo establecido en la regulación del
Sistema de registros administrativos de apoyo a la
Administración de Justicia.
Categorías especiales de datos

A fin de evitar situaciones discriminatorias, el solo

consentimiento del afectado no bastará para Solo serán posibles cuando sean llevados a cabo
levantar la prohibición del tratamiento de datos por abogados y procuradores y tengan por objeto
cuya finalidad principal sea identificar su ideología, recoger la información facilitada por sus clientes
Artículo 9.

afiliación sindical, religión, orientación sexual, para el ejercicio de sus funciones

creencias u origen racial o étnico

El tratamiento de datos en el ámbito de la salud

estará amparado por la ley, cuando así lo exija la
gestión de los sistemas y servicios de asistencia
sanitaria y social, pública y privada, o la ejecución
de un contrato de seguro del que el afectado sea
parte.
 Art. 19. Tratamiento de datos de contacto, de empresarios individuales y de Art. 20. Sistemas de información crediticia.
profesionales liberales.
Salvo prueba de lo contrario, se presumirá amparado el tratamiento de los datos de contacto y los 1. Salvo prueba en contrario, se presumirá licito el
relativos a la fusión de una persona física que preste servicios a una persona jurídica siempre que se tratamiento de datos personales relativos al
cumpla: incumplimiento de pagos de deuda cuando se cumpla:
Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional
y mantener relaciones de cualquier índole en la que el afecto preste sus servicios. a. Cuando los datos hayan sido facilitados por el acreedor o
La misma presunción operara para el tratamiento de los datos de los empresarios individuales y los representante;
profesionales liberales. No valida para una relación con los mismos como personas físicas. b. Que los datos se refieran a deudas ciertas, vencidas y
exigibles.
c. Que el acreedor haya informado al afectado en el contrato
Art. 21. Tratamientos relacionados con la realización de determinadas
o en el momento de requerir el pago acerca de la
operaciones mercantiles.
posibilidad de inclusión de dichos sistemas.
1. Salvo prueba en contrario, se presumirá lícitos los tratamientos de datos y su previa d. Que los datos únicamente se mantengan en el sistema
comunicación, que pudieran derivarse de cualquier operación de modificación estructural, mientras persista el incumplimiento.
aportación o transmisión de negocio, siempre que los tratamientos fuesen necesarios e. Que los datos referidos a un deudor determinado
para el buen fin de la operación y garantice la continuidad en la prestación de servicios.
solamente puedan ser consultados cuando quien consulte
2. En el caso de que la operación no llegara a concluirse, la entidad deberá proceder con
el sistema tenga una relación contractual con el afectado.
carácter inmediato a la suspensión de datos, sin que sea de aplicación la obligación de
f. No se haya llegado a celebrarse, quien hace la consulta
bloqueo prevista en esta ley orgánica.
informe al afectado del resultado de dicha consulta.
1. Las entidades y acreedoras tendrán condición de
corresponsables del tratamiento de datos de sus
deudores.
2. La presunción a la que se refiere el apartado 1, no ampara
los supuestos en que la información crediticia fuese
asociada a informaciones adicionales a las completadas
en dicho apartado, a fin de llevar a cabo un perfilado del
mismo.
Art. 22. Tratamiento con fines de video vigilancia.
•Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el
tratamiento de imágenes a través de sistemas de cámaras o videocámaras
•Solo podrán captarse imágenes de la vía pública
•Los datos serán suprimidos en el plazo máximo de un mes desde su
captación, salvo cuando hubieran de ser conservados
•Se colocará dispositivo informativo en lugar visible identificando el
tratamiento de datos, la identidad del responsable y los derechos previstos
en los artículos 15 a 22 del Reglamento.
Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido
de su ámbito de aplicación el tratamiento por una persona física de imágenes que
solamente capten el interior de su propio domicilio.
El tratamiento de los datos personales procedentes de las imágenes y sonidos
obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y
Cuerpos de Seguridad, en los centros penitenciarios, se regirá por la legislación de
transposición de la Directiva (UE) 2016/680.
El tratamiento por el empleador de datos obtenidos a través de sistemas de
cámaras o videocámaras se somete a lo dispuesto en el artículo 89 de esta ley
orgánica.

Art. 24. Sistemas de información de

Art. 23. Sistemas de exclusión publicitaria.
Será lícito el tratamiento de datos personales que
tenga por objeto evitar el envío de comunicaciones
comerciales
Las entidades responsables de los sistemas de
exclusión publicitaria comunicarán a la autoridad de
control competente su creación, su carácter general
o sectorial.
Cuando un afectado manifieste a un responsable su
deseo de que sus datos no sean tratados con fines
comerciales, este deberá informarle de los sistemas
de exclusión publicitaria existentes.
Quienes pretendan realizar comunicaciones de
mercadotecnia directa, deberán previamente
consultar los sistemas de exclusión publicitaria
denuncias internas.
Será lícita la creación y mantenimiento de
sistemas de información a través de los cuales
pueda ponerse en conocimiento de una
Los datos de quien formule la comunicación y de
entidad de Derecho privado, de actos o
los empleados y terceros deberán conservarse en
conductas que pudieran resultar contrarios a
el sistema de denuncias únicamente durante el
la normativa general o sectorial que le fuera
tiempo imprescindible para decidir sobre la
aplicable.
procedencia de iniciar una investigación sobre los
El acceso a los datos contenidos en estos hechos denunciados.
sistemas quedará limitado exclusivamente a
Los principios de los apartados anteriores serán
quienes, desarrollen las funciones de control
aplicables a los sistemas de denuncias internas que
interno y de cumplimiento.
pudieran crearse en las Administraciones Públicas.
Deberán adoptarse las medidas necesarias
para preservar la identidad y garantizar la
confidencialidad de los datos
correspondientes a las personas afectadas por
la información suministrada.
 •El tratamiento de datos relativos a
estadística pública.

sanciones administrativas.
público por parte de las Administraciones Públicas.
Art. 25. Tratamiento de datos en el ámbito de la función

Art. 27. Tratamiento de datos relativos a infracciones y

Art. 26. Tratamiento de datos con fines de archivo en interés
• El tratamiento de datos personales • Será lícito el tratamiento por las infracciones y sanciones administrativas,
llevado a cabo por los organismos Administraciones Públicas de datos incluido el mantenimiento de registros
con el ejercicio de la función con fines de archivo en interés relacionados con las mismas, exigirá:
estadística pública se someterá a lo público, que se someterá a lo •Que los responsables de dichos
dispuesto en su legislación específica. dispuesto en el Reglamento (UE) tratamientos sean los órganos
• La comunicación de los datos a los 2016/679 y en la presente ley competentes para la instrucción del
órganos competentes en materia orgánica. procedimiento sancionador.
estadística solo se entenderá •Que el tratamiento se limite a los datos
amparada en el artículo 6.1 e) del estrictamente necesarios para la finalidad
Reglamento (UE) 2016/679. perseguida por aquel.
•Cuando no se cumpla alguna de las
• Los organismos competentes para el condiciones previstas en el apartado
ejercicio de la función estadística anterior, los tratamientos de datos
pública podrán denegar las referidos a infracciones y sanciones
solicitudes de ejercicio por los administrativas habrán de contar con el
afectados de los derechos consentimiento del interesado o estar
establecidos en los artículos 15 a 22 autorizados por una norma con rango de
del Reglamento (UE) 2016/679 ley.
cuando los datos se encuentren •Fuera de los supuestos señalados en los
amparados por las garantías del apartados anteriores, los tratamientos de
secreto estadístico previstas en la datos referidos a infracciones y sanciones
legislación estatal o autonómica. administrativas solo serán posibles
cuando sean llevados a cabo por
abogados y procuradores y tengan por
objeto recoger la información facilitada
por sus clientes para el ejercicio de sus
funciones.

Artículo 28. Obligaciones generales del responsable y
encargado del tratamiento
• Los responsables determinarán las medidas a aplicar
RESPONSABLE Y ENCARGADO DEL
para garantizar u acreditar el reglamento de acuerdo con
la Ley
• Los responsables tendrán en cuenta los mayores riesgos
que puedan producirse:
• - Discriminación, usurpación, pérdidas financieras, daño
TRATAMIENTO
para la reputación p perdida de confidencialidad
• - Cuando se produjese el tratamiento no meramente
incidental o accesorio de las categorías especiales
• - Cuando el tratamiento implicase una evaluación de
aspectos personales de los afectados con el fin de crear
o utilizar perfiles personales
• - Cuando se lleve a cabo el tratamiento de datos de
grupos de afectados en situación de especial
vulnerabilidad
• -Cuando se pueda privar de derechos y libertades o
impedir el control de sus datos personales
• - Cualquier otra cosa con relevancia
Artículo 29. Supuesto de corresponsabilidad en el
tratamiento
• Se realizará atendiendo a las actividades que desarrolle
cada uno de los corresponsables de tratamiento
Artículo 30. Representantes de los responsables o encargados del
tratamiento no establecidos en la Unión Europea
• Las autoridades autonómicas de protección de datos podrán
imponer al representante, solidariamente con el responsable o
encargado del tratamiento, las medidas establecidas en el
Reglamento
• Los responsables, encargados y representantes responderán
solidariamente de los daños y perjuicios causados
Artículo 31. Registro de las actividades de tratamiento
• El registro, que podrá organizarse en torno a conjuntos
estructurados de datos, deberá especificar, según sus finalidades,
las actividades de tratamiento llevadas a cabo y las demás
circunstancias establecidas en el citado reglamento.
Artículo 32. Bloqueo de los datos
• - El responsable estará obligado a bloquear los datos cuando
proceda a su rectificación o supresión
• -Cuando para su cumplimiento no se permitiese el bloqueo y se
requiera adaptación con esfuerzo desproporcionado se podrá
hacer una copia.
• - EL bloqueo de los datos consiste en la identificación de los
mismo, adoptando medidas para impedir el tratamiento y
visualización. Excepto para la puesta a disposición de la justicia y
administraciones
• - Las autoridades podrán fijar excepciones a al bloqueo de datos
por coste desproporcionado para el responsable del tratamiento o
por que haya un número elevado de afectados
 Artículo 33. Encargado del tratamiento.
El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio.
responsable del tratamiento quien en su propio nombre y sin que conste que actúa por cuenta de otro.
El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado.
Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos

Artículo 34. Designación de un delegado de protección de datos

f) Los establecimientos financieros de crédito.
Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los
supuestos previstos en el artículo 37.1 del Reglamento, cuando se trate de: g) Las entidades aseguradoras y reaseguradoras.
a) Los colegios profesionales y sus consejos generales. h) Las empresas de servicios de inversión, reguladas
por la legislación del Mercado de Valores
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos
i) Los distribuidores y comercializadores de energía
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto eléctrica
en su legislación específica.
l) Los centros sanitarios legalmente obligados al
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los mantenimiento de las historias clínicas
usuarios del servicio.
n) Los operadores que desarrollen la actividad de
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, juego a través de canales electrónicos

Artículo 35. Cualificación del delegado de

protección de datos.
Los delegados de protección de datos podrán
demostrarse, entre otros medios, a través de
mecanismos voluntarios de certificación que
tendrán particularmente en cuenta la obtención
de una titulación universitaria que acredite
conocimientos especializados en el derecho y la
práctica en materia de protección de datos.
2. Los responsables o encargados del
tratamiento podrán designar de manera
voluntaria un delegado de protección de datos.
3. Los responsables y encargados del
tratamiento comunicarán en el plazo de diez días
a la Agencia Española de Protección de Datos
 Artículo 36. Posición del delegado de protección de datos
1. El delegado podrá inspeccionar los procedimientos relacionados
con el objeto de la presente ley orgánica y emitir recomendaciones
en el ámbito de sus competencias.
2. El delegado de protección de datos no podrá ser removido ni
sancionado por el responsable o el encargado por desempeñar sus
funciones salvo que incurriera en dolo o negligencia grave en su
ejercicio.
3. El delegado tendrá acceso a los datos personales y procesos de
tratamiento, no pudiendo oponer a este acceso el responsable o el
encargado del tratamiento la existencia de cualquier deber de
confidencialidad o secreto, incluyendo el previsto en el artículo 5 de
esta ley orgánica.
4. Cuando el delegado de protección de datos aprecie la existencia
de una vulneración relevante en materia de protección de datos lo
documentará y lo comunicará inmediatamente a los órganos de
administración.

Artículo 37. Intervención del delegado de

protección de datos en caso de reclamación ante
las autoridades de protección de datos.

1. Cuando el responsable o el encargado del tratamiento

hubieran designado un delegado de protección de datos
2. Cuando el afectado presente una reclamación ante la
Agencia Española de Protección de Datos o, en su caso,
ante las autoridades autonómicas de protección de
datos
3. El procedimiento ante la Agencia Española de
Protección de Datos será el establecido en el Título VIII
de esta ley orgánica y en sus normas de desarrollo.
 1. Los códigos de conducta regulados por la sección 5.ª del La acreditación la llevará acabo por la Entidad

Artículo 38. Códigos de

conducta.

Artículo 39. Acreditación de

instituciones de certificación.
Capítulo IV del Reglamento (UE) 2016/679 serán Nacional de Acreditación (ENAC), que comunicará a la
vinculantes para quienes se adhieran a los mismos. Agencia Española de Protección de Datos y a las
2. Los responsables o encargados del tratamiento que se autoridades de protección de datos de las
adhieran al código de conducta se obligan a someter al comunidades autónomas las concesiones,
organismo o entidad de supervisión las reclamaciones que denegaciones o revocaciones de las acreditaciones, así
les fueran formuladas por los afectados. en relación con los como su motivación.
tratamientos de datos incluidos en su ámbito de aplicación
en caso de considerar que no procede atender a lo
solicitado en la reclamación, sin perjuicio de lo dispuesto
en el artículo 37 de esta ley orgánica
3. Los códigos de conducta serán aprobados por la Agencia
Española de Protección de Datos o, en su caso, por la
autoridad autonómica de protección de datos competente.
4. La Agencia Española de Protección de Datos o, en su
caso, las autoridades autonómicas de protección de datos
someterán los proyectos de código al mecanismo de
coherencia mencionado en el artículo 63 de Reglamento
(UE) 2016/679 en los supuestos en que ello proceda según
su artículo 40.7.
5. La Agencia Española de Protección de Datos y las
autoridades autonómicas de protección de datos
mantendrán registros de los códigos de conducta
aprobados por las mismas, que estarán interconectados
entre sí y coordinados con el registro gestionado por el
Comité Europeo de Protección de Datos conforme al
artículo 40.11 del citado reglamento.
6. Mediante real decreto se establecerán el contenido del
registro y las especialidades del procedimiento de
aprobación de los códigos de conducta.
Artículo 40. Régimen de las transferencias internacionales de datos.
Las transferencias internacionales de datos se regirán por lo dispuesto en el Reglamento
(UE) 2016/679, en la presente ley orgánica y sus normas de desarrollo aprobadas por el
Gobierno, y en las circulares de la Agencia Española de Protección de Datos y de las
autoridades autonómicas de protección de datos, en el ámbito de sus respectivas
competencias.
Artículo 41. Supuestos de adopción por la Agencia Española de Protección de Datos.
1. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán
adoptar, conforme a lo dispuesto en el artículo 46.2.c) del Reglamento (UE) 2016/679, cláusulas contractuales tipo
para la realización de transferencias internacionales de datos, que se someterán previamente al dictamen del
Comité Europeo de Protección de Datos previsto en el artículo 64 del citado reglamento.
2. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán
aprobar normas corporativas vinculantes de acuerdo con lo previsto en el artículo 47 del Reglamento (UE)
2016/679.
Artículo 42. Supuestos sometidos a autorización previa de las autoridades de protección de datos.
1.Las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de
adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en el artículo anterior y en el
artículo 46.2 del Reglamento (UE) 2016/679, requerirán una previa autorización de la Agencia Española de Protección de
Datos o, en su caso, autoridades autonómicas de protección de datos. El procedimiento tendrá una duración máxima de seis
meses.
2. La autorización quedará sometida a la emisión por el Comité Europeo de Protección de Datos del dictamen al que se
refieren los artículos 64.1.e), 64.1.f) y 65.1.c) del Reglamento (UE) 2016/679.
Artículo 43. Supuestos sometidos a información previa a la autoridad de protección de datos competente.
Los responsables del tratamiento deberán informar a la Agencia Española de Protección de Datos o, en su caso, a
las autoridades autonómicas de protección de datos, de cualquier transferencia internacional de datos que
pretendan llevar a cabo. Esta información deberá facilitarse con carácter previo a la realización de la
transferencia. Lo dispuesto en este artículo no será de aplicación a las actividades llevadas a cabo por las
autoridades públicas en el ejercicio de sus poderes públicos, de acuerdo con el artículo 49.3 del Reglamento (UE)
2016/679.
 •1. Es una autoridad administrativa independiente de ámbito estatal, con personalidad jurídica y plena capacidad pública y privada, que actúa
con plena independencia de los poderes públicos en el ejercicio de sus funciones. Su denominación oficial será «Agencia Española de Protección
de Datos, Autoridad Administrativa Independiente».
•Se relaciona con el Gobierno a través del Ministerio de Justicia.
Artículo 44. •2. Tendrá la condición de representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de
Disposiciones Protección de Datos.
generales. •3. Junto a el Consejo General del Poder Judicial colaborará en materia de protección de datos personales en el ámbito de la Administración de
Justicia.

•1. Se rige por lo dispuesto en el Reglamento (UE) 2016/679, la presente ley orgánica y sus disposiciones de desarrollo. Si es
compatible con su plena independencia, se regirá por las normas citadas en el artículo 110.1 de la Ley 40/2015, de 1 de AUTORIDADES
octubre, de Régimen Jurídico del Sector Público.
Artículo 45.
Régimen
•2. El Gobierno, a propuesta de la Agencia, aprobará su Estatuto mediante real decreto.
DE PROTECCION
jurídico
•1. Elaborará y aprobará su presupuesto y lo remitirá al Gobierno para que sea integrado en los Presupuestos
Generales del Estado.
•2. El régimen de modificaciones y de vinculación de los créditos del mismo será el establecido en el Estatuto de la
DE DATOS
Agencia. Su Presidencia debe autorizar las modificaciones presupuestarias de hasta un 3% de la cifra inicial de su
presupuesto total de gastos, siempre que no se incrementen los créditos para gastos de personal. Las restantes
modificaciones que no excedan de un 5% serán autorizadas por el Ministerio de Hacienda y el resto por el
Gobierno.
•3. Contará para cumpir sus fines con las asignaciones que se establezcan con cargo a los Presupuestos Generales
Artículo 46. del Estado, los bienes y valores que constituyan su patrimonio y los ingresos, ordinarios y extraordinarios
Régimen derivados del ejercicio de sus actividades
económico •4. El resultado positivo de sus ingresos se destinará a la dotación de sus reservas para garantizar su plena
presupuestario independencia.
y de personal •5. El personal a su servicio será funcionario o laboral.
•6. Elaborará y aprobará su relación de puestos de trabajo, en el marco de los criterios establecidos por el
Ministerio de Hacienda, respetando el límite de gasto de personal.
•7. Sin perjuicio de las competencias del Tribunal de Cuentas, su gestión económico-financiera estará sometida al
control de la Intervención General de la Administración del Estado.

Artículo 47.
Funciones y •Supervisar la aplicación de esta ley orgánica y del Reglamento (UE) 2016/679, ejercer las funciones establecidas en el
potestades de la artículo 57 y las potestades del artículo 58 y desempeñar las funciones y potestades que le atribuyan otras leyes o
Agencia Española normas de Derecho de la Unión Europea.
de Protección de
Datos
 • 1. Dirige, ostenta su representación y dicta sus resoluciones, circulares y directrices.
• 2. Se auxilia por un Adjunto en el que podrá delegar sus funciones, excepto las relacionadas con los procedimientos regulados por el Título VIII
• Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño.
•Artículo 48. La • 3. Ambos serán nombrados por el Gobierno, a propuesta del Ministerio de Justicia. Dos meses antes de expirar el mandato o causas de cese, este Ministerio
Presidencia de la ordenará la publicación en el BOE la convocatoria pública de candidatos.
Agencia Española de • Previa evaluación del mérito, capacidad, competencia e idoneidad de los candidatos, el Gobierno remitirá al Congreso de los Diputados una propuesta de
Protección de Datos. Presidencia y Adjunto acompañada de un Informe justificativo y ratificado por la Comisión de Justicia en votación pública.
• 4. La Presidencia y el Adjunto de la Agencia serán nombrados por el Consejo de Ministros mediante real decreto.
• 5. Su mandato dura 5 años y puede ser renovado por otro período de igual duración.
• Sólo cesarán antes de la expiración de su mandato, a petición propia o por separación acordada por el Consejo de Ministros, por: incumplimiento grave de sus
obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena firme por delito doloso.
• 6. Los actos y disposiciones dictados por la Presidencia de la Agencia Española de Protección de Datos ponen fin a la vía administrativa, siendo recurribles,
directamente, ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

• 1. La Presidencia de la Agencia estará asesorada por un Consejo Consultivo compuesto por:

• a) Un Diputado y un Senador
• b) Un representante del Consejo General del Poder Judicial y uno de la Administración general del Estado
• c) Un representante de cada Comunidad Autónoma
•Artículo 49. Consejo • d) Un experto de la Federación Española de Municipios y Provincias
Consultivo de la • e) Un experto del Consejo de Consumidores y Usuarios y dos de las Organizaciones Empresariales
Agencia
• f) Un representante de los profesionales de la protección de datos y de la privacidad
• g) Un representante de los organismos o entidades de supervisión y resolución extrajudicial de conflictos
• h) Un experto de la Conferencia de Rectores de las Universidades Españolas
• i) Un representante de las organizaciones de Consejos Generales, Superiores y Colegios Profesionales estatales
• j) Un representante de los profesionales de la seguridad de la información
• k) Un experto en transparencia y acceso a la información pública
• l) Dos expertos de las organizaciones sindicales más representativas
• 2. La condición de experto acredita conocimientos especializados de Derecho y protección de datos
• 3. Los miembros serán nombrados por orden del Ministro de Justicia, publicada en el BOE
• 4. Se reunirán cuando así lo disponga la Presidencia de la Agencia y, en todo caso, una vez al semestre.
• 5. Las decisiones tomadas no tendrán carácter vinculante.
•6. En lo no previsto, su régimen, competencias y funcionamiento se establecen en el Estatuto Orgánico de la Agencia
Española de Protección de Datos.

•Artículo 50.
Publicidad
• La Agencia publicará las resoluciones de su Presidencia que declaren haber lugar o no a la atención de los derechos reconocidos
en los artículos 15 a 22 del Reglamento (UE) 2016/679.
 •1.-Aplicación:
•1.- solicitud no atendida reclamada por un afectado
•2.- infracción
•2.-Normativa:
•Reglamento (UE) 2016/679
ART. 63 RÉGIMEN
•LOPD
JURÍDICO
•Con carácter subsidiario: normas generales sobre procedimientos administrativos
•3.-El Gobierno regulará los procedimientos tramitados por la AEPD

•1.-Admisión a trámite
•2.-Plazo 6 meses
•3.-Ante una posible existencia de infracción en el procedimiento:
•acuerdo de inicio adoptado por propia iniciativa (mediante el procedimiento sancionador)
ART.64 FORMA DE •reclamación (decisión de la AEPD de su admisión a trámite)
INICIACIÓN DEL •fase de actuaciones previas de investigación
PROCEDIMIENTO Y •plazo de procedimiento 9 meses
DURACIÓN •4.-La autoridad de control de otro Estado miembro de la UE podrá comunicar una reclamación a la AEPD para tramitar un
procedimiento.
•5.-Los plazos podrán ser suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunicamiento
preceptivo deun órgano u organismo de la UE.

•1.-Admisibilidad a trámite
•2.-Inadmitirá las que no versen sobre cuestiones de protección de datos. Medidas correctivas y circunstancias:
ART. 65 ADMISIÓN A •queno se haya causado perjuicio al afectado en el caso de las infracciones previstas
TRÁMITE D LAS •que no quede plenamente garantizado el derecho del afectado mediante la aplicación de medidas
RECLAMACIONES •3.-La AEPD remitirá la reclamación al delegado, encargado o responsable de protección de datos para la aplicación de los
códigos de conducta. Plazo un mes
•4.-Plazo para notificar al reclamante -->3 meses
 Determinación del alcance territorial. 1. Salvo en los supuestos a los que se refiere el artículo 64.3 de esta ley orgánica, la Agencia Española de Protección de Datos deberá, con
carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones
previas de investigación, examinar su competencia y determinar el carácter nacional o transfronterizo, en cualquiera de sus modalidades,
del procedimiento a seguir.
Artículo 66.

2. Si la Agencia Española de Protección de Datos considera que no tiene la condición de autoridad de control principal para la tramitación
del procedimiento remitirá, sin más trámite, la reclamación formulada a la autoridad de control principal que considere competente, a fin
de que por la misma se le dé el curso oportuno. La Agencia Española de Protección de Datos notificará esta circunstancia a quien, en su
caso, hubiera formulado la reclamación.
El acuerdo por el que se resuelva la remisión a la que se refiere el párrafo anterior implicará el archivo provisional del procedimiento, sin
perjuicio de que por la Agencia Española de Protección de Datos se dicte, en caso de que así proceda, la resolución a la que se refiere el
apartado 8 del artículo 60 del Reglamento (UE) 2016/679.
Actuaciones previas de investigación

1. Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia
Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los
hechos y las circunstancias que justifican la tramitación del procedimiento.
La Agencia Española de Protección de Datos actuará en todo caso cuando sea precisa la investigación de tratamientos que implique un
Artículo 67.

tráfico masivo de datos personales.

2. Las actuaciones previas de investigación se someterán a lo dispuesto en la Sección 2.ª del Capítulo I del Título VII de esta ley orgánica y
no podrán tener una duración superior a doce meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo
por el que se decida su iniciación cuando la Agencia Española de Protección de Datos actúe por propia iniciativa o como consecuencia de la
comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo
64.3 de esta ley orgánica.
 Acuerdo de inicio del procedimiento
para el ejercicio de la potestad
1. Concluidas, en su caso, las actuaciones a las que se refiere el artículo anterior, corresponderá a la Presidencia de la Agencia Española de
Protección de Datos, cuando así proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que
se concretarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción que hubiera
sancionadora.
Artículo 68.

podido cometerse y su posible sanción.

2. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el
procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se
someterá a lo dispuesto en el mismo.
Medidas provisionales y de garantía

1. Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad
sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y
proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del
Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
de los derechos.
Artículo 69.

2. En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos personales,
su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de datos personales, podrá
ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, en caso de
incumplirse por estos dichos mandatos, proceder a su inmovilización.

3. Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones,
a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de
Protección de Datos podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la
potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el
derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.
 Art 70. Sujetos ART 71.
ART 72 Infracciones
consideradas muy responsables Infracciones
graves
constituyen
los las entidades
ART 73 Infracciones los los representante las entidades acreditadas
infracciones los
ART 71 Infracciones responsables encargados actos y conductas
consideradas graves s no de de supervisión
de los de los establecidos certificación de los códigos
tratamientos tratamientos en la EU de conducta Reglamento
(UE) 2016/679

Art 83,
apartado 4, 5 y
6
ART 70 Sujetos RÉGIMEN ART 74 Infracciones
responsables SANCIONADOR consideradas leves
 Art 72 Infracciones
consideradas muy ART 73. Infracciones
graves consideradas graves

tipificación en
Reglamento (UE) Reglamento (UE)
tipos de infracciones Reglamento (UE)
2016/679, art 83.5 2016/679, art 83.6
2016/679, art 83.5 tipificación en
Reglamento (UE)
tipos de infracción Reglamento (UE)
2016/679, art 83.4
2016/679, art 83.4
algunos casos de Art 5, Art 6, Art 7, Art
prescriben en 3 años presciben a los 3 años
infracción 9, Art 10

algunos ejemplos de
vulneración del
infracciones de vulneracion de los infracciones de presciben a los 2 años Art 8, Art 8.2
tratamiento de datos
vulneracion principios del Art 13, Art 14 vulneracion personales
susttancial tratameinto de datos susttancial

incumplimiento de vulneración sustencial datos personales de un

requisitos de validez Art 15 Al Art 22 Art 25, Art 27, Art 28,
del consentimiento
de los derechos menor sin su
establecidos en la norma consentimiento Art 32.1

Utilización de datos
Art 44 Al Art 49, Art
sin la finalidad del
58.2
consentiemiento sin consultar a la
autoridadsobre la Capitulo IV
procteccion de datos
omisión de no
informar al afectado
sobre el tratamiento
de sus datos
utilizacion de una
certificacion sin que haya Art 39, Art 40, Art 41,
vulneración del deber
sido otorgado por la Art 42, Art 72
de confidencialidad entidad correspondiente

incumplimiento a una desempeño de funciones

resolucion por parte sin haber sido acreditado
de la autoridad al por la entidad
tratamiento de datos
coorespondiente
 •1. Todos tienen derecho a acceder a Internet
independientemente de su condición personal, social,
económica o geográfica.
Artículo 79. Los •2. Se garantizará un acceso universal, asequible, de
calidad y no discriminatorio para toda la población.
derechos en la Era
•3. El acceso a Internet de hombres y mujeres
digital.
procurará la superación de la brecha de género tanto
Artículo 80. Derecho a en el ámbito personal como laboral.
la neutralidad de •4. El acceso a Internet procurará la superación de la
Internet. brecha generacional mediante acciones dirigidas a la
formación y el acceso a las personas mayores.
Artículo 81. Derecho
•5. La garantía efectiva del derecho de acceso a
de acceso universal a Internet atenderá la realidad específica de los
Internet. entornos rurales.
•6. El acceso a Internet deberá garantizar condiciones
de igualdad para las personas que cuenten con
necesidades especiales.

•Los proveedores de servicios de Internet

Garantías de Artículo 82. Derecho
informarán a los usuarios de sus derechos
•Los padres, madres, tutores, curadores o
a la seguridad digital representantes legales procurarán que los
los Derechos Artículo 83. Derecho
a la educación
menores de edad hagan un uso equilibrado y
responsable de los dispositivos digitales y de los
Digitales digital.
Artículo 84.
servicios de la sociedad de la información.
•La utilización o difusión de imágenes o
Protección de los información personal de menores en las redes
menores en Internet. sociales y servicios de la sociedad de la
información equivalentes que puedan implicar
una intromisión ilegítima en sus derechos

•Todos tienen derecho a la libertad de expresión

en Internet.
•Los responsables de redes sociales y servicios
Artículo 85. Derecho equivalentes adoptarán protocolos adecuados
de rectificación en para posibilitar el ejercicio del derecho de
rectificación ante los usuarios que difundan
Internet. contenidos que atenten contra el derecho al
honor, la intimidad personal y familiar en Internet
y el derecho a comunicar o recibir libremente
información.
 Artículo 86. Derecho a la
actualización de informaciones
en medios de comunicación
digitales.
Artículo 87. Derecho a la
intimidad y uso de dispositivos
digitales en el ámbito laboral
Artículo 88. Derecho a la
desconexión digital en el ámbito
laboral.
Artículo 89. Derecho a la
intimidad frente al uso de
dispositivos de videovigilancia y
de grabación de sonidos en el
lugar de trabajo
• 1. Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad
en el uso de los dispositivos digitales.
• 2. El empleador podrá acceder a los contenidos de medios digitales facilitados a los
trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o
estatutarias y de garantizar la integridad de dichos dispositivos.
• 3. Los empleadores deberán establecer criterios de utilización de los dispositivos digitales
respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo
con los usos sociales y los derechos reconocidos constitucional y legalmente.
• Los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o
videocámaras para el ejercicio de las funciones de control de los trabajadores o los empleados
públicos previstas
• En ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de
videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los
empleados públicos, tales como vestuarios, aseos, comedores y análogos
• La grabación de sonidos en el lugar de trabajo se admitirá únicamente cuando resulten
relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la
actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de
proporcionalidad, el de intervención mínima y las garantías previstas
 Artículo 90. Derecho a la intimidad ante la utilización de sistemas de
geolocalización en el ámbito laboral.

TRATAR DATOS Artículo 92. Protección de datos de los menores en Internet

OBTENIDOS POR TRABAJADORES
GEOLOCALIZACIÓN (Art. 20.3 ET)
PUEDEN

EMPLEADOS PÚBLICOS Centros

(legislación de función
Publicación en
educativos redes sociales
pública)
EXISTENCIA Y CARACTERÍSTICAS
Personas físicas siempre con
Personas jurídicas consentimiento
EMPLEADORES
POSIBLE EJERCICIO DE DERECHOS:
ACCESO
Deber de
RECTIFICACIÓN
garantizar su
LIMITACIÓN
DEBEN protección y (art. 7 LOPD)
SUPRESIÓN
INFORMAR derechos
A
fundamentales DATOS DE
TRABAJADORES
MENORES
EMPLEADOS PÚBLICOS
REPRESENTANTES

Artículo 91. Derechos digitales en la negociación colectiva.

CONVENIOS COLECTIVOS

PUEDEN ESTABLECER GARANTÍAS ADICIONALES

DERECHOS Y LIBERTADES EN ÁMBITO LABORAL

 Artículo 93. Derecho al olvido en búsquedas de Internet. Artículo 94. Derecho al olvido en servicios de redes sociales y servicios
equivalentes.
PREVALENCIA DE
DEVENIDOS POR
DERECHOS SOBRE
TIEMPO Y FINES SOLICITUD
RESULTADOS
SIMPLE

INADECUADOS INADECUADOS
INEXACTOS
NO IMPIDE EL ACCESO
A INFORMACIÓN A
DCHO. A SUPRIMIR INEXACTOS
PREVALENCIA DE
NO PERTINENTES
DCHO. A
TRAVÉS DE CRITERIOS DERECHOS SOBRE EL DATOS NO PERTINENTES
DIFERENTES AL MANTENIMIENTO DE
NO ACTUALIZADOS
ELIMINAR NOMBRE DATOS POR EL SERVICIO PERSONALES EN NO ACTUALIZADOS
EXCESIVOS
EXCESIVOS
RESULTADOS RRSS
TRAS BÚSQUEDA
CON NOMBRE
EXCEPCIÓN: LOS FACILITADOS
POR PERSONAS FÍSICAS EN
Artículo 95. Derecho de portabilidad en servicios de redes sociales y ACTIVIDADES PERSONALES O
DOMÉSTICAS
servicios equivalentes. El usuario tiene derecho a:
-Recibir y transmitir los contenidos
facilitados previamente.
- Que el prestador los transmita a otro
designado por él mismo.

Los prestadores podrán conservar

copia cuando sea necesario ( sin
difusión)
Artículo 96. Derecho al testamento digital.