Post on 30-Apr-2018
transcript
1
TRABAJO DE FIN DE GRADO
LA PROTECCIOacuteN DE DATOS EN LA
UNIOacuteN EUROPEA ASPECTOS
JURIacuteDICOS RELEVANTES
Autora
Clara DARNET
Directora del Trabajo
BLANCA VILA COSTA
Trabajo de Fin de Grado
Cuarto Curso del Grado en Derecho
Facultad de Derecho
Departamento de Derecho Internacional Privado
En Bellaterra a 11 de mayo 2017
2
RESUMEN
La proteccioacuten de datos es el nuevo objetivo de los legisladores De hecho el dato
tiene hoy en diacutea la consideracioacuten de bien econoacutemico susceptible de valoracioacuten
pecuniaria lo que tiene como consecuencia la creacioacuten de normas comunitarias a
fin de proteger los usuarios europeos
A lo largo del presente trabajo se analizaraacute en profundidad el nuevo reglamento de
proteccioacuten de datos el Reglamento (UE) 2016679 del Parlamento y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que
respecta al tratamiento de datos personales y a la libre circulacioacuten de estos
El mencionado estudio se efectuacutea atendiendo a los conceptos generales como
peculiares de cuyo texto asiacute como los oacuterganos institucionales creados por este No
se olvidaraacute mencionar las razones de creacioacuten o desarrollo de tales normas asiacute
como los resultados a obtener yu obtenidos Por consiguiente a traveacutes del estudio
de este texto europeo se quiere entender y criticar la implicacioacuten de la proteccioacuten
de datos actual
3
IacuteNDICE
ABREVIATURAS 4
INTRODUCCIOacuteN 5
I EL OBJETIVO DE LA PROTECCION lsquoEFECTIVArsquo DE LOS DATOS
PERSONALES EL CONSENTIMIENTO Y LAS TRANSFERENCIAS DE
DATOS 9
A El consentimiento claro y efectivo ante el mercado de la informacioacuten 9
1 La informacioacuten como un servicio 9
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida
privada 13
i) El concepto de privacidad 13
ii) El establecimiento de una reglamentacioacuten 18
B La transferencia de los datos 23
1 Cuestiones generales 23
i) Concepto de transferencias 23
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas 25
2 Un reglamento adaptado a la realidad 31
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS 33
A lsquoEl derecho al olvidorsquo una mirada actualizada 34
1 Enfoque histoacuterico 34
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener 38
B El establecimiento de una proteccioacuten especial para los nintildeos 41
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos 41
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la
buena aplicacioacuten del reglamento 46
3 El resultado a obtener 50
CONCLUSIONES 51
BIBLIOGRAFIA 54
4
ABREVIATURAS
AEPD Agencia Espantildeola de Proteccioacuten de Datos
CE Constitucioacuten Espantildeola de 1978
CNIL Commission Nationale Informatique et Liberteacutes
Directiva 9546CE Directiva 9546CE del Parlamento y del Consejo de 24 de
octubre de 1995 relativa a la proteccioacuten de las personas fiacutesicas en lo que respecta
al tratamiento de datos personales y a la libre circulacioacuten de estos datos
Comisioacuten Comisioacuten Europea
EEE Espacio Econoacutemico Europeo
EEUU Estados Unidos
LOPD Ley Orgaacutenica 151999 de 14 de diciembre de Proteccioacuten de Datos de
Caraacutecter Personal
LOPJ Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial
RGPD o Reglamento o Reglamento general de proteccioacuten de datos Reglamento
(UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la
proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos
personales y a la libre circulacioacuten de estos datos
STEDH Sentencia del Tribunal Europeo de Derechos Humanos
STJUE Sentencia del Tribunal de Justicia de la Unioacuten Europea
TEDH Tribunal Europeo de Derechos Humanos
TJUE Tribunal de Justicia de la Unioacuten Europa
UE Unioacuten Europea
UNICEF Fondo de las Naciones Unidas para la Infancia
5
INTRODUCCIOacuteN
I Justificacioacuten de la eleccioacuten del objeto estudiado
ldquoRecent inventions and business methods call attention to the next step which must
be taken for the protection of the personrdquo1 a traveacutes de esta cita de Warren y
Brandeis se puede destacar el objetivo principal del nuevo reglamento de
proteccioacuten de datos la proteccioacuten de los usuarios
Para entender porque se debe proteger los datos se debe primero aclarar este
concepto de dato El dato es toda informacioacuten sobre una persona fiacutesica identificada
o identificable Una persona puede ser identificada directa o indirectamente
mediante un identificador como por ejemplo un nombre un nuacutemero de
identificacioacuten datos de localizacioacuten un identificador en liacutenea o uno o varios
elementos propios de la identidad fiacutesica fisioloacutegica geneacutetica psiacutequica econoacutemica
cultural o social de dicha persona2 Por lo cual el dato es un elemento bastante
amplio que puede reunir diversas realidades
De hecho el RGPD en siacute nos expone los motivos de los legisladores europeos por
los cuales se ha redactado este texto Entre otros alegan el caraacutecter fundamental de
este derecho ndash protegido por diversos textos internacionales ndash y la necesidad de
adaptacioacuten a la realidad poliacutetico-socio-juriacutedica
Actualmente el dato es una de las nociones fundamentales de nuestra sociedad
Esta utilizado de manera individualizada por parte de los usuarios a traveacutes de la
creacioacuten de perfiles o por parte de las empresas a tiacutetulo econoacutemico para actuar en
el mercado De esa utilizacioacuten lucrativa nace la necesidad de crear reglas para
asegurarse que las empresas no abusen de las informaciones dadas por parte de los
ciudadanos
1 Miguel Recio Gayo Proteccioacuten de datos personales e innovacioacuten iquest(in)compatibles en Reus
Editorial Derecho de las nuevas tecnologiacuteas 2016 p 5 2 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la
proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos y por el que se deroga la Directiva 9546CE (Reglamento general de
proteccioacuten de datos o RGPD) Articulo 41
6
De hecho la era digital de nuestro siglo evoluciona tan raacutepidamente que para
asegurar una tutela efectiva de los derechos de los ciudadanos europeos se debe
ajustar esas reglas Tras cuatro antildeos de trabajo el diacutea 14 de abril de 2016 el
Parlamento Europeo adoptoacute el Proyecto y el 27 de abril de 2016 se adoptoacute el
Reglamento (UE) 2016679 del Parlamento y del Consejo relativo a la proteccioacuten
de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la
libre circulacioacuten de estos datos ha derogado la Directiva 9546CE a fin de reformar
la normativa ya existente para adaptarla al nuevo contexto poliacutetico-socio-juriacutedico
Somos consciente con el desarrollo de los medios informaacuteticos del aumento de los
flujos transfronterizos de datos personales3 pero no se debe restringir sino
controlar y supervisar el tratamiento de estos Como lo explica el reglamento
estudiado ldquoel tratamiento de datos personales debe estar concebido para servir a
la humanidad El derecho a la proteccioacuten de los datos personales no es un derecho
absoluto sino que debe considerarse en relacioacuten con su funcioacuten en la sociedad y
mantener el equilibrio con otros derechos fundamentales con arreglo al principio
de proporcionalidadrdquo4
Por lo que respecta a su aacutembito de aplicacioacuten conforme a su artiacuteculo 99 el
Reglamento entraraacute en vigor ldquoa los veinte diacuteas de su publicacioacuten oficial en el Diario
Oficial de la Unioacuten Europeardquo y ldquoseraacute aplicable a partir del 25 de mayo de 2018rdquo
momento a partir del cual ldquoseraacute obligatorio en todos sus elementos y directamente
aplicable en cada Estado miembrordquo5
Este nuevo reglamento modifica reglas ya existentes desarrolla unas que fueron
muy baacutesicas y crea otras que ya nunca fueron recogidas en textos europeos
3 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 5 4 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 4 5 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 99
7
Entonces nos aparece necesario hacer un estudio profundizado de este nuevo
paquete de reglas europeas a fin de entender coacutemo se proteger al usuario europeo
hoy en diacutea De hecho la figura central de este escrito es el ciudadano europeo
porque juega un papel fundamental en la nueva era digital ya sea activo o pasivo
II Objetivo y metodologiacutea de investigacioacuten
La finalidad principal de este trabajo es analizar y reflexionar sobre el reacutegimen
propuesto a fin de asegurar una tutela efectiva de los derechos de los ciudadanos
europeos especialmente desde el punto de vista comunitario y en particular a
traveacutes del estudio del nuevo reglamento de proteccioacuten de datos del 27 de abril de
2016 Maacutes precisamente se trata aquiacute de estudiar unas cuestiones fundamentales
del reglamento ya sean novedosas o no para examinar la proteccioacuten de los
residentes europeos Para conseguir este objetivo me propongo observar cuatro
reglas
En primera instancia dado que el dato es un concepto amplio estudiaremos las
normativas generales y extensas propuestas por los legisladores para defender cuyo
dato
Asiacute pues nos centraremos en primer lugar en el consentimiento claro y efectivo
como exigencia del reglamento para asegurar el derecho a la vida privada
Analizaremos la razoacuten de la existencia de tal consentimiento investigando el
mercado de la informacioacuten y esta uacuteltima como servicio Despueacutes cabera analizar la
nocioacuten de privacidad su evolucioacuten y su impacto sobre el concepto de dato para
poder entender y reflexionar sobre la legislacioacuten en vigor
En segundo lugar estudiaremos el otro tema central del nuevo reglamento las
transferencias de datos Entonces es necesario comprender el concepto de
transferencias Veremos que este concepto de transferencias esta tambieacuten muy
presente en las legislaciones nacionales y haremos un anaacutelisis comparativo del
reglamento con las legislaciones nacionales para concluir a una mayor proteccioacuten
8
comunitaria Finalmente notaremos que este texto europeo no es una simple norma
actualizada sino que se adapta a la realidad
En segunda instancia aunque el dato sea un concepto amplio calificaremos una
persona de uacutenica e individualizada por lo cual seraacute necesario previamente
establecer normas especiacuteficas a las necesidades de cada uno
Nos dedicaremos primero a investigar un sector especiacutefico novedad de este
reglamento (la Directiva 9546CE no la contemplaba) el derecho al olvido o
derecho de supresioacuten de manera que para discernir lo antildeadido a la reglamentacioacuten
establecida se debe estudiar su enfoque histoacuterico Se atenderaacute especialmente a la
Sentencia Google de 13 de mayo de 2013
Discutiremos en siguiente cual es el resultado a obtener y si se ha alcanzado
Para terminar creo necesario observar la proteccioacuten hacia los nintildeos A traveacutes de la
directiva ldquoTeacuteleacutevision Sans Frontiegravererdquo se efectuaraacute un anaacutelisis criacutetico de esa
normativa especial para los menores como limite al tratamiento de los datos Se
expondraacute siguientemente los oacuterganos institucionales y reflexionaremos sobre sus
papeles de tutores del reglamento Finalmente comprobaremos el resultado
obtenido y el posible resultado que se obtendraacute en un futuro proacuteximo
De manera sinteacutetica podemos decir que en este estudio se analizaraacute el reglamento
de lo general a lo particular para poder tener una visioacuten general y vislumbrar su
loacutegica
9
I EL OBJETIVO DE LA PROTECCION lsquoEFECTVArsquo DE LOS
DATOS PERSONALES EL CONSENTIMIENTO Y LAS
TRANSFERENCIAS DE DATOS
Se trata en primer lugar de estudiar el nuevo reglamento teniendo un punto de vista
general En efecto ha introducido novedades de tipo global la necesidad de un
consentimiento claro y efectivo (A) y reglas y requisitos precisos sobre
transferencias de datos (B)
A El consentimiento claro y efectivo ante el mercado de la informacioacuten
Este estudio tiene como objetivo el anaacutelisis de uno de los puntos fundamentales del
nuevo reglamento de proteccioacuten de datos la exigencia por parte de los individuos
de dar un consentimiento claro y efectivo para que se pueda emplear sus datos con
fines comerciales Sin embargo no se puede comprender correctamente por queacute se
instauroacute este requisito sin aclarar las razones
1 La informacioacuten como servicio
Hoy en diacutea la red no es uno de los medios principales sino el medio principal de
buacutesqueda y comunicacioacuten Por la facilidad de acceso a cualquier informacioacuten
requerida se podriacutea pensar que todo es posible accesible y sobre todo gratis No
obstante cuando se analiza un poco maacutes a fondo este tema podemos constatar que
es maacutes alambicado
Desde siempre la informacioacuten sea informaacutetica o no ha sido objeto de comercio
Sin embargo el incremento del desarrollo tecnoloacutegico e informaacutetico ha conducido
a un mercado de la informacioacuten Los ciudadanos cuando usan los medios
informaacuteticos y maacutes precisamente la red proporcionan datos personales que son una
fuente de gran intereacutes para la economiacutea numeacuterica Estos datos tienen cierto valor
pecuniario porque llevan informaciones personales que son trascendentales
10
Como lo dice Bruno Lasserre son ldquoun vector de dinamismo comercialrdquo6 Este
caraacutecter econoacutemico y poderoso de estos datos se desprende a la hora de explotarlos
Cuando un ciudadano provee una informacioacuten esta uacuteltima esta tratada no solamente
para el propoacutesito principal por la cual fue transmitida sino tambieacuten de forma que
pueda ser explotada por parte de otros operadores Asiacute se puede aprovechar esa
informacioacuten varias veces y venderla a diversos operadores Por lo cual tener la
informacioacuten es tener el poder porque se puede controlar la transmisioacuten de ese dato
y asiacute controlar el mercado
En efecto en el mercado quien tiene el poder es quien posee la informacioacuten
Se ve por lo tanto una relacioacuten muy estrecha entre competencia y proteccioacuten de
datos porque ldquoconstituye una cuestioacuten de competencia cuando la obtencioacuten de
aquellos datos personales permite a una empresa adquirir un incuestionable poder
en el mercadordquo7 Podemos tomar el ejemplo de Facebook en funcioacuten de los ldquolikesrdquo
o ldquodislikesrdquo Facebook puede establecer los gustos de cada uno de sus usuarios y
vender estas informaciones a diversas empresas para que puedan enviar publicidad
e incitar al consumo Este tratamiento es legal siempre que sea leal
Por lo tanto se establecen estaacutendares legales a respetar a traveacutes de normas internas
(por ejemplo la LOPD o el Real Decreto 172020078) pero sobre todo a traveacutes de
normas europeas reglamentos o directivas (por ejemplo el RGPD o la Directiva
9546CE9) que los Estados miembros deben integrar en su derecho nacional y
defender
6 Lasserre Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en ALMUNIA
Joaquim (et al) New Frontiers of antitrust 2013 Competition Law in times of Economic
Bruylant 2013 7 Lasserre Bruno Le point de vue de cit para15 8 Gobierno de Espana Ministerio de Industria Turismo y Comercio ldquoNormativa sobre proteccioacuten
de datos personas cataacutelogos y requisitos agrupados por materiasrdquo ISMS Forum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_datos_personalespd
f 9 Directiva 9546CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos en httpeur-lexeuropaeulegal-
contentESTXTuri=URISERV3Al14012
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
2
RESUMEN
La proteccioacuten de datos es el nuevo objetivo de los legisladores De hecho el dato
tiene hoy en diacutea la consideracioacuten de bien econoacutemico susceptible de valoracioacuten
pecuniaria lo que tiene como consecuencia la creacioacuten de normas comunitarias a
fin de proteger los usuarios europeos
A lo largo del presente trabajo se analizaraacute en profundidad el nuevo reglamento de
proteccioacuten de datos el Reglamento (UE) 2016679 del Parlamento y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que
respecta al tratamiento de datos personales y a la libre circulacioacuten de estos
El mencionado estudio se efectuacutea atendiendo a los conceptos generales como
peculiares de cuyo texto asiacute como los oacuterganos institucionales creados por este No
se olvidaraacute mencionar las razones de creacioacuten o desarrollo de tales normas asiacute
como los resultados a obtener yu obtenidos Por consiguiente a traveacutes del estudio
de este texto europeo se quiere entender y criticar la implicacioacuten de la proteccioacuten
de datos actual
3
IacuteNDICE
ABREVIATURAS 4
INTRODUCCIOacuteN 5
I EL OBJETIVO DE LA PROTECCION lsquoEFECTIVArsquo DE LOS DATOS
PERSONALES EL CONSENTIMIENTO Y LAS TRANSFERENCIAS DE
DATOS 9
A El consentimiento claro y efectivo ante el mercado de la informacioacuten 9
1 La informacioacuten como un servicio 9
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida
privada 13
i) El concepto de privacidad 13
ii) El establecimiento de una reglamentacioacuten 18
B La transferencia de los datos 23
1 Cuestiones generales 23
i) Concepto de transferencias 23
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas 25
2 Un reglamento adaptado a la realidad 31
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS 33
A lsquoEl derecho al olvidorsquo una mirada actualizada 34
1 Enfoque histoacuterico 34
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener 38
B El establecimiento de una proteccioacuten especial para los nintildeos 41
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos 41
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la
buena aplicacioacuten del reglamento 46
3 El resultado a obtener 50
CONCLUSIONES 51
BIBLIOGRAFIA 54
4
ABREVIATURAS
AEPD Agencia Espantildeola de Proteccioacuten de Datos
CE Constitucioacuten Espantildeola de 1978
CNIL Commission Nationale Informatique et Liberteacutes
Directiva 9546CE Directiva 9546CE del Parlamento y del Consejo de 24 de
octubre de 1995 relativa a la proteccioacuten de las personas fiacutesicas en lo que respecta
al tratamiento de datos personales y a la libre circulacioacuten de estos datos
Comisioacuten Comisioacuten Europea
EEE Espacio Econoacutemico Europeo
EEUU Estados Unidos
LOPD Ley Orgaacutenica 151999 de 14 de diciembre de Proteccioacuten de Datos de
Caraacutecter Personal
LOPJ Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial
RGPD o Reglamento o Reglamento general de proteccioacuten de datos Reglamento
(UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la
proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos
personales y a la libre circulacioacuten de estos datos
STEDH Sentencia del Tribunal Europeo de Derechos Humanos
STJUE Sentencia del Tribunal de Justicia de la Unioacuten Europea
TEDH Tribunal Europeo de Derechos Humanos
TJUE Tribunal de Justicia de la Unioacuten Europa
UE Unioacuten Europea
UNICEF Fondo de las Naciones Unidas para la Infancia
5
INTRODUCCIOacuteN
I Justificacioacuten de la eleccioacuten del objeto estudiado
ldquoRecent inventions and business methods call attention to the next step which must
be taken for the protection of the personrdquo1 a traveacutes de esta cita de Warren y
Brandeis se puede destacar el objetivo principal del nuevo reglamento de
proteccioacuten de datos la proteccioacuten de los usuarios
Para entender porque se debe proteger los datos se debe primero aclarar este
concepto de dato El dato es toda informacioacuten sobre una persona fiacutesica identificada
o identificable Una persona puede ser identificada directa o indirectamente
mediante un identificador como por ejemplo un nombre un nuacutemero de
identificacioacuten datos de localizacioacuten un identificador en liacutenea o uno o varios
elementos propios de la identidad fiacutesica fisioloacutegica geneacutetica psiacutequica econoacutemica
cultural o social de dicha persona2 Por lo cual el dato es un elemento bastante
amplio que puede reunir diversas realidades
De hecho el RGPD en siacute nos expone los motivos de los legisladores europeos por
los cuales se ha redactado este texto Entre otros alegan el caraacutecter fundamental de
este derecho ndash protegido por diversos textos internacionales ndash y la necesidad de
adaptacioacuten a la realidad poliacutetico-socio-juriacutedica
Actualmente el dato es una de las nociones fundamentales de nuestra sociedad
Esta utilizado de manera individualizada por parte de los usuarios a traveacutes de la
creacioacuten de perfiles o por parte de las empresas a tiacutetulo econoacutemico para actuar en
el mercado De esa utilizacioacuten lucrativa nace la necesidad de crear reglas para
asegurarse que las empresas no abusen de las informaciones dadas por parte de los
ciudadanos
1 Miguel Recio Gayo Proteccioacuten de datos personales e innovacioacuten iquest(in)compatibles en Reus
Editorial Derecho de las nuevas tecnologiacuteas 2016 p 5 2 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la
proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos y por el que se deroga la Directiva 9546CE (Reglamento general de
proteccioacuten de datos o RGPD) Articulo 41
6
De hecho la era digital de nuestro siglo evoluciona tan raacutepidamente que para
asegurar una tutela efectiva de los derechos de los ciudadanos europeos se debe
ajustar esas reglas Tras cuatro antildeos de trabajo el diacutea 14 de abril de 2016 el
Parlamento Europeo adoptoacute el Proyecto y el 27 de abril de 2016 se adoptoacute el
Reglamento (UE) 2016679 del Parlamento y del Consejo relativo a la proteccioacuten
de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la
libre circulacioacuten de estos datos ha derogado la Directiva 9546CE a fin de reformar
la normativa ya existente para adaptarla al nuevo contexto poliacutetico-socio-juriacutedico
Somos consciente con el desarrollo de los medios informaacuteticos del aumento de los
flujos transfronterizos de datos personales3 pero no se debe restringir sino
controlar y supervisar el tratamiento de estos Como lo explica el reglamento
estudiado ldquoel tratamiento de datos personales debe estar concebido para servir a
la humanidad El derecho a la proteccioacuten de los datos personales no es un derecho
absoluto sino que debe considerarse en relacioacuten con su funcioacuten en la sociedad y
mantener el equilibrio con otros derechos fundamentales con arreglo al principio
de proporcionalidadrdquo4
Por lo que respecta a su aacutembito de aplicacioacuten conforme a su artiacuteculo 99 el
Reglamento entraraacute en vigor ldquoa los veinte diacuteas de su publicacioacuten oficial en el Diario
Oficial de la Unioacuten Europeardquo y ldquoseraacute aplicable a partir del 25 de mayo de 2018rdquo
momento a partir del cual ldquoseraacute obligatorio en todos sus elementos y directamente
aplicable en cada Estado miembrordquo5
Este nuevo reglamento modifica reglas ya existentes desarrolla unas que fueron
muy baacutesicas y crea otras que ya nunca fueron recogidas en textos europeos
3 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 5 4 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 4 5 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 99
7
Entonces nos aparece necesario hacer un estudio profundizado de este nuevo
paquete de reglas europeas a fin de entender coacutemo se proteger al usuario europeo
hoy en diacutea De hecho la figura central de este escrito es el ciudadano europeo
porque juega un papel fundamental en la nueva era digital ya sea activo o pasivo
II Objetivo y metodologiacutea de investigacioacuten
La finalidad principal de este trabajo es analizar y reflexionar sobre el reacutegimen
propuesto a fin de asegurar una tutela efectiva de los derechos de los ciudadanos
europeos especialmente desde el punto de vista comunitario y en particular a
traveacutes del estudio del nuevo reglamento de proteccioacuten de datos del 27 de abril de
2016 Maacutes precisamente se trata aquiacute de estudiar unas cuestiones fundamentales
del reglamento ya sean novedosas o no para examinar la proteccioacuten de los
residentes europeos Para conseguir este objetivo me propongo observar cuatro
reglas
En primera instancia dado que el dato es un concepto amplio estudiaremos las
normativas generales y extensas propuestas por los legisladores para defender cuyo
dato
Asiacute pues nos centraremos en primer lugar en el consentimiento claro y efectivo
como exigencia del reglamento para asegurar el derecho a la vida privada
Analizaremos la razoacuten de la existencia de tal consentimiento investigando el
mercado de la informacioacuten y esta uacuteltima como servicio Despueacutes cabera analizar la
nocioacuten de privacidad su evolucioacuten y su impacto sobre el concepto de dato para
poder entender y reflexionar sobre la legislacioacuten en vigor
En segundo lugar estudiaremos el otro tema central del nuevo reglamento las
transferencias de datos Entonces es necesario comprender el concepto de
transferencias Veremos que este concepto de transferencias esta tambieacuten muy
presente en las legislaciones nacionales y haremos un anaacutelisis comparativo del
reglamento con las legislaciones nacionales para concluir a una mayor proteccioacuten
8
comunitaria Finalmente notaremos que este texto europeo no es una simple norma
actualizada sino que se adapta a la realidad
En segunda instancia aunque el dato sea un concepto amplio calificaremos una
persona de uacutenica e individualizada por lo cual seraacute necesario previamente
establecer normas especiacuteficas a las necesidades de cada uno
Nos dedicaremos primero a investigar un sector especiacutefico novedad de este
reglamento (la Directiva 9546CE no la contemplaba) el derecho al olvido o
derecho de supresioacuten de manera que para discernir lo antildeadido a la reglamentacioacuten
establecida se debe estudiar su enfoque histoacuterico Se atenderaacute especialmente a la
Sentencia Google de 13 de mayo de 2013
Discutiremos en siguiente cual es el resultado a obtener y si se ha alcanzado
Para terminar creo necesario observar la proteccioacuten hacia los nintildeos A traveacutes de la
directiva ldquoTeacuteleacutevision Sans Frontiegravererdquo se efectuaraacute un anaacutelisis criacutetico de esa
normativa especial para los menores como limite al tratamiento de los datos Se
expondraacute siguientemente los oacuterganos institucionales y reflexionaremos sobre sus
papeles de tutores del reglamento Finalmente comprobaremos el resultado
obtenido y el posible resultado que se obtendraacute en un futuro proacuteximo
De manera sinteacutetica podemos decir que en este estudio se analizaraacute el reglamento
de lo general a lo particular para poder tener una visioacuten general y vislumbrar su
loacutegica
9
I EL OBJETIVO DE LA PROTECCION lsquoEFECTVArsquo DE LOS
DATOS PERSONALES EL CONSENTIMIENTO Y LAS
TRANSFERENCIAS DE DATOS
Se trata en primer lugar de estudiar el nuevo reglamento teniendo un punto de vista
general En efecto ha introducido novedades de tipo global la necesidad de un
consentimiento claro y efectivo (A) y reglas y requisitos precisos sobre
transferencias de datos (B)
A El consentimiento claro y efectivo ante el mercado de la informacioacuten
Este estudio tiene como objetivo el anaacutelisis de uno de los puntos fundamentales del
nuevo reglamento de proteccioacuten de datos la exigencia por parte de los individuos
de dar un consentimiento claro y efectivo para que se pueda emplear sus datos con
fines comerciales Sin embargo no se puede comprender correctamente por queacute se
instauroacute este requisito sin aclarar las razones
1 La informacioacuten como servicio
Hoy en diacutea la red no es uno de los medios principales sino el medio principal de
buacutesqueda y comunicacioacuten Por la facilidad de acceso a cualquier informacioacuten
requerida se podriacutea pensar que todo es posible accesible y sobre todo gratis No
obstante cuando se analiza un poco maacutes a fondo este tema podemos constatar que
es maacutes alambicado
Desde siempre la informacioacuten sea informaacutetica o no ha sido objeto de comercio
Sin embargo el incremento del desarrollo tecnoloacutegico e informaacutetico ha conducido
a un mercado de la informacioacuten Los ciudadanos cuando usan los medios
informaacuteticos y maacutes precisamente la red proporcionan datos personales que son una
fuente de gran intereacutes para la economiacutea numeacuterica Estos datos tienen cierto valor
pecuniario porque llevan informaciones personales que son trascendentales
10
Como lo dice Bruno Lasserre son ldquoun vector de dinamismo comercialrdquo6 Este
caraacutecter econoacutemico y poderoso de estos datos se desprende a la hora de explotarlos
Cuando un ciudadano provee una informacioacuten esta uacuteltima esta tratada no solamente
para el propoacutesito principal por la cual fue transmitida sino tambieacuten de forma que
pueda ser explotada por parte de otros operadores Asiacute se puede aprovechar esa
informacioacuten varias veces y venderla a diversos operadores Por lo cual tener la
informacioacuten es tener el poder porque se puede controlar la transmisioacuten de ese dato
y asiacute controlar el mercado
En efecto en el mercado quien tiene el poder es quien posee la informacioacuten
Se ve por lo tanto una relacioacuten muy estrecha entre competencia y proteccioacuten de
datos porque ldquoconstituye una cuestioacuten de competencia cuando la obtencioacuten de
aquellos datos personales permite a una empresa adquirir un incuestionable poder
en el mercadordquo7 Podemos tomar el ejemplo de Facebook en funcioacuten de los ldquolikesrdquo
o ldquodislikesrdquo Facebook puede establecer los gustos de cada uno de sus usuarios y
vender estas informaciones a diversas empresas para que puedan enviar publicidad
e incitar al consumo Este tratamiento es legal siempre que sea leal
Por lo tanto se establecen estaacutendares legales a respetar a traveacutes de normas internas
(por ejemplo la LOPD o el Real Decreto 172020078) pero sobre todo a traveacutes de
normas europeas reglamentos o directivas (por ejemplo el RGPD o la Directiva
9546CE9) que los Estados miembros deben integrar en su derecho nacional y
defender
6 Lasserre Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en ALMUNIA
Joaquim (et al) New Frontiers of antitrust 2013 Competition Law in times of Economic
Bruylant 2013 7 Lasserre Bruno Le point de vue de cit para15 8 Gobierno de Espana Ministerio de Industria Turismo y Comercio ldquoNormativa sobre proteccioacuten
de datos personas cataacutelogos y requisitos agrupados por materiasrdquo ISMS Forum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_datos_personalespd
f 9 Directiva 9546CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos en httpeur-lexeuropaeulegal-
contentESTXTuri=URISERV3Al14012
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
3
IacuteNDICE
ABREVIATURAS 4
INTRODUCCIOacuteN 5
I EL OBJETIVO DE LA PROTECCION lsquoEFECTIVArsquo DE LOS DATOS
PERSONALES EL CONSENTIMIENTO Y LAS TRANSFERENCIAS DE
DATOS 9
A El consentimiento claro y efectivo ante el mercado de la informacioacuten 9
1 La informacioacuten como un servicio 9
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida
privada 13
i) El concepto de privacidad 13
ii) El establecimiento de una reglamentacioacuten 18
B La transferencia de los datos 23
1 Cuestiones generales 23
i) Concepto de transferencias 23
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas 25
2 Un reglamento adaptado a la realidad 31
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS 33
A lsquoEl derecho al olvidorsquo una mirada actualizada 34
1 Enfoque histoacuterico 34
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener 38
B El establecimiento de una proteccioacuten especial para los nintildeos 41
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos 41
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la
buena aplicacioacuten del reglamento 46
3 El resultado a obtener 50
CONCLUSIONES 51
BIBLIOGRAFIA 54
4
ABREVIATURAS
AEPD Agencia Espantildeola de Proteccioacuten de Datos
CE Constitucioacuten Espantildeola de 1978
CNIL Commission Nationale Informatique et Liberteacutes
Directiva 9546CE Directiva 9546CE del Parlamento y del Consejo de 24 de
octubre de 1995 relativa a la proteccioacuten de las personas fiacutesicas en lo que respecta
al tratamiento de datos personales y a la libre circulacioacuten de estos datos
Comisioacuten Comisioacuten Europea
EEE Espacio Econoacutemico Europeo
EEUU Estados Unidos
LOPD Ley Orgaacutenica 151999 de 14 de diciembre de Proteccioacuten de Datos de
Caraacutecter Personal
LOPJ Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial
RGPD o Reglamento o Reglamento general de proteccioacuten de datos Reglamento
(UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la
proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos
personales y a la libre circulacioacuten de estos datos
STEDH Sentencia del Tribunal Europeo de Derechos Humanos
STJUE Sentencia del Tribunal de Justicia de la Unioacuten Europea
TEDH Tribunal Europeo de Derechos Humanos
TJUE Tribunal de Justicia de la Unioacuten Europa
UE Unioacuten Europea
UNICEF Fondo de las Naciones Unidas para la Infancia
5
INTRODUCCIOacuteN
I Justificacioacuten de la eleccioacuten del objeto estudiado
ldquoRecent inventions and business methods call attention to the next step which must
be taken for the protection of the personrdquo1 a traveacutes de esta cita de Warren y
Brandeis se puede destacar el objetivo principal del nuevo reglamento de
proteccioacuten de datos la proteccioacuten de los usuarios
Para entender porque se debe proteger los datos se debe primero aclarar este
concepto de dato El dato es toda informacioacuten sobre una persona fiacutesica identificada
o identificable Una persona puede ser identificada directa o indirectamente
mediante un identificador como por ejemplo un nombre un nuacutemero de
identificacioacuten datos de localizacioacuten un identificador en liacutenea o uno o varios
elementos propios de la identidad fiacutesica fisioloacutegica geneacutetica psiacutequica econoacutemica
cultural o social de dicha persona2 Por lo cual el dato es un elemento bastante
amplio que puede reunir diversas realidades
De hecho el RGPD en siacute nos expone los motivos de los legisladores europeos por
los cuales se ha redactado este texto Entre otros alegan el caraacutecter fundamental de
este derecho ndash protegido por diversos textos internacionales ndash y la necesidad de
adaptacioacuten a la realidad poliacutetico-socio-juriacutedica
Actualmente el dato es una de las nociones fundamentales de nuestra sociedad
Esta utilizado de manera individualizada por parte de los usuarios a traveacutes de la
creacioacuten de perfiles o por parte de las empresas a tiacutetulo econoacutemico para actuar en
el mercado De esa utilizacioacuten lucrativa nace la necesidad de crear reglas para
asegurarse que las empresas no abusen de las informaciones dadas por parte de los
ciudadanos
1 Miguel Recio Gayo Proteccioacuten de datos personales e innovacioacuten iquest(in)compatibles en Reus
Editorial Derecho de las nuevas tecnologiacuteas 2016 p 5 2 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la
proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos y por el que se deroga la Directiva 9546CE (Reglamento general de
proteccioacuten de datos o RGPD) Articulo 41
6
De hecho la era digital de nuestro siglo evoluciona tan raacutepidamente que para
asegurar una tutela efectiva de los derechos de los ciudadanos europeos se debe
ajustar esas reglas Tras cuatro antildeos de trabajo el diacutea 14 de abril de 2016 el
Parlamento Europeo adoptoacute el Proyecto y el 27 de abril de 2016 se adoptoacute el
Reglamento (UE) 2016679 del Parlamento y del Consejo relativo a la proteccioacuten
de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la
libre circulacioacuten de estos datos ha derogado la Directiva 9546CE a fin de reformar
la normativa ya existente para adaptarla al nuevo contexto poliacutetico-socio-juriacutedico
Somos consciente con el desarrollo de los medios informaacuteticos del aumento de los
flujos transfronterizos de datos personales3 pero no se debe restringir sino
controlar y supervisar el tratamiento de estos Como lo explica el reglamento
estudiado ldquoel tratamiento de datos personales debe estar concebido para servir a
la humanidad El derecho a la proteccioacuten de los datos personales no es un derecho
absoluto sino que debe considerarse en relacioacuten con su funcioacuten en la sociedad y
mantener el equilibrio con otros derechos fundamentales con arreglo al principio
de proporcionalidadrdquo4
Por lo que respecta a su aacutembito de aplicacioacuten conforme a su artiacuteculo 99 el
Reglamento entraraacute en vigor ldquoa los veinte diacuteas de su publicacioacuten oficial en el Diario
Oficial de la Unioacuten Europeardquo y ldquoseraacute aplicable a partir del 25 de mayo de 2018rdquo
momento a partir del cual ldquoseraacute obligatorio en todos sus elementos y directamente
aplicable en cada Estado miembrordquo5
Este nuevo reglamento modifica reglas ya existentes desarrolla unas que fueron
muy baacutesicas y crea otras que ya nunca fueron recogidas en textos europeos
3 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 5 4 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 4 5 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 99
7
Entonces nos aparece necesario hacer un estudio profundizado de este nuevo
paquete de reglas europeas a fin de entender coacutemo se proteger al usuario europeo
hoy en diacutea De hecho la figura central de este escrito es el ciudadano europeo
porque juega un papel fundamental en la nueva era digital ya sea activo o pasivo
II Objetivo y metodologiacutea de investigacioacuten
La finalidad principal de este trabajo es analizar y reflexionar sobre el reacutegimen
propuesto a fin de asegurar una tutela efectiva de los derechos de los ciudadanos
europeos especialmente desde el punto de vista comunitario y en particular a
traveacutes del estudio del nuevo reglamento de proteccioacuten de datos del 27 de abril de
2016 Maacutes precisamente se trata aquiacute de estudiar unas cuestiones fundamentales
del reglamento ya sean novedosas o no para examinar la proteccioacuten de los
residentes europeos Para conseguir este objetivo me propongo observar cuatro
reglas
En primera instancia dado que el dato es un concepto amplio estudiaremos las
normativas generales y extensas propuestas por los legisladores para defender cuyo
dato
Asiacute pues nos centraremos en primer lugar en el consentimiento claro y efectivo
como exigencia del reglamento para asegurar el derecho a la vida privada
Analizaremos la razoacuten de la existencia de tal consentimiento investigando el
mercado de la informacioacuten y esta uacuteltima como servicio Despueacutes cabera analizar la
nocioacuten de privacidad su evolucioacuten y su impacto sobre el concepto de dato para
poder entender y reflexionar sobre la legislacioacuten en vigor
En segundo lugar estudiaremos el otro tema central del nuevo reglamento las
transferencias de datos Entonces es necesario comprender el concepto de
transferencias Veremos que este concepto de transferencias esta tambieacuten muy
presente en las legislaciones nacionales y haremos un anaacutelisis comparativo del
reglamento con las legislaciones nacionales para concluir a una mayor proteccioacuten
8
comunitaria Finalmente notaremos que este texto europeo no es una simple norma
actualizada sino que se adapta a la realidad
En segunda instancia aunque el dato sea un concepto amplio calificaremos una
persona de uacutenica e individualizada por lo cual seraacute necesario previamente
establecer normas especiacuteficas a las necesidades de cada uno
Nos dedicaremos primero a investigar un sector especiacutefico novedad de este
reglamento (la Directiva 9546CE no la contemplaba) el derecho al olvido o
derecho de supresioacuten de manera que para discernir lo antildeadido a la reglamentacioacuten
establecida se debe estudiar su enfoque histoacuterico Se atenderaacute especialmente a la
Sentencia Google de 13 de mayo de 2013
Discutiremos en siguiente cual es el resultado a obtener y si se ha alcanzado
Para terminar creo necesario observar la proteccioacuten hacia los nintildeos A traveacutes de la
directiva ldquoTeacuteleacutevision Sans Frontiegravererdquo se efectuaraacute un anaacutelisis criacutetico de esa
normativa especial para los menores como limite al tratamiento de los datos Se
expondraacute siguientemente los oacuterganos institucionales y reflexionaremos sobre sus
papeles de tutores del reglamento Finalmente comprobaremos el resultado
obtenido y el posible resultado que se obtendraacute en un futuro proacuteximo
De manera sinteacutetica podemos decir que en este estudio se analizaraacute el reglamento
de lo general a lo particular para poder tener una visioacuten general y vislumbrar su
loacutegica
9
I EL OBJETIVO DE LA PROTECCION lsquoEFECTVArsquo DE LOS
DATOS PERSONALES EL CONSENTIMIENTO Y LAS
TRANSFERENCIAS DE DATOS
Se trata en primer lugar de estudiar el nuevo reglamento teniendo un punto de vista
general En efecto ha introducido novedades de tipo global la necesidad de un
consentimiento claro y efectivo (A) y reglas y requisitos precisos sobre
transferencias de datos (B)
A El consentimiento claro y efectivo ante el mercado de la informacioacuten
Este estudio tiene como objetivo el anaacutelisis de uno de los puntos fundamentales del
nuevo reglamento de proteccioacuten de datos la exigencia por parte de los individuos
de dar un consentimiento claro y efectivo para que se pueda emplear sus datos con
fines comerciales Sin embargo no se puede comprender correctamente por queacute se
instauroacute este requisito sin aclarar las razones
1 La informacioacuten como servicio
Hoy en diacutea la red no es uno de los medios principales sino el medio principal de
buacutesqueda y comunicacioacuten Por la facilidad de acceso a cualquier informacioacuten
requerida se podriacutea pensar que todo es posible accesible y sobre todo gratis No
obstante cuando se analiza un poco maacutes a fondo este tema podemos constatar que
es maacutes alambicado
Desde siempre la informacioacuten sea informaacutetica o no ha sido objeto de comercio
Sin embargo el incremento del desarrollo tecnoloacutegico e informaacutetico ha conducido
a un mercado de la informacioacuten Los ciudadanos cuando usan los medios
informaacuteticos y maacutes precisamente la red proporcionan datos personales que son una
fuente de gran intereacutes para la economiacutea numeacuterica Estos datos tienen cierto valor
pecuniario porque llevan informaciones personales que son trascendentales
10
Como lo dice Bruno Lasserre son ldquoun vector de dinamismo comercialrdquo6 Este
caraacutecter econoacutemico y poderoso de estos datos se desprende a la hora de explotarlos
Cuando un ciudadano provee una informacioacuten esta uacuteltima esta tratada no solamente
para el propoacutesito principal por la cual fue transmitida sino tambieacuten de forma que
pueda ser explotada por parte de otros operadores Asiacute se puede aprovechar esa
informacioacuten varias veces y venderla a diversos operadores Por lo cual tener la
informacioacuten es tener el poder porque se puede controlar la transmisioacuten de ese dato
y asiacute controlar el mercado
En efecto en el mercado quien tiene el poder es quien posee la informacioacuten
Se ve por lo tanto una relacioacuten muy estrecha entre competencia y proteccioacuten de
datos porque ldquoconstituye una cuestioacuten de competencia cuando la obtencioacuten de
aquellos datos personales permite a una empresa adquirir un incuestionable poder
en el mercadordquo7 Podemos tomar el ejemplo de Facebook en funcioacuten de los ldquolikesrdquo
o ldquodislikesrdquo Facebook puede establecer los gustos de cada uno de sus usuarios y
vender estas informaciones a diversas empresas para que puedan enviar publicidad
e incitar al consumo Este tratamiento es legal siempre que sea leal
Por lo tanto se establecen estaacutendares legales a respetar a traveacutes de normas internas
(por ejemplo la LOPD o el Real Decreto 172020078) pero sobre todo a traveacutes de
normas europeas reglamentos o directivas (por ejemplo el RGPD o la Directiva
9546CE9) que los Estados miembros deben integrar en su derecho nacional y
defender
6 Lasserre Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en ALMUNIA
Joaquim (et al) New Frontiers of antitrust 2013 Competition Law in times of Economic
Bruylant 2013 7 Lasserre Bruno Le point de vue de cit para15 8 Gobierno de Espana Ministerio de Industria Turismo y Comercio ldquoNormativa sobre proteccioacuten
de datos personas cataacutelogos y requisitos agrupados por materiasrdquo ISMS Forum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_datos_personalespd
f 9 Directiva 9546CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos en httpeur-lexeuropaeulegal-
contentESTXTuri=URISERV3Al14012
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
4
ABREVIATURAS
AEPD Agencia Espantildeola de Proteccioacuten de Datos
CE Constitucioacuten Espantildeola de 1978
CNIL Commission Nationale Informatique et Liberteacutes
Directiva 9546CE Directiva 9546CE del Parlamento y del Consejo de 24 de
octubre de 1995 relativa a la proteccioacuten de las personas fiacutesicas en lo que respecta
al tratamiento de datos personales y a la libre circulacioacuten de estos datos
Comisioacuten Comisioacuten Europea
EEE Espacio Econoacutemico Europeo
EEUU Estados Unidos
LOPD Ley Orgaacutenica 151999 de 14 de diciembre de Proteccioacuten de Datos de
Caraacutecter Personal
LOPJ Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial
RGPD o Reglamento o Reglamento general de proteccioacuten de datos Reglamento
(UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la
proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos
personales y a la libre circulacioacuten de estos datos
STEDH Sentencia del Tribunal Europeo de Derechos Humanos
STJUE Sentencia del Tribunal de Justicia de la Unioacuten Europea
TEDH Tribunal Europeo de Derechos Humanos
TJUE Tribunal de Justicia de la Unioacuten Europa
UE Unioacuten Europea
UNICEF Fondo de las Naciones Unidas para la Infancia
5
INTRODUCCIOacuteN
I Justificacioacuten de la eleccioacuten del objeto estudiado
ldquoRecent inventions and business methods call attention to the next step which must
be taken for the protection of the personrdquo1 a traveacutes de esta cita de Warren y
Brandeis se puede destacar el objetivo principal del nuevo reglamento de
proteccioacuten de datos la proteccioacuten de los usuarios
Para entender porque se debe proteger los datos se debe primero aclarar este
concepto de dato El dato es toda informacioacuten sobre una persona fiacutesica identificada
o identificable Una persona puede ser identificada directa o indirectamente
mediante un identificador como por ejemplo un nombre un nuacutemero de
identificacioacuten datos de localizacioacuten un identificador en liacutenea o uno o varios
elementos propios de la identidad fiacutesica fisioloacutegica geneacutetica psiacutequica econoacutemica
cultural o social de dicha persona2 Por lo cual el dato es un elemento bastante
amplio que puede reunir diversas realidades
De hecho el RGPD en siacute nos expone los motivos de los legisladores europeos por
los cuales se ha redactado este texto Entre otros alegan el caraacutecter fundamental de
este derecho ndash protegido por diversos textos internacionales ndash y la necesidad de
adaptacioacuten a la realidad poliacutetico-socio-juriacutedica
Actualmente el dato es una de las nociones fundamentales de nuestra sociedad
Esta utilizado de manera individualizada por parte de los usuarios a traveacutes de la
creacioacuten de perfiles o por parte de las empresas a tiacutetulo econoacutemico para actuar en
el mercado De esa utilizacioacuten lucrativa nace la necesidad de crear reglas para
asegurarse que las empresas no abusen de las informaciones dadas por parte de los
ciudadanos
1 Miguel Recio Gayo Proteccioacuten de datos personales e innovacioacuten iquest(in)compatibles en Reus
Editorial Derecho de las nuevas tecnologiacuteas 2016 p 5 2 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la
proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos y por el que se deroga la Directiva 9546CE (Reglamento general de
proteccioacuten de datos o RGPD) Articulo 41
6
De hecho la era digital de nuestro siglo evoluciona tan raacutepidamente que para
asegurar una tutela efectiva de los derechos de los ciudadanos europeos se debe
ajustar esas reglas Tras cuatro antildeos de trabajo el diacutea 14 de abril de 2016 el
Parlamento Europeo adoptoacute el Proyecto y el 27 de abril de 2016 se adoptoacute el
Reglamento (UE) 2016679 del Parlamento y del Consejo relativo a la proteccioacuten
de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la
libre circulacioacuten de estos datos ha derogado la Directiva 9546CE a fin de reformar
la normativa ya existente para adaptarla al nuevo contexto poliacutetico-socio-juriacutedico
Somos consciente con el desarrollo de los medios informaacuteticos del aumento de los
flujos transfronterizos de datos personales3 pero no se debe restringir sino
controlar y supervisar el tratamiento de estos Como lo explica el reglamento
estudiado ldquoel tratamiento de datos personales debe estar concebido para servir a
la humanidad El derecho a la proteccioacuten de los datos personales no es un derecho
absoluto sino que debe considerarse en relacioacuten con su funcioacuten en la sociedad y
mantener el equilibrio con otros derechos fundamentales con arreglo al principio
de proporcionalidadrdquo4
Por lo que respecta a su aacutembito de aplicacioacuten conforme a su artiacuteculo 99 el
Reglamento entraraacute en vigor ldquoa los veinte diacuteas de su publicacioacuten oficial en el Diario
Oficial de la Unioacuten Europeardquo y ldquoseraacute aplicable a partir del 25 de mayo de 2018rdquo
momento a partir del cual ldquoseraacute obligatorio en todos sus elementos y directamente
aplicable en cada Estado miembrordquo5
Este nuevo reglamento modifica reglas ya existentes desarrolla unas que fueron
muy baacutesicas y crea otras que ya nunca fueron recogidas en textos europeos
3 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 5 4 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 4 5 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 99
7
Entonces nos aparece necesario hacer un estudio profundizado de este nuevo
paquete de reglas europeas a fin de entender coacutemo se proteger al usuario europeo
hoy en diacutea De hecho la figura central de este escrito es el ciudadano europeo
porque juega un papel fundamental en la nueva era digital ya sea activo o pasivo
II Objetivo y metodologiacutea de investigacioacuten
La finalidad principal de este trabajo es analizar y reflexionar sobre el reacutegimen
propuesto a fin de asegurar una tutela efectiva de los derechos de los ciudadanos
europeos especialmente desde el punto de vista comunitario y en particular a
traveacutes del estudio del nuevo reglamento de proteccioacuten de datos del 27 de abril de
2016 Maacutes precisamente se trata aquiacute de estudiar unas cuestiones fundamentales
del reglamento ya sean novedosas o no para examinar la proteccioacuten de los
residentes europeos Para conseguir este objetivo me propongo observar cuatro
reglas
En primera instancia dado que el dato es un concepto amplio estudiaremos las
normativas generales y extensas propuestas por los legisladores para defender cuyo
dato
Asiacute pues nos centraremos en primer lugar en el consentimiento claro y efectivo
como exigencia del reglamento para asegurar el derecho a la vida privada
Analizaremos la razoacuten de la existencia de tal consentimiento investigando el
mercado de la informacioacuten y esta uacuteltima como servicio Despueacutes cabera analizar la
nocioacuten de privacidad su evolucioacuten y su impacto sobre el concepto de dato para
poder entender y reflexionar sobre la legislacioacuten en vigor
En segundo lugar estudiaremos el otro tema central del nuevo reglamento las
transferencias de datos Entonces es necesario comprender el concepto de
transferencias Veremos que este concepto de transferencias esta tambieacuten muy
presente en las legislaciones nacionales y haremos un anaacutelisis comparativo del
reglamento con las legislaciones nacionales para concluir a una mayor proteccioacuten
8
comunitaria Finalmente notaremos que este texto europeo no es una simple norma
actualizada sino que se adapta a la realidad
En segunda instancia aunque el dato sea un concepto amplio calificaremos una
persona de uacutenica e individualizada por lo cual seraacute necesario previamente
establecer normas especiacuteficas a las necesidades de cada uno
Nos dedicaremos primero a investigar un sector especiacutefico novedad de este
reglamento (la Directiva 9546CE no la contemplaba) el derecho al olvido o
derecho de supresioacuten de manera que para discernir lo antildeadido a la reglamentacioacuten
establecida se debe estudiar su enfoque histoacuterico Se atenderaacute especialmente a la
Sentencia Google de 13 de mayo de 2013
Discutiremos en siguiente cual es el resultado a obtener y si se ha alcanzado
Para terminar creo necesario observar la proteccioacuten hacia los nintildeos A traveacutes de la
directiva ldquoTeacuteleacutevision Sans Frontiegravererdquo se efectuaraacute un anaacutelisis criacutetico de esa
normativa especial para los menores como limite al tratamiento de los datos Se
expondraacute siguientemente los oacuterganos institucionales y reflexionaremos sobre sus
papeles de tutores del reglamento Finalmente comprobaremos el resultado
obtenido y el posible resultado que se obtendraacute en un futuro proacuteximo
De manera sinteacutetica podemos decir que en este estudio se analizaraacute el reglamento
de lo general a lo particular para poder tener una visioacuten general y vislumbrar su
loacutegica
9
I EL OBJETIVO DE LA PROTECCION lsquoEFECTVArsquo DE LOS
DATOS PERSONALES EL CONSENTIMIENTO Y LAS
TRANSFERENCIAS DE DATOS
Se trata en primer lugar de estudiar el nuevo reglamento teniendo un punto de vista
general En efecto ha introducido novedades de tipo global la necesidad de un
consentimiento claro y efectivo (A) y reglas y requisitos precisos sobre
transferencias de datos (B)
A El consentimiento claro y efectivo ante el mercado de la informacioacuten
Este estudio tiene como objetivo el anaacutelisis de uno de los puntos fundamentales del
nuevo reglamento de proteccioacuten de datos la exigencia por parte de los individuos
de dar un consentimiento claro y efectivo para que se pueda emplear sus datos con
fines comerciales Sin embargo no se puede comprender correctamente por queacute se
instauroacute este requisito sin aclarar las razones
1 La informacioacuten como servicio
Hoy en diacutea la red no es uno de los medios principales sino el medio principal de
buacutesqueda y comunicacioacuten Por la facilidad de acceso a cualquier informacioacuten
requerida se podriacutea pensar que todo es posible accesible y sobre todo gratis No
obstante cuando se analiza un poco maacutes a fondo este tema podemos constatar que
es maacutes alambicado
Desde siempre la informacioacuten sea informaacutetica o no ha sido objeto de comercio
Sin embargo el incremento del desarrollo tecnoloacutegico e informaacutetico ha conducido
a un mercado de la informacioacuten Los ciudadanos cuando usan los medios
informaacuteticos y maacutes precisamente la red proporcionan datos personales que son una
fuente de gran intereacutes para la economiacutea numeacuterica Estos datos tienen cierto valor
pecuniario porque llevan informaciones personales que son trascendentales
10
Como lo dice Bruno Lasserre son ldquoun vector de dinamismo comercialrdquo6 Este
caraacutecter econoacutemico y poderoso de estos datos se desprende a la hora de explotarlos
Cuando un ciudadano provee una informacioacuten esta uacuteltima esta tratada no solamente
para el propoacutesito principal por la cual fue transmitida sino tambieacuten de forma que
pueda ser explotada por parte de otros operadores Asiacute se puede aprovechar esa
informacioacuten varias veces y venderla a diversos operadores Por lo cual tener la
informacioacuten es tener el poder porque se puede controlar la transmisioacuten de ese dato
y asiacute controlar el mercado
En efecto en el mercado quien tiene el poder es quien posee la informacioacuten
Se ve por lo tanto una relacioacuten muy estrecha entre competencia y proteccioacuten de
datos porque ldquoconstituye una cuestioacuten de competencia cuando la obtencioacuten de
aquellos datos personales permite a una empresa adquirir un incuestionable poder
en el mercadordquo7 Podemos tomar el ejemplo de Facebook en funcioacuten de los ldquolikesrdquo
o ldquodislikesrdquo Facebook puede establecer los gustos de cada uno de sus usuarios y
vender estas informaciones a diversas empresas para que puedan enviar publicidad
e incitar al consumo Este tratamiento es legal siempre que sea leal
Por lo tanto se establecen estaacutendares legales a respetar a traveacutes de normas internas
(por ejemplo la LOPD o el Real Decreto 172020078) pero sobre todo a traveacutes de
normas europeas reglamentos o directivas (por ejemplo el RGPD o la Directiva
9546CE9) que los Estados miembros deben integrar en su derecho nacional y
defender
6 Lasserre Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en ALMUNIA
Joaquim (et al) New Frontiers of antitrust 2013 Competition Law in times of Economic
Bruylant 2013 7 Lasserre Bruno Le point de vue de cit para15 8 Gobierno de Espana Ministerio de Industria Turismo y Comercio ldquoNormativa sobre proteccioacuten
de datos personas cataacutelogos y requisitos agrupados por materiasrdquo ISMS Forum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_datos_personalespd
f 9 Directiva 9546CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos en httpeur-lexeuropaeulegal-
contentESTXTuri=URISERV3Al14012
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
5
INTRODUCCIOacuteN
I Justificacioacuten de la eleccioacuten del objeto estudiado
ldquoRecent inventions and business methods call attention to the next step which must
be taken for the protection of the personrdquo1 a traveacutes de esta cita de Warren y
Brandeis se puede destacar el objetivo principal del nuevo reglamento de
proteccioacuten de datos la proteccioacuten de los usuarios
Para entender porque se debe proteger los datos se debe primero aclarar este
concepto de dato El dato es toda informacioacuten sobre una persona fiacutesica identificada
o identificable Una persona puede ser identificada directa o indirectamente
mediante un identificador como por ejemplo un nombre un nuacutemero de
identificacioacuten datos de localizacioacuten un identificador en liacutenea o uno o varios
elementos propios de la identidad fiacutesica fisioloacutegica geneacutetica psiacutequica econoacutemica
cultural o social de dicha persona2 Por lo cual el dato es un elemento bastante
amplio que puede reunir diversas realidades
De hecho el RGPD en siacute nos expone los motivos de los legisladores europeos por
los cuales se ha redactado este texto Entre otros alegan el caraacutecter fundamental de
este derecho ndash protegido por diversos textos internacionales ndash y la necesidad de
adaptacioacuten a la realidad poliacutetico-socio-juriacutedica
Actualmente el dato es una de las nociones fundamentales de nuestra sociedad
Esta utilizado de manera individualizada por parte de los usuarios a traveacutes de la
creacioacuten de perfiles o por parte de las empresas a tiacutetulo econoacutemico para actuar en
el mercado De esa utilizacioacuten lucrativa nace la necesidad de crear reglas para
asegurarse que las empresas no abusen de las informaciones dadas por parte de los
ciudadanos
1 Miguel Recio Gayo Proteccioacuten de datos personales e innovacioacuten iquest(in)compatibles en Reus
Editorial Derecho de las nuevas tecnologiacuteas 2016 p 5 2 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la
proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos y por el que se deroga la Directiva 9546CE (Reglamento general de
proteccioacuten de datos o RGPD) Articulo 41
6
De hecho la era digital de nuestro siglo evoluciona tan raacutepidamente que para
asegurar una tutela efectiva de los derechos de los ciudadanos europeos se debe
ajustar esas reglas Tras cuatro antildeos de trabajo el diacutea 14 de abril de 2016 el
Parlamento Europeo adoptoacute el Proyecto y el 27 de abril de 2016 se adoptoacute el
Reglamento (UE) 2016679 del Parlamento y del Consejo relativo a la proteccioacuten
de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la
libre circulacioacuten de estos datos ha derogado la Directiva 9546CE a fin de reformar
la normativa ya existente para adaptarla al nuevo contexto poliacutetico-socio-juriacutedico
Somos consciente con el desarrollo de los medios informaacuteticos del aumento de los
flujos transfronterizos de datos personales3 pero no se debe restringir sino
controlar y supervisar el tratamiento de estos Como lo explica el reglamento
estudiado ldquoel tratamiento de datos personales debe estar concebido para servir a
la humanidad El derecho a la proteccioacuten de los datos personales no es un derecho
absoluto sino que debe considerarse en relacioacuten con su funcioacuten en la sociedad y
mantener el equilibrio con otros derechos fundamentales con arreglo al principio
de proporcionalidadrdquo4
Por lo que respecta a su aacutembito de aplicacioacuten conforme a su artiacuteculo 99 el
Reglamento entraraacute en vigor ldquoa los veinte diacuteas de su publicacioacuten oficial en el Diario
Oficial de la Unioacuten Europeardquo y ldquoseraacute aplicable a partir del 25 de mayo de 2018rdquo
momento a partir del cual ldquoseraacute obligatorio en todos sus elementos y directamente
aplicable en cada Estado miembrordquo5
Este nuevo reglamento modifica reglas ya existentes desarrolla unas que fueron
muy baacutesicas y crea otras que ya nunca fueron recogidas en textos europeos
3 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 5 4 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 4 5 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 99
7
Entonces nos aparece necesario hacer un estudio profundizado de este nuevo
paquete de reglas europeas a fin de entender coacutemo se proteger al usuario europeo
hoy en diacutea De hecho la figura central de este escrito es el ciudadano europeo
porque juega un papel fundamental en la nueva era digital ya sea activo o pasivo
II Objetivo y metodologiacutea de investigacioacuten
La finalidad principal de este trabajo es analizar y reflexionar sobre el reacutegimen
propuesto a fin de asegurar una tutela efectiva de los derechos de los ciudadanos
europeos especialmente desde el punto de vista comunitario y en particular a
traveacutes del estudio del nuevo reglamento de proteccioacuten de datos del 27 de abril de
2016 Maacutes precisamente se trata aquiacute de estudiar unas cuestiones fundamentales
del reglamento ya sean novedosas o no para examinar la proteccioacuten de los
residentes europeos Para conseguir este objetivo me propongo observar cuatro
reglas
En primera instancia dado que el dato es un concepto amplio estudiaremos las
normativas generales y extensas propuestas por los legisladores para defender cuyo
dato
Asiacute pues nos centraremos en primer lugar en el consentimiento claro y efectivo
como exigencia del reglamento para asegurar el derecho a la vida privada
Analizaremos la razoacuten de la existencia de tal consentimiento investigando el
mercado de la informacioacuten y esta uacuteltima como servicio Despueacutes cabera analizar la
nocioacuten de privacidad su evolucioacuten y su impacto sobre el concepto de dato para
poder entender y reflexionar sobre la legislacioacuten en vigor
En segundo lugar estudiaremos el otro tema central del nuevo reglamento las
transferencias de datos Entonces es necesario comprender el concepto de
transferencias Veremos que este concepto de transferencias esta tambieacuten muy
presente en las legislaciones nacionales y haremos un anaacutelisis comparativo del
reglamento con las legislaciones nacionales para concluir a una mayor proteccioacuten
8
comunitaria Finalmente notaremos que este texto europeo no es una simple norma
actualizada sino que se adapta a la realidad
En segunda instancia aunque el dato sea un concepto amplio calificaremos una
persona de uacutenica e individualizada por lo cual seraacute necesario previamente
establecer normas especiacuteficas a las necesidades de cada uno
Nos dedicaremos primero a investigar un sector especiacutefico novedad de este
reglamento (la Directiva 9546CE no la contemplaba) el derecho al olvido o
derecho de supresioacuten de manera que para discernir lo antildeadido a la reglamentacioacuten
establecida se debe estudiar su enfoque histoacuterico Se atenderaacute especialmente a la
Sentencia Google de 13 de mayo de 2013
Discutiremos en siguiente cual es el resultado a obtener y si se ha alcanzado
Para terminar creo necesario observar la proteccioacuten hacia los nintildeos A traveacutes de la
directiva ldquoTeacuteleacutevision Sans Frontiegravererdquo se efectuaraacute un anaacutelisis criacutetico de esa
normativa especial para los menores como limite al tratamiento de los datos Se
expondraacute siguientemente los oacuterganos institucionales y reflexionaremos sobre sus
papeles de tutores del reglamento Finalmente comprobaremos el resultado
obtenido y el posible resultado que se obtendraacute en un futuro proacuteximo
De manera sinteacutetica podemos decir que en este estudio se analizaraacute el reglamento
de lo general a lo particular para poder tener una visioacuten general y vislumbrar su
loacutegica
9
I EL OBJETIVO DE LA PROTECCION lsquoEFECTVArsquo DE LOS
DATOS PERSONALES EL CONSENTIMIENTO Y LAS
TRANSFERENCIAS DE DATOS
Se trata en primer lugar de estudiar el nuevo reglamento teniendo un punto de vista
general En efecto ha introducido novedades de tipo global la necesidad de un
consentimiento claro y efectivo (A) y reglas y requisitos precisos sobre
transferencias de datos (B)
A El consentimiento claro y efectivo ante el mercado de la informacioacuten
Este estudio tiene como objetivo el anaacutelisis de uno de los puntos fundamentales del
nuevo reglamento de proteccioacuten de datos la exigencia por parte de los individuos
de dar un consentimiento claro y efectivo para que se pueda emplear sus datos con
fines comerciales Sin embargo no se puede comprender correctamente por queacute se
instauroacute este requisito sin aclarar las razones
1 La informacioacuten como servicio
Hoy en diacutea la red no es uno de los medios principales sino el medio principal de
buacutesqueda y comunicacioacuten Por la facilidad de acceso a cualquier informacioacuten
requerida se podriacutea pensar que todo es posible accesible y sobre todo gratis No
obstante cuando se analiza un poco maacutes a fondo este tema podemos constatar que
es maacutes alambicado
Desde siempre la informacioacuten sea informaacutetica o no ha sido objeto de comercio
Sin embargo el incremento del desarrollo tecnoloacutegico e informaacutetico ha conducido
a un mercado de la informacioacuten Los ciudadanos cuando usan los medios
informaacuteticos y maacutes precisamente la red proporcionan datos personales que son una
fuente de gran intereacutes para la economiacutea numeacuterica Estos datos tienen cierto valor
pecuniario porque llevan informaciones personales que son trascendentales
10
Como lo dice Bruno Lasserre son ldquoun vector de dinamismo comercialrdquo6 Este
caraacutecter econoacutemico y poderoso de estos datos se desprende a la hora de explotarlos
Cuando un ciudadano provee una informacioacuten esta uacuteltima esta tratada no solamente
para el propoacutesito principal por la cual fue transmitida sino tambieacuten de forma que
pueda ser explotada por parte de otros operadores Asiacute se puede aprovechar esa
informacioacuten varias veces y venderla a diversos operadores Por lo cual tener la
informacioacuten es tener el poder porque se puede controlar la transmisioacuten de ese dato
y asiacute controlar el mercado
En efecto en el mercado quien tiene el poder es quien posee la informacioacuten
Se ve por lo tanto una relacioacuten muy estrecha entre competencia y proteccioacuten de
datos porque ldquoconstituye una cuestioacuten de competencia cuando la obtencioacuten de
aquellos datos personales permite a una empresa adquirir un incuestionable poder
en el mercadordquo7 Podemos tomar el ejemplo de Facebook en funcioacuten de los ldquolikesrdquo
o ldquodislikesrdquo Facebook puede establecer los gustos de cada uno de sus usuarios y
vender estas informaciones a diversas empresas para que puedan enviar publicidad
e incitar al consumo Este tratamiento es legal siempre que sea leal
Por lo tanto se establecen estaacutendares legales a respetar a traveacutes de normas internas
(por ejemplo la LOPD o el Real Decreto 172020078) pero sobre todo a traveacutes de
normas europeas reglamentos o directivas (por ejemplo el RGPD o la Directiva
9546CE9) que los Estados miembros deben integrar en su derecho nacional y
defender
6 Lasserre Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en ALMUNIA
Joaquim (et al) New Frontiers of antitrust 2013 Competition Law in times of Economic
Bruylant 2013 7 Lasserre Bruno Le point de vue de cit para15 8 Gobierno de Espana Ministerio de Industria Turismo y Comercio ldquoNormativa sobre proteccioacuten
de datos personas cataacutelogos y requisitos agrupados por materiasrdquo ISMS Forum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_datos_personalespd
f 9 Directiva 9546CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos en httpeur-lexeuropaeulegal-
contentESTXTuri=URISERV3Al14012
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
6
De hecho la era digital de nuestro siglo evoluciona tan raacutepidamente que para
asegurar una tutela efectiva de los derechos de los ciudadanos europeos se debe
ajustar esas reglas Tras cuatro antildeos de trabajo el diacutea 14 de abril de 2016 el
Parlamento Europeo adoptoacute el Proyecto y el 27 de abril de 2016 se adoptoacute el
Reglamento (UE) 2016679 del Parlamento y del Consejo relativo a la proteccioacuten
de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la
libre circulacioacuten de estos datos ha derogado la Directiva 9546CE a fin de reformar
la normativa ya existente para adaptarla al nuevo contexto poliacutetico-socio-juriacutedico
Somos consciente con el desarrollo de los medios informaacuteticos del aumento de los
flujos transfronterizos de datos personales3 pero no se debe restringir sino
controlar y supervisar el tratamiento de estos Como lo explica el reglamento
estudiado ldquoel tratamiento de datos personales debe estar concebido para servir a
la humanidad El derecho a la proteccioacuten de los datos personales no es un derecho
absoluto sino que debe considerarse en relacioacuten con su funcioacuten en la sociedad y
mantener el equilibrio con otros derechos fundamentales con arreglo al principio
de proporcionalidadrdquo4
Por lo que respecta a su aacutembito de aplicacioacuten conforme a su artiacuteculo 99 el
Reglamento entraraacute en vigor ldquoa los veinte diacuteas de su publicacioacuten oficial en el Diario
Oficial de la Unioacuten Europeardquo y ldquoseraacute aplicable a partir del 25 de mayo de 2018rdquo
momento a partir del cual ldquoseraacute obligatorio en todos sus elementos y directamente
aplicable en cada Estado miembrordquo5
Este nuevo reglamento modifica reglas ya existentes desarrolla unas que fueron
muy baacutesicas y crea otras que ya nunca fueron recogidas en textos europeos
3 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 5 4 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Motivo 4 5 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 99
7
Entonces nos aparece necesario hacer un estudio profundizado de este nuevo
paquete de reglas europeas a fin de entender coacutemo se proteger al usuario europeo
hoy en diacutea De hecho la figura central de este escrito es el ciudadano europeo
porque juega un papel fundamental en la nueva era digital ya sea activo o pasivo
II Objetivo y metodologiacutea de investigacioacuten
La finalidad principal de este trabajo es analizar y reflexionar sobre el reacutegimen
propuesto a fin de asegurar una tutela efectiva de los derechos de los ciudadanos
europeos especialmente desde el punto de vista comunitario y en particular a
traveacutes del estudio del nuevo reglamento de proteccioacuten de datos del 27 de abril de
2016 Maacutes precisamente se trata aquiacute de estudiar unas cuestiones fundamentales
del reglamento ya sean novedosas o no para examinar la proteccioacuten de los
residentes europeos Para conseguir este objetivo me propongo observar cuatro
reglas
En primera instancia dado que el dato es un concepto amplio estudiaremos las
normativas generales y extensas propuestas por los legisladores para defender cuyo
dato
Asiacute pues nos centraremos en primer lugar en el consentimiento claro y efectivo
como exigencia del reglamento para asegurar el derecho a la vida privada
Analizaremos la razoacuten de la existencia de tal consentimiento investigando el
mercado de la informacioacuten y esta uacuteltima como servicio Despueacutes cabera analizar la
nocioacuten de privacidad su evolucioacuten y su impacto sobre el concepto de dato para
poder entender y reflexionar sobre la legislacioacuten en vigor
En segundo lugar estudiaremos el otro tema central del nuevo reglamento las
transferencias de datos Entonces es necesario comprender el concepto de
transferencias Veremos que este concepto de transferencias esta tambieacuten muy
presente en las legislaciones nacionales y haremos un anaacutelisis comparativo del
reglamento con las legislaciones nacionales para concluir a una mayor proteccioacuten
8
comunitaria Finalmente notaremos que este texto europeo no es una simple norma
actualizada sino que se adapta a la realidad
En segunda instancia aunque el dato sea un concepto amplio calificaremos una
persona de uacutenica e individualizada por lo cual seraacute necesario previamente
establecer normas especiacuteficas a las necesidades de cada uno
Nos dedicaremos primero a investigar un sector especiacutefico novedad de este
reglamento (la Directiva 9546CE no la contemplaba) el derecho al olvido o
derecho de supresioacuten de manera que para discernir lo antildeadido a la reglamentacioacuten
establecida se debe estudiar su enfoque histoacuterico Se atenderaacute especialmente a la
Sentencia Google de 13 de mayo de 2013
Discutiremos en siguiente cual es el resultado a obtener y si se ha alcanzado
Para terminar creo necesario observar la proteccioacuten hacia los nintildeos A traveacutes de la
directiva ldquoTeacuteleacutevision Sans Frontiegravererdquo se efectuaraacute un anaacutelisis criacutetico de esa
normativa especial para los menores como limite al tratamiento de los datos Se
expondraacute siguientemente los oacuterganos institucionales y reflexionaremos sobre sus
papeles de tutores del reglamento Finalmente comprobaremos el resultado
obtenido y el posible resultado que se obtendraacute en un futuro proacuteximo
De manera sinteacutetica podemos decir que en este estudio se analizaraacute el reglamento
de lo general a lo particular para poder tener una visioacuten general y vislumbrar su
loacutegica
9
I EL OBJETIVO DE LA PROTECCION lsquoEFECTVArsquo DE LOS
DATOS PERSONALES EL CONSENTIMIENTO Y LAS
TRANSFERENCIAS DE DATOS
Se trata en primer lugar de estudiar el nuevo reglamento teniendo un punto de vista
general En efecto ha introducido novedades de tipo global la necesidad de un
consentimiento claro y efectivo (A) y reglas y requisitos precisos sobre
transferencias de datos (B)
A El consentimiento claro y efectivo ante el mercado de la informacioacuten
Este estudio tiene como objetivo el anaacutelisis de uno de los puntos fundamentales del
nuevo reglamento de proteccioacuten de datos la exigencia por parte de los individuos
de dar un consentimiento claro y efectivo para que se pueda emplear sus datos con
fines comerciales Sin embargo no se puede comprender correctamente por queacute se
instauroacute este requisito sin aclarar las razones
1 La informacioacuten como servicio
Hoy en diacutea la red no es uno de los medios principales sino el medio principal de
buacutesqueda y comunicacioacuten Por la facilidad de acceso a cualquier informacioacuten
requerida se podriacutea pensar que todo es posible accesible y sobre todo gratis No
obstante cuando se analiza un poco maacutes a fondo este tema podemos constatar que
es maacutes alambicado
Desde siempre la informacioacuten sea informaacutetica o no ha sido objeto de comercio
Sin embargo el incremento del desarrollo tecnoloacutegico e informaacutetico ha conducido
a un mercado de la informacioacuten Los ciudadanos cuando usan los medios
informaacuteticos y maacutes precisamente la red proporcionan datos personales que son una
fuente de gran intereacutes para la economiacutea numeacuterica Estos datos tienen cierto valor
pecuniario porque llevan informaciones personales que son trascendentales
10
Como lo dice Bruno Lasserre son ldquoun vector de dinamismo comercialrdquo6 Este
caraacutecter econoacutemico y poderoso de estos datos se desprende a la hora de explotarlos
Cuando un ciudadano provee una informacioacuten esta uacuteltima esta tratada no solamente
para el propoacutesito principal por la cual fue transmitida sino tambieacuten de forma que
pueda ser explotada por parte de otros operadores Asiacute se puede aprovechar esa
informacioacuten varias veces y venderla a diversos operadores Por lo cual tener la
informacioacuten es tener el poder porque se puede controlar la transmisioacuten de ese dato
y asiacute controlar el mercado
En efecto en el mercado quien tiene el poder es quien posee la informacioacuten
Se ve por lo tanto una relacioacuten muy estrecha entre competencia y proteccioacuten de
datos porque ldquoconstituye una cuestioacuten de competencia cuando la obtencioacuten de
aquellos datos personales permite a una empresa adquirir un incuestionable poder
en el mercadordquo7 Podemos tomar el ejemplo de Facebook en funcioacuten de los ldquolikesrdquo
o ldquodislikesrdquo Facebook puede establecer los gustos de cada uno de sus usuarios y
vender estas informaciones a diversas empresas para que puedan enviar publicidad
e incitar al consumo Este tratamiento es legal siempre que sea leal
Por lo tanto se establecen estaacutendares legales a respetar a traveacutes de normas internas
(por ejemplo la LOPD o el Real Decreto 172020078) pero sobre todo a traveacutes de
normas europeas reglamentos o directivas (por ejemplo el RGPD o la Directiva
9546CE9) que los Estados miembros deben integrar en su derecho nacional y
defender
6 Lasserre Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en ALMUNIA
Joaquim (et al) New Frontiers of antitrust 2013 Competition Law in times of Economic
Bruylant 2013 7 Lasserre Bruno Le point de vue de cit para15 8 Gobierno de Espana Ministerio de Industria Turismo y Comercio ldquoNormativa sobre proteccioacuten
de datos personas cataacutelogos y requisitos agrupados por materiasrdquo ISMS Forum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_datos_personalespd
f 9 Directiva 9546CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos en httpeur-lexeuropaeulegal-
contentESTXTuri=URISERV3Al14012
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
7
Entonces nos aparece necesario hacer un estudio profundizado de este nuevo
paquete de reglas europeas a fin de entender coacutemo se proteger al usuario europeo
hoy en diacutea De hecho la figura central de este escrito es el ciudadano europeo
porque juega un papel fundamental en la nueva era digital ya sea activo o pasivo
II Objetivo y metodologiacutea de investigacioacuten
La finalidad principal de este trabajo es analizar y reflexionar sobre el reacutegimen
propuesto a fin de asegurar una tutela efectiva de los derechos de los ciudadanos
europeos especialmente desde el punto de vista comunitario y en particular a
traveacutes del estudio del nuevo reglamento de proteccioacuten de datos del 27 de abril de
2016 Maacutes precisamente se trata aquiacute de estudiar unas cuestiones fundamentales
del reglamento ya sean novedosas o no para examinar la proteccioacuten de los
residentes europeos Para conseguir este objetivo me propongo observar cuatro
reglas
En primera instancia dado que el dato es un concepto amplio estudiaremos las
normativas generales y extensas propuestas por los legisladores para defender cuyo
dato
Asiacute pues nos centraremos en primer lugar en el consentimiento claro y efectivo
como exigencia del reglamento para asegurar el derecho a la vida privada
Analizaremos la razoacuten de la existencia de tal consentimiento investigando el
mercado de la informacioacuten y esta uacuteltima como servicio Despueacutes cabera analizar la
nocioacuten de privacidad su evolucioacuten y su impacto sobre el concepto de dato para
poder entender y reflexionar sobre la legislacioacuten en vigor
En segundo lugar estudiaremos el otro tema central del nuevo reglamento las
transferencias de datos Entonces es necesario comprender el concepto de
transferencias Veremos que este concepto de transferencias esta tambieacuten muy
presente en las legislaciones nacionales y haremos un anaacutelisis comparativo del
reglamento con las legislaciones nacionales para concluir a una mayor proteccioacuten
8
comunitaria Finalmente notaremos que este texto europeo no es una simple norma
actualizada sino que se adapta a la realidad
En segunda instancia aunque el dato sea un concepto amplio calificaremos una
persona de uacutenica e individualizada por lo cual seraacute necesario previamente
establecer normas especiacuteficas a las necesidades de cada uno
Nos dedicaremos primero a investigar un sector especiacutefico novedad de este
reglamento (la Directiva 9546CE no la contemplaba) el derecho al olvido o
derecho de supresioacuten de manera que para discernir lo antildeadido a la reglamentacioacuten
establecida se debe estudiar su enfoque histoacuterico Se atenderaacute especialmente a la
Sentencia Google de 13 de mayo de 2013
Discutiremos en siguiente cual es el resultado a obtener y si se ha alcanzado
Para terminar creo necesario observar la proteccioacuten hacia los nintildeos A traveacutes de la
directiva ldquoTeacuteleacutevision Sans Frontiegravererdquo se efectuaraacute un anaacutelisis criacutetico de esa
normativa especial para los menores como limite al tratamiento de los datos Se
expondraacute siguientemente los oacuterganos institucionales y reflexionaremos sobre sus
papeles de tutores del reglamento Finalmente comprobaremos el resultado
obtenido y el posible resultado que se obtendraacute en un futuro proacuteximo
De manera sinteacutetica podemos decir que en este estudio se analizaraacute el reglamento
de lo general a lo particular para poder tener una visioacuten general y vislumbrar su
loacutegica
9
I EL OBJETIVO DE LA PROTECCION lsquoEFECTVArsquo DE LOS
DATOS PERSONALES EL CONSENTIMIENTO Y LAS
TRANSFERENCIAS DE DATOS
Se trata en primer lugar de estudiar el nuevo reglamento teniendo un punto de vista
general En efecto ha introducido novedades de tipo global la necesidad de un
consentimiento claro y efectivo (A) y reglas y requisitos precisos sobre
transferencias de datos (B)
A El consentimiento claro y efectivo ante el mercado de la informacioacuten
Este estudio tiene como objetivo el anaacutelisis de uno de los puntos fundamentales del
nuevo reglamento de proteccioacuten de datos la exigencia por parte de los individuos
de dar un consentimiento claro y efectivo para que se pueda emplear sus datos con
fines comerciales Sin embargo no se puede comprender correctamente por queacute se
instauroacute este requisito sin aclarar las razones
1 La informacioacuten como servicio
Hoy en diacutea la red no es uno de los medios principales sino el medio principal de
buacutesqueda y comunicacioacuten Por la facilidad de acceso a cualquier informacioacuten
requerida se podriacutea pensar que todo es posible accesible y sobre todo gratis No
obstante cuando se analiza un poco maacutes a fondo este tema podemos constatar que
es maacutes alambicado
Desde siempre la informacioacuten sea informaacutetica o no ha sido objeto de comercio
Sin embargo el incremento del desarrollo tecnoloacutegico e informaacutetico ha conducido
a un mercado de la informacioacuten Los ciudadanos cuando usan los medios
informaacuteticos y maacutes precisamente la red proporcionan datos personales que son una
fuente de gran intereacutes para la economiacutea numeacuterica Estos datos tienen cierto valor
pecuniario porque llevan informaciones personales que son trascendentales
10
Como lo dice Bruno Lasserre son ldquoun vector de dinamismo comercialrdquo6 Este
caraacutecter econoacutemico y poderoso de estos datos se desprende a la hora de explotarlos
Cuando un ciudadano provee una informacioacuten esta uacuteltima esta tratada no solamente
para el propoacutesito principal por la cual fue transmitida sino tambieacuten de forma que
pueda ser explotada por parte de otros operadores Asiacute se puede aprovechar esa
informacioacuten varias veces y venderla a diversos operadores Por lo cual tener la
informacioacuten es tener el poder porque se puede controlar la transmisioacuten de ese dato
y asiacute controlar el mercado
En efecto en el mercado quien tiene el poder es quien posee la informacioacuten
Se ve por lo tanto una relacioacuten muy estrecha entre competencia y proteccioacuten de
datos porque ldquoconstituye una cuestioacuten de competencia cuando la obtencioacuten de
aquellos datos personales permite a una empresa adquirir un incuestionable poder
en el mercadordquo7 Podemos tomar el ejemplo de Facebook en funcioacuten de los ldquolikesrdquo
o ldquodislikesrdquo Facebook puede establecer los gustos de cada uno de sus usuarios y
vender estas informaciones a diversas empresas para que puedan enviar publicidad
e incitar al consumo Este tratamiento es legal siempre que sea leal
Por lo tanto se establecen estaacutendares legales a respetar a traveacutes de normas internas
(por ejemplo la LOPD o el Real Decreto 172020078) pero sobre todo a traveacutes de
normas europeas reglamentos o directivas (por ejemplo el RGPD o la Directiva
9546CE9) que los Estados miembros deben integrar en su derecho nacional y
defender
6 Lasserre Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en ALMUNIA
Joaquim (et al) New Frontiers of antitrust 2013 Competition Law in times of Economic
Bruylant 2013 7 Lasserre Bruno Le point de vue de cit para15 8 Gobierno de Espana Ministerio de Industria Turismo y Comercio ldquoNormativa sobre proteccioacuten
de datos personas cataacutelogos y requisitos agrupados por materiasrdquo ISMS Forum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_datos_personalespd
f 9 Directiva 9546CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos en httpeur-lexeuropaeulegal-
contentESTXTuri=URISERV3Al14012
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
8
comunitaria Finalmente notaremos que este texto europeo no es una simple norma
actualizada sino que se adapta a la realidad
En segunda instancia aunque el dato sea un concepto amplio calificaremos una
persona de uacutenica e individualizada por lo cual seraacute necesario previamente
establecer normas especiacuteficas a las necesidades de cada uno
Nos dedicaremos primero a investigar un sector especiacutefico novedad de este
reglamento (la Directiva 9546CE no la contemplaba) el derecho al olvido o
derecho de supresioacuten de manera que para discernir lo antildeadido a la reglamentacioacuten
establecida se debe estudiar su enfoque histoacuterico Se atenderaacute especialmente a la
Sentencia Google de 13 de mayo de 2013
Discutiremos en siguiente cual es el resultado a obtener y si se ha alcanzado
Para terminar creo necesario observar la proteccioacuten hacia los nintildeos A traveacutes de la
directiva ldquoTeacuteleacutevision Sans Frontiegravererdquo se efectuaraacute un anaacutelisis criacutetico de esa
normativa especial para los menores como limite al tratamiento de los datos Se
expondraacute siguientemente los oacuterganos institucionales y reflexionaremos sobre sus
papeles de tutores del reglamento Finalmente comprobaremos el resultado
obtenido y el posible resultado que se obtendraacute en un futuro proacuteximo
De manera sinteacutetica podemos decir que en este estudio se analizaraacute el reglamento
de lo general a lo particular para poder tener una visioacuten general y vislumbrar su
loacutegica
9
I EL OBJETIVO DE LA PROTECCION lsquoEFECTVArsquo DE LOS
DATOS PERSONALES EL CONSENTIMIENTO Y LAS
TRANSFERENCIAS DE DATOS
Se trata en primer lugar de estudiar el nuevo reglamento teniendo un punto de vista
general En efecto ha introducido novedades de tipo global la necesidad de un
consentimiento claro y efectivo (A) y reglas y requisitos precisos sobre
transferencias de datos (B)
A El consentimiento claro y efectivo ante el mercado de la informacioacuten
Este estudio tiene como objetivo el anaacutelisis de uno de los puntos fundamentales del
nuevo reglamento de proteccioacuten de datos la exigencia por parte de los individuos
de dar un consentimiento claro y efectivo para que se pueda emplear sus datos con
fines comerciales Sin embargo no se puede comprender correctamente por queacute se
instauroacute este requisito sin aclarar las razones
1 La informacioacuten como servicio
Hoy en diacutea la red no es uno de los medios principales sino el medio principal de
buacutesqueda y comunicacioacuten Por la facilidad de acceso a cualquier informacioacuten
requerida se podriacutea pensar que todo es posible accesible y sobre todo gratis No
obstante cuando se analiza un poco maacutes a fondo este tema podemos constatar que
es maacutes alambicado
Desde siempre la informacioacuten sea informaacutetica o no ha sido objeto de comercio
Sin embargo el incremento del desarrollo tecnoloacutegico e informaacutetico ha conducido
a un mercado de la informacioacuten Los ciudadanos cuando usan los medios
informaacuteticos y maacutes precisamente la red proporcionan datos personales que son una
fuente de gran intereacutes para la economiacutea numeacuterica Estos datos tienen cierto valor
pecuniario porque llevan informaciones personales que son trascendentales
10
Como lo dice Bruno Lasserre son ldquoun vector de dinamismo comercialrdquo6 Este
caraacutecter econoacutemico y poderoso de estos datos se desprende a la hora de explotarlos
Cuando un ciudadano provee una informacioacuten esta uacuteltima esta tratada no solamente
para el propoacutesito principal por la cual fue transmitida sino tambieacuten de forma que
pueda ser explotada por parte de otros operadores Asiacute se puede aprovechar esa
informacioacuten varias veces y venderla a diversos operadores Por lo cual tener la
informacioacuten es tener el poder porque se puede controlar la transmisioacuten de ese dato
y asiacute controlar el mercado
En efecto en el mercado quien tiene el poder es quien posee la informacioacuten
Se ve por lo tanto una relacioacuten muy estrecha entre competencia y proteccioacuten de
datos porque ldquoconstituye una cuestioacuten de competencia cuando la obtencioacuten de
aquellos datos personales permite a una empresa adquirir un incuestionable poder
en el mercadordquo7 Podemos tomar el ejemplo de Facebook en funcioacuten de los ldquolikesrdquo
o ldquodislikesrdquo Facebook puede establecer los gustos de cada uno de sus usuarios y
vender estas informaciones a diversas empresas para que puedan enviar publicidad
e incitar al consumo Este tratamiento es legal siempre que sea leal
Por lo tanto se establecen estaacutendares legales a respetar a traveacutes de normas internas
(por ejemplo la LOPD o el Real Decreto 172020078) pero sobre todo a traveacutes de
normas europeas reglamentos o directivas (por ejemplo el RGPD o la Directiva
9546CE9) que los Estados miembros deben integrar en su derecho nacional y
defender
6 Lasserre Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en ALMUNIA
Joaquim (et al) New Frontiers of antitrust 2013 Competition Law in times of Economic
Bruylant 2013 7 Lasserre Bruno Le point de vue de cit para15 8 Gobierno de Espana Ministerio de Industria Turismo y Comercio ldquoNormativa sobre proteccioacuten
de datos personas cataacutelogos y requisitos agrupados por materiasrdquo ISMS Forum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_datos_personalespd
f 9 Directiva 9546CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos en httpeur-lexeuropaeulegal-
contentESTXTuri=URISERV3Al14012
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
9
I EL OBJETIVO DE LA PROTECCION lsquoEFECTVArsquo DE LOS
DATOS PERSONALES EL CONSENTIMIENTO Y LAS
TRANSFERENCIAS DE DATOS
Se trata en primer lugar de estudiar el nuevo reglamento teniendo un punto de vista
general En efecto ha introducido novedades de tipo global la necesidad de un
consentimiento claro y efectivo (A) y reglas y requisitos precisos sobre
transferencias de datos (B)
A El consentimiento claro y efectivo ante el mercado de la informacioacuten
Este estudio tiene como objetivo el anaacutelisis de uno de los puntos fundamentales del
nuevo reglamento de proteccioacuten de datos la exigencia por parte de los individuos
de dar un consentimiento claro y efectivo para que se pueda emplear sus datos con
fines comerciales Sin embargo no se puede comprender correctamente por queacute se
instauroacute este requisito sin aclarar las razones
1 La informacioacuten como servicio
Hoy en diacutea la red no es uno de los medios principales sino el medio principal de
buacutesqueda y comunicacioacuten Por la facilidad de acceso a cualquier informacioacuten
requerida se podriacutea pensar que todo es posible accesible y sobre todo gratis No
obstante cuando se analiza un poco maacutes a fondo este tema podemos constatar que
es maacutes alambicado
Desde siempre la informacioacuten sea informaacutetica o no ha sido objeto de comercio
Sin embargo el incremento del desarrollo tecnoloacutegico e informaacutetico ha conducido
a un mercado de la informacioacuten Los ciudadanos cuando usan los medios
informaacuteticos y maacutes precisamente la red proporcionan datos personales que son una
fuente de gran intereacutes para la economiacutea numeacuterica Estos datos tienen cierto valor
pecuniario porque llevan informaciones personales que son trascendentales
10
Como lo dice Bruno Lasserre son ldquoun vector de dinamismo comercialrdquo6 Este
caraacutecter econoacutemico y poderoso de estos datos se desprende a la hora de explotarlos
Cuando un ciudadano provee una informacioacuten esta uacuteltima esta tratada no solamente
para el propoacutesito principal por la cual fue transmitida sino tambieacuten de forma que
pueda ser explotada por parte de otros operadores Asiacute se puede aprovechar esa
informacioacuten varias veces y venderla a diversos operadores Por lo cual tener la
informacioacuten es tener el poder porque se puede controlar la transmisioacuten de ese dato
y asiacute controlar el mercado
En efecto en el mercado quien tiene el poder es quien posee la informacioacuten
Se ve por lo tanto una relacioacuten muy estrecha entre competencia y proteccioacuten de
datos porque ldquoconstituye una cuestioacuten de competencia cuando la obtencioacuten de
aquellos datos personales permite a una empresa adquirir un incuestionable poder
en el mercadordquo7 Podemos tomar el ejemplo de Facebook en funcioacuten de los ldquolikesrdquo
o ldquodislikesrdquo Facebook puede establecer los gustos de cada uno de sus usuarios y
vender estas informaciones a diversas empresas para que puedan enviar publicidad
e incitar al consumo Este tratamiento es legal siempre que sea leal
Por lo tanto se establecen estaacutendares legales a respetar a traveacutes de normas internas
(por ejemplo la LOPD o el Real Decreto 172020078) pero sobre todo a traveacutes de
normas europeas reglamentos o directivas (por ejemplo el RGPD o la Directiva
9546CE9) que los Estados miembros deben integrar en su derecho nacional y
defender
6 Lasserre Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en ALMUNIA
Joaquim (et al) New Frontiers of antitrust 2013 Competition Law in times of Economic
Bruylant 2013 7 Lasserre Bruno Le point de vue de cit para15 8 Gobierno de Espana Ministerio de Industria Turismo y Comercio ldquoNormativa sobre proteccioacuten
de datos personas cataacutelogos y requisitos agrupados por materiasrdquo ISMS Forum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_datos_personalespd
f 9 Directiva 9546CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos en httpeur-lexeuropaeulegal-
contentESTXTuri=URISERV3Al14012
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
10
Como lo dice Bruno Lasserre son ldquoun vector de dinamismo comercialrdquo6 Este
caraacutecter econoacutemico y poderoso de estos datos se desprende a la hora de explotarlos
Cuando un ciudadano provee una informacioacuten esta uacuteltima esta tratada no solamente
para el propoacutesito principal por la cual fue transmitida sino tambieacuten de forma que
pueda ser explotada por parte de otros operadores Asiacute se puede aprovechar esa
informacioacuten varias veces y venderla a diversos operadores Por lo cual tener la
informacioacuten es tener el poder porque se puede controlar la transmisioacuten de ese dato
y asiacute controlar el mercado
En efecto en el mercado quien tiene el poder es quien posee la informacioacuten
Se ve por lo tanto una relacioacuten muy estrecha entre competencia y proteccioacuten de
datos porque ldquoconstituye una cuestioacuten de competencia cuando la obtencioacuten de
aquellos datos personales permite a una empresa adquirir un incuestionable poder
en el mercadordquo7 Podemos tomar el ejemplo de Facebook en funcioacuten de los ldquolikesrdquo
o ldquodislikesrdquo Facebook puede establecer los gustos de cada uno de sus usuarios y
vender estas informaciones a diversas empresas para que puedan enviar publicidad
e incitar al consumo Este tratamiento es legal siempre que sea leal
Por lo tanto se establecen estaacutendares legales a respetar a traveacutes de normas internas
(por ejemplo la LOPD o el Real Decreto 172020078) pero sobre todo a traveacutes de
normas europeas reglamentos o directivas (por ejemplo el RGPD o la Directiva
9546CE9) que los Estados miembros deben integrar en su derecho nacional y
defender
6 Lasserre Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en ALMUNIA
Joaquim (et al) New Frontiers of antitrust 2013 Competition Law in times of Economic
Bruylant 2013 7 Lasserre Bruno Le point de vue de cit para15 8 Gobierno de Espana Ministerio de Industria Turismo y Comercio ldquoNormativa sobre proteccioacuten
de datos personas cataacutelogos y requisitos agrupados por materiasrdquo ISMS Forum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_datos_personalespd
f 9 Directiva 9546CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre
circulacioacuten de estos datos en httpeur-lexeuropaeulegal-
contentESTXTuri=URISERV3Al14012
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
11
Para lograr el respeto de los derechos fundamentales a traveacutes estos estaacutendares
existen organizaciones nacionales como la CNIL en Francia o la AEPD en Espantildea
Son responsables de asegurar que la tecnologiacutea de la informacioacuten estaacute al servicio y
que no afecta a los derechos humanos como la privacidad o las libertades
individuales y puacuteblicas
Este comercio de la informacioacuten es necesario De hecho permite promocionar
productos adaptados a los consumidores y a sus gustos para satisfacerles y atraer
nuevos clientes10 El tratamiento de los datos es primordial para agradar a los
consumidores y para extender el negocio de las empresas y asiacute amplificar la
economiacutea porque ldquola naturaleza de los datos colectados y la finalidad del
tratamiento o los destinatarios de las informaciones comprendido los terceros
otorga a los consumidores medios para comparar las ofertas en funcioacuten del criterio
especifico de la preservacioacuten de sus datos personalesrdquo11
Sin embargo se debe destacar tambieacuten que proponiendo productos adaptados a sus
gustos se influencia al consumidor Para entenderlo voy a dar un ejemplo comuacuten
una persona acude a una web de ropa y selecciona un producto pero al final no lo
compra Esta persona va luego encontrar este mismo producto en otras webs como
publicidad Asiacute se estaacute haciendo un comercio con esta informacioacuten con este dato
para influenciar la persona al consumo Por lo tanto el problema no es tan la
existencia del mercado porque como visto es necesario sino maacutes su utilizacioacuten y
aprovechamiento por parte de los operadores
10 Loacutepez Carballo Daniel ldquoResponsabilidades derivadas del tratamiento y explotacioacuten de los
datos personalesrdquo 27012017 en httpdlcarballocom20170127responsabilidades-derivadas-
del-tratamiento-y-explotacion-de-los-datos-personales 11 Lasserre Bruno Le point de vue de cit para22
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
12
De hecho estos datos tienen tanto impacto que en paralelo al ldquomercado legalrdquo
existe hoy en diacutea un mercado negro muy lucrativo como nos lo expone EfeFuture
ldquoEl mercado del ciberdelito es muy rentable con cifras estimadas de entre 450000
millones y el billoacuten de doacutelares al antildeo y con precios dispares por bienes o servicios
que van desde un doacutelar por una cuenta de Facebook con quince amigos hasta 2500
por el disentildeo de coacutedigo malicioso comercial seguacuten expertosrdquo12
Este mercado negro funciona de esta manera los operadores roban las
informaciones de los usuarios ldquolas principales formas de robo de informacioacuten
estaacuten relacionadas con el phishing o malware donde las actividades consisten en
obtener datos confidenciales como contrasentildeas o datos financieros Estas teacutecnicas
pretenden obtener informacioacuten de las potenciales viacutectimas a partir de engantildeos y
teacutecnicas fraudulentasrdquo13 Despueacutes de haber robado las informaciones se venden a
diferentes precios seguacuten el tipo de cuenta WeLiveSecurity ha publicado un tabloacuten
de los precios de venta en el mercado negro en funcioacuten del tipo de cuenta que se
piratea14 ldquocomo ejemplo en el mercado clandestino se pueden comprar 1000
cuentas de correo electroacutenico por precios entre 050 y 10 doacutelaresrdquo15 Este mercado
clandestino es tan lucrativo que todas las grandes empresas sufren de ciberataques
que sea Facebook Linkedln Yahoo o Twitter Asiacute se ve que cualquier empresa es
una potencial viacutectima y por consiguiente sus usuarios tambieacuten En efecto se
pronosticoacute por la empresa Cisco que en 2020 se llegaraacute a unos 26300 millones de
dispositivos conectados lo que aumenta el riesgo de robo de informaciones y lo que
incrementa tambieacuten el mercado negro
12 Quincoces Riesco Amaya ldquoiquestCuaacutento valen los datos personales en el mercado del ciberdelitordquo
Mercado Ciberdelito EfeFuturo 28092015 en httpwwwefefuturocomnoticiacuanto-valen-
los-datos-personales-en-el-mercado-del-ciberdelito 13 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 14 Angel Mendoza Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten en el mercado
negrordquo WeLiveSecurity 25112016 en httpwwwwelivesecuritycomla-
es20161125informacion-mercado-negro 15 Velasco Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity 15012015 en
httprevistaesecuritycomel-co
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
13
Por la existencia de este mercado clandestino y el respeto no siempre automaacutetico
de las normas internas por parte de los operadores se ha decidido redactar este
reglamento general de proteccioacuten de datos con el fin de intentar proteger de manera
maacutes eficiente la intimidad y privacidad de los ciudadanos europeos De hecho ldquoes
importante priorizar por parte de las empresas la proteccioacuten de sus datos ya que
eacutestos se estaacuten convirtiendo en el activo maacutes cotizado y en el petroacuteleo del siglo
XXIrdquo16 A traveacutes de este RGPD se crean mayores estaacutendares de proteccioacuten a las
empresas y sanciones como herramientas a disposicioacuten de los individuos para que
tengan un mayor control sobre sus datos y su transferencia
2 La regulacioacuten del tratamiento para asegurar el derecho a la vida privada
Con la redaccioacuten del RGPD se da un mayor poder a los usuarios a la hora de
explotar sus datos se establece especialmente un derecho a ser informado y dar su
consentimiento para el tratamiento de sus datos Tal legislacioacuten responde a la
urgente necesidad de proteger la vida privada de los ciudadanos europeos
i) El concepto de privacidad
La palabra privado proviene del latiacuten ldquoprivatusrdquo y del correspondiente verbo
ldquoprivarerdquo que significa privar La privacidad se puede definir como aquello que
lleva a cabo una persona fuera del aacutembito puacuteblico en un aacutembito reservado
El derecho a la privacidad es un derecho fundamental recogido en la Declaracioacuten
Universal de los Derechos Humanos (articulo 12) Este derecho estaacute vinculado con
el derecho a la intimidad ldquozona abstracta que una persona reserva para un grupo
acotado de gente generalmente su familia y amigos Sus liacutemites no son precisos y
dependen de distintas circunstanciasrdquo17
16 De La Higuera Ana ldquoEl mercado negro de la informacioacuten y el nuevo Reglamento de Proteccioacuten
de Datosrdquo KPMG Blogs 22112016 en httpwwwkpmgblogsesel-mercado-negro-de-la-
informacion-y-el-nuevo-reglamento-de-proteccion-de-datos 17 Peacuterez Porto Juliaacuten y Merino Mariacutea Definicioacuten de la intimidad 2014 en
httpdefiniciondeintimidad
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
14
Estos dos derechos estaacuten tambieacuten protegidos por las Constituciones de cada paiacutes
en Espantildea es protegido por los artiacuteculos 17 y 18 ldquoSe garantiza el derecho al honor
a la intimidad personal y familiar y a la propia imagenrdquo18 o tambieacuten en Francia por
el articulo 2 de la Declaracioacuten de los Derechos del Hombre y del Ciudadano de
1789 y el artiacuteculo 9 del Coacutedigo Civil Al nivel europeo estaacute protegido por el
Convenio 108 del Consejo de Europa
Sucede que la vida personal de una persona se desarrolla dentro de un espacio
reservado y este uacuteltimo debe mantenerse en la intimidad Este aacutembito privado
recoge varios componentes como por ejemplo la vida iacutentima preferencias
poliacuteticas religioacuten datos personales correos datos sobre la salud comunicaciones
privadas etc
Este concepto de vida privada es muy importante porque desde la Antigua Grecia
ha sido objeto de controversias En efecto en esta eacutepoca las cuestiones sociales
poliacuteticas o econoacutemicas de la lsquopolisrsquo se llevaban a cabo en el aacutegora Se celebraban
asambleas para discutir sobre la vida de la nacioacuten Asiacute el aacutembito privado de cada
persona era bastante restringido El concepto de privacidad ha evolucionado a
traveacutes de los siglos Tal como lo sentildeala en su tesis Emilia Zaballos Pulido ldquoel
origen del concepto juriacutedico de intimidad es anglosajoacuten y en concreto procede del
derecho norteamericanordquo19
Nos indica que el artiacuteculo de Samuel Warren y Louis Brandeis publicado en 1890
en la Harvard Law Review titulado ldquoThe Right to Privacyrdquo conceptualiza el
derecho a la privacidad A partir de ese momento las potencias democraacuteticas
mundiales empezaron a desarrollar ese concepto en sus ordenamientos internos
18 Articulo 18 de la Constitucioacuten Espantildeola ldquoDerecho al honor a la intimidad y a la propia imagenrdquo
en httpnoticiasjuridicascombase_datosAdminconstitucionhtml 19 Zaballos Pulido Emilia Tesis doctoral en httpeprintsucmes228491T34733pdf
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
15
Utilizando la clasificacioacuten generacional20 son considerados como derechos de
primera generacioacuten los derechos civiles y poliacuteticos ldquoEstaacuten vinculados al principio
de libertad y su caracteriacutestica fundamental viene determinada porque exigen de los
poderes puacuteblicos su inhibicioacuten y no injerencia en la esfera privada La primera
generacioacuten surge con el Bill of Rights de los nuevos EEUU y la Declaracioacuten de los
Derechos del Hombre y el Ciudadano de la Revolucioacuten francesardquo21
Estas caracteriacutesticas explican la creacioacuten del nuevo paquete de proteccioacuten de datos
En efecto los datos forman parte del aacutembito privado ndash el derecho a la privacidad es
un derecho de primera generacioacuten ndash aacutembito intensivamente protegido nacional e
internacionalmente y seriacutea un aberrante que no existiera una proteccioacuten europea
Con el desarrollo exaltado de la era digital el concepto tradicional posee una nueva
conceptualizacioacuten autoacutenoma A diacutea de hoy se ha demostrado que la proteccioacuten de
datos es un derecho fundamental porque deriva del derecho a la privacidad Fue
exhibido entre otros por la sentencia Lindqvist de 2003 del Tribunal Europeo22
Con este cambio dactilar nos podemos preguntar si realmente tenemos privacidad
o si es solo una utopiacutea La brecha que separa el privado del puacuteblico es cada maacutes
fina como lo ponen de relieve estas cifras ldquoPara los usuarios franceses lo que
maacutes les gusta de Internet es la herramienta de comunicacioacuten facilitadora (61)
organizar y gestionar la vida diaria (36 de los internautas) creciendo (35)
jugar y divertirse (23) y aprender acerca de noticias nacionales (21)rdquo23
20 La clasificacioacuten generacional fue creada en 1979 por primera vez por el profesor y miembro del
Instituto de Derechos Humanos de Estrasburgo Karel Vasak ldquoEste autor consideraba que en la
evolucioacuten histoacuterica de los Derechos Humanos pueden distinguirse tres generaciones asocia- da cada
una de ellas al desarrollo de los tres grandes valores proclamados en la Revolucioacuten Francesa
Libertad Igualdad y Fraternidadrdquo
Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 21 Fraguas Madurga Lourdes ldquoEl concepto de derechos fundamentales y las generaciones de
derechosrdquo Anuario del Centro de la Universidad Nacional de Educacioacuten a Distancia en Calatayud
No 21 pp 117-136 2015 en httpwwwcalatayudunedeswebactividadesrevista-anales2103-
05-LourdesFraguasMadurgapdf 22 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 23 ldquoLes usages varieacutes du Netrdquo IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
16
Asiacute en lugar de tener una ubicacioacuten geograacutefica y fiacutesica como el aacutegora de la Antigua
Grecia tenemos un lugar ilimitado y no totalmente entendido De hecho los
usuarios pueden guardar sus carpetas documentos archivos fotos en espacio de
almacenamiento llamados lsquoCloudrsquo ldquola idea de cloud computing (informaacutetica en
nube) ndashinspirada en una arquitectura cuyo estado natural consiste en una pila de
recursos fuera de la empresa proporcionados por un proveedor externo y
soportados y compartidos a traveacutes de Internetrdquo24 Por lo cual este Cloud parece
muy uacutetil permite un acceso a sus datos desde cualquier lugar del mundo siempre y
cuando tenga una conexioacuten internet y la preservacioacuten de los datos para no perderlos
si un problema informaacutetico ocurre Sin embargo como dije los ciudadanos e
incluso los informaacuteticos no saben realmente donde se almacenan esas copias De
hecho la ventaja principal es poder acceder a sus documentos desde cualquier lugar
del mundo pero si los usuarios pueden acceder esto significa que los piratas
tambieacuten pueden hacerlo Asiacute al robar una contrasentildea se pueden robar documentos
que estaacuten bajo la privacidad del usuario
Con el aumento de los flujos transfronterizados y la existencia de un mercado negro
la informacioacuten actualmente es puro oro para los piratas Asistimos a un cambio
radical del concepto de la vida privada que desemboca en un enfrentamiento entre
la privacidad y la democratizacioacuten de internet Debemos como juristas encontrar
un equilibrio con el fin de preservar la privacidad de los ciudadanos asegurando al
mismo tiempo el avance tecnoloacutegico Ese equilibrio se encuentra en una proteccioacuten
efectiva de los datos de los usuarios
Las empresas son conscientes de este fenoacutemeno y se sienten concernidas En este
sentido podemos hablar de la decisioacuten de Microsoft al respeto del lsquoPrivacy Shieldrsquo
ldquoMicrosoft was proud to become the first global cloud service provider to appear
on the Department of Commercersquos list of Privacy Shield certified entities as
of August 12th 2016 The European Commission adopted The EU-US Privacy
24 ldquoLos peligros del modelo cloud computingrdquo CSO Digital ComputerWorld 22092008 en
httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-computing
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
17
Shield Framework on July 12th 2016 replacing the International Safe Harbor
Privacy Principles as the mechanism for allowing companies in the EU and the US
to transfer personal data across the Atlantic in a manner compliant with the EU
data protection requirementsrdquo25 Por este acuerdo Microsoft empresa de grande
dimensioacuten manifiesta su aprobacioacuten al respeto de las decisiones tomadas en la
Unioacuten Europea y se ve preocupada por la privacidad de sus usuarios y por la plena
aplicacioacuten del RGPD especialmente en tema de transferencia de datos lo que
estudiaremos luego
Con el avance tecnoloacutegico es imprescindible adaptar las legislaciones para proteger
la privacidad de los ciudadanos y garantizar una tutela efectiva El oacutergano
encargado de hacer respetar estas normas europeas es el TJUE con el apoyo de la
TEDH En efecto posteriormente a la entrada en vigor del reglamento el TJUE ha
dictado diversas sentencias en las cuales se ve claramente que quiere empezar la
aplicacioacuten del reglamento de manera progresiva En lo que concierne la privacidad
podemos alegar la sentencia del 21 de diciembre de 2016 (asunto conjunto C-
20315 y C-69815) en el cual ldquoel Derecho de la Unioacuten se opone a una retencioacuten
generalizada e indiscriminada de los datos de traacutefico y de localizacioacuten y
observa en particular en lo que respecta a la conservacioacuten que conserva los datos
tomados en conjunto pueden ser capaces de sacar conclusiones muy precisas
acerca de la privacidad de las personas cuyos datos se han almacenadordquo26 El
hecho de que la retencioacuten de datos se lleva a cabo sin que los usuarios de servicios
de comunicaciones electroacutenicas lo sepan puede generar en la mente de los
interesados la sensacioacuten de que se estaacute supervisando su privacidad constantemente
25 Rison Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft Azure
26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-first-csp-behind-the-
privacy-shield 26 STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary of State for the
Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
18
Por lo tanto soacutelo la lucha contra la delincuencia grave puede justificar tal
interferencia27
Podemos tambieacuten exponer la sentencia de la TEDH Vukota-Bojić c Suisse (asunto
6183810) del 18 de octubre de 2016 en el cual se decidioacute que la supervisioacuten de una
viacutectima de accidente de la carretera por una compantildeiacutea de seguros era ilegal porque
violoacute su derecho a la privacidad28
Por lo tanto en lo que concierne los datos personales como son elementos de la
privacidad de cada persona vemos que existe una estrecha conexioacuten entre el TJUE
y la TEDH Esta conexioacuten tiene como objetivo certificar la defensa de la privacidad
de los ciudadanos europeos
ii) El establecimiento de una reglamentacioacuten
En las redes sociales como Facebook Twitter y Tuenti los problemas maacutes
importantes que estos servicios generan al derecho fundamental son la publicacioacuten
excesiva de informacioacuten personal bien sea informacioacuten propia o de terceras
personas Esto es una de las razones por las cuales el RGPD ha establecido nuevas
normas y reglas de proteccioacuten de los datos Una de las maacutes relevante es el derecho
a ser informado (articulo 7) y dar un consentimiento claro y afirmativo a la hora de
tratar los datos (artiacuteculos 5 6 7 8 11 12 y el capiacutetulo IV)
En su artiacuteculo 4 el RGPD provee diversas definiciones y especialmente la del
tratamiento y del consentimiento del interesado El tratamiento se define como
ldquocualquier operacioacuten o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales ya sea por procedimientos automatizados o no
como la recogida registro organizacioacuten estructuracioacuten conservacioacuten
adaptacioacuten o modificacioacuten extraccioacuten consulta utilizacioacuten comunicacioacuten
27 ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une obligation
geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de communications
eacutelectroniquesrdquo Droits fondamentaux lutte contre la discrimination - Justice liberteacute seacutecuriteacute et
immigration EuropaForum 21122016 en
httpwwweuropaforumpubliclufractualites201612cjue-donneesindexhtml 28 Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de octubre de 2016
en httphudocechrcoeintfreitemid[001-167490]
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
19
por transmisioacuten difusioacuten o cualquier otra forma de habilitacioacuten de acceso cotejo
o interconexioacuten limitacioacuten supresioacuten o destruccioacutenrdquo29 y el consentimiento del
interesado como ldquotoda manifestacioacuten de voluntad libre especiacutefica informada e
inequiacutevoca por la que el interesado acepta ya sea mediante una declaracioacuten o una
clara accioacuten afirmativa el tratamiento de datos personales que le conciernenrdquo30
De estas dos definiciones se deduce que no basta con el simple consentimiento
taacutecito puesto que es necesario lsquouna declaracioacuten o una clara accioacuten afirmativarsquo
El legislador con estas definiciones precisas y este requisito de consentimiento
expreso se asegura que el usuario ha entendido claramente coacutemo y en queacute contexto
se estaacuten tratando sus datos En este sentido los operadores a la hora de recoger la
informacioacuten para tratarla deben definir de manera clara y comprensible las
claacuteusulas de privacidad En efecto ldquose exige mayor claridad en las claacuteusulas
informativas de los servicios digitales y en las poliacuteticas de privacidad en
particular a la informacioacuten de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la informacioacuten antildeadida para garantizar
un tratamiento leal y transparente con respecto a las personas fiacutesicas afectadas y
a su derecho a obtener confirmacioacuten y comunicacioacuten de los datos personales que
les conciernan que sean objeto de tratamientordquo31
Asiacute se refuerza el control de los usuarios sobre sus datos dado que en las leyes
internas como la LOPJ en Espantildea un solo consentimiento taacutecito era suficiente
Con la aplicacioacuten del nuevo reglamento ademaacutes de obtener este consentimiento
los operadores deben registrarlo a fin de probar que lo han recibido
Esta necesidad de consentimiento viene de la necesidad de autonomiacutea contractual
en el derecho de los contratos Cuando dos partes establecen un acto juriacutedico aquel
que se compromete debe haber dado su consentimiento
29 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 42 30 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 411 31 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos 20102016
en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
20
Incluso cuando el contrato es una obligacioacuten legal siempre se requiere el
consentimiento a pesar de que uno podriacutea pensar que la ley puede sustituir
consentimiento No hay nada y los casos en los que el consentimiento no es posible
son muy raros y motivados por razones de orden puacuteblico
Ademaacutes existe contrato una vez que el consentimiento es dado sobre los elementos
esenciales Por lo cual si la persona no ha concedido su consentimiento sobre los
elementos accesorios todaviacutea el contrato se tiene por perfeccioacuten
Este consentimiento se manifiesta por la aceptacioacuten de los teacuterminos y debe ser puro
y simple es decir que se tiene que aceptar la proposicioacuten de la otra parte si se
modifica alguna parte no es aceptacioacuten sino contra-proposicioacuten
En lo que concierne las nuevas contrataciones por electroacutenico se ha creado el
sistema del ldquodoble clicrdquo el primer clic permite verificar el orden y el segundo
aceptar y manifestar su consentimiento
Aunque el consentimiento sea necesario se puede preguntar sobre su realidad De
hecho se pide consentimiento al ciudadano pero si eacutel no le da no podraacute acceder a
la informacioacuten Hoy en diacutea no se trata solamente de contratos tiacutepicos como el de
compraventa sino tambieacuten de contratos de lsquoinformacioacutenrsquo en los cuales para acceder
a la informacioacuten se debe prestar consentimiento Por lo cual hoy en diacutea se pide
todaviacutea ese consentimiento pero el ciudadano no es libre el consentimiento es
parecido a un requisito para poder llegar a la informacioacuten
Ademaacutes en lo que concierne el tratamiento de los datos una vez que los operadores
han adquirido el consentimiento eacuteste debe hacerse con licitud Quiere decir que el
tratamiento debe ser licito y leal Esta obligacioacuten de tratamiento leal la encontramos
al artiacuteculo 5 del RGPD ldquolos datos personales seraacuten a) tratados de manera liacutecita
leal y transparente en relacioacuten con el interesado (laquolicitud lealtad y
transparenciaraquo)rdquo32 pero tambieacuten en las legislaciones internas como en los artiacuteculos
4 y 8 de la LOPD ldquolos datos de caraacutecter personal soacutelo se podraacuten recoger para su
tratamiento asiacute como someterlos a dicho tratamiento
32 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 5
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
21
cuando sean adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y las
finalidades determinadas expliacutecitas y legiacutetimas para las que se hayan obtenidordquo33
Conjuntamente con estos principios de transparencia consentimiento expreso y
trato leal encontramos el principio de informacioacuten Eso quiere decir que el usuario
tiene el derecho a ser informado cuando se utilizan sus datos Asiacute entre otros se
debe advertir a las personas cuando los datos personales se estaacuten recogiendo
utilizando o consultando los fines del tratamiento a queacute se destinan los datos
personales y la base juriacutedica del tratamiento la identidad de los destinatarios o las
categoriacuteas de destinatarios de los datos personales la identidad del responsable de
la gestioacuten y si procede del delegado de proteccioacuten de datos o tambieacuten la existencia
del derecho a solicitar al responsable del tratamiento el acceso34 Finalmente este
derecho de informacioacuten procede tambieacuten cuando los datos han sido pirateados
(novedad del reglamento)
Este RGPD pretende ademaacutes unificar las reglas aplicables en tema de proteccioacuten de
datos como destacado en la sentencia Amazon asunto C5211135 En efecto cuando
seraacute de plena aplicacioacuten este reglamento vendraacute derogar a todas las normas ya
establecidas Se crea una sola norma aplicable con el fin de uniformar para
garantizar una tutela efectiva En efecto si una sola norma estaacute vigente no podraacuten
surgir problemas de aplicacioacuten de directivas o reglamentos saber cuaacutel aplicar y
cuando Con una sola norma se resuelven estos tipos de problemas que pueden
surgir Como lo dice Jan Albrecht (Verdes Alemania) responsable de la
tramitacioacuten parlamentaria del texto ldquoCon este reglamento de proteccioacuten de datos
conseguimos un nivel uniforme de proteccioacuten en toda la UE
33 Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipios relativos a la calidad de los datosrdquo
Calidad de datos en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_datosindex-
ides-idphpphp 34 Brocca Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de datos
20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-reglamento-proteccion-datos 35 STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIndex=0ampdoclang
=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
22
Es un gran eacutexito para el Parlamento y un lsquosiacutersquo claro a los derechos de los
consumidores y a la competencia en la era digital Los ciudadanos podraacuten decidir
por siacute mismos queacute informacioacuten quieren compartirrdquo36
Por fin se debe aclarar un uacuteltimo punto Existen unos liacutemites al derecho a la vida
privada que son el intereacutes legiacutetimo o intereacutes puacuteblico Como lo sabemos en un
Estado de derecho el intereacutes general prima sobre los intereses singulares Asiacute por
causa de intereacutes puacuteblico y con un control de proporcionalidad se podraacute limitar el
derecho a la vida privada Esa nocioacuten de intereacutes puacuteblico no es definida por el
reglamento pero siacute que encontramos a su artiacuteculo 23 las limitaciones a la
proteccioacuten de los derechos protegidos por el RGPD entre otros se alega la defensa
o la seguridad puacuteblica 37 Esas limitaciones pueden por lo tanto ser aplicadas por
intereacutes puacuteblico puesto que las nociones de intereacutes puacuteblico y limitacioacuten estaacuten muy
vinculadas
Sin embargo se puede ver que todas estas limitaciones del articulo 23 se remiten a
las jurisdicciones internas En efecto si tomamos el ejemplo de la seguridad
puacuteblica cada Estado deberaacute hacer una valoracioacuten proporcionada pero es inherente
a cada Estado de decidir cuaacutendo se puede limitar por causa de seguridad puacuteblica
No existen estaacutendares fijos europeos es a la apreciacioacuten de cada Estado y en
consecuencia esta nocioacuten puede ser peligrosa por su amplitud y por el hecho de que
puede abarcar un cuacutemulo de situaciones
36 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 37 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 23
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
23
B La transferencia de los datos
Una vez que los operadores han recogido el consentimiento de los usuarios pueden
transferir los datos fuera de Europa pero respetando reglas especiacuteficas Por eso es
necesario estudiar otra innovacioacuten fundamental general la regulacioacuten de las
transferencias de datos Es de considerable importancia el estudio de la regulacioacuten
de las transferencias en el RGPD porque hubo grandes modificaciones en relacioacuten
a las legislaciones internas
1 Cuestiones generales
Estados Unidos siendo una de las potencias econoacutemicas maacutes importantes del
mundo nos aparece claramente unas relaciones no insignificantes Con la abolicioacuten
del acuerdo Safe Habour38 la Comisioacuten europea debiacutea instaurar un reacutegimen de
proteccioacuten de las transferencias de datos de sus ciudadanos Por lo cual cuando se
redactoacute el nuevo reglamento sobre proteccioacuten de datos incluyo un capiacutetulo sobre
transferencias de datos capiacutetulo aplicable no solamente a Estados Unidos sino
tambieacuten a todos los Estados terceros Asiacute pues no solamente ha establecido un
reacutegimen limitativo y riacutegido sino que ha tambieacuten precisado el concepto de
transferencias de datos
i) Concepto de transferencias
Aunque la regulacioacuten de las transferencias de los datos sea tratada en un capiacutetulo
entero del reglamento carece de definicioacuten comunitaria Por lo cual se debe ir a las
legislaciones internas de cada paiacutes para tener una definicioacuten En Espantildea se regula
en los artiacuteculos 33 y 34 de la LOPD y en el Tiacutetulo VI del Reglamento de desarrollo
de la Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal aprobado por el
Real Decreto 17202007 de 21 de diciembre (RLOPD)
38 El Safe Harbor era un conjunto de principio negociados entre Estados Unidos y la UE para
obtener la autorizacioacuten para transferir los datos personales a efectos del EEE a los EEUU
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
24
En un nivel interno se podriacutea decir que un tratamiento de datos supone una
transmisioacuten fuera del territorio espantildeol pero desde que se constituyoacute el Espacio
Econoacutemico Europeo y dado el nivel de proteccioacuten uniforme sobre cuyo territorio
se puede definir como ldquotransmisioacuten de los mismos fuera del territorio del Espacio
Econoacutemico Europeo bien constituya una cesioacuten o comunicacioacuten de datos bien
tenga por objeto la realizacioacuten de un tratamiento de datos por cuenta del
responsable del fichero establecido en territorio espantildeolrdquo39 De una manera
sinteacutetica se puede decir que el traacutefico internacional de datos personales es la
transmisioacuten de los datos desde un ordenamiento inicial (en nuestro caso los
Estados miembros de la Unioacuten) hacia un destinatario establecido en un territorio
extranjero40
A este efecto se puede adicionar que el Tribunal de Justicia de la Unioacuten Europea
ha precisado ese concepto de transferencias en su sentencia ldquoLindqvistrdquo de 6 de
noviembre de 2003 (Asunto C-10101-Bodil Lindqvist) El TJUE debiacutea determinar
si la difusioacuten de datos personales en una paacutegina web de modo que dichos datos
resulten accesibles a cualquier persona que se conecte a Internet constituiacutean o no
una transferencia internacional de datos en sentido del artiacuteculo 25 de la Directiva
9546CE41 El Tribunal respondioacute que ldquono existe una transferencia a un paiacutes
tercero de datos en el sentido del articulo 25 de la Directiva 9546 cuando una
persona que se encuentra en un Estado miembro difunde datos personales en una
paacutegina web almacenada por una persona fiacutesica o juriacutedica que gestiona el sitio
Internet en el que se puede consultar la paacutegina web que tiene su domicilio en el
mismo Estado o en otro Estado miembro de modo que dichos datos resultan
accesibles a cualquier persona que se conecte a Internet incluidas aquellas que se
encuentren en paiacuteses tercerosrdquo42
39 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 40 Sancho Villa Diana Transferencia internacional ob cit p 25 y 26 41 AEPD ldquoCuestiones sobre cumplimiento del apartado de transferencias internacionalesrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreguntas_frecuentes
cuestiones_cumplimientoindex-ides-idphpphp 42 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 71 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
25
En efecto el Tribunal argumenta su posicioacuten diciendo que para que haya
transferencia de datos debe existir una relacioacuten ldquodirectardquo entre dos personas El
hecho de que cualquier persona pueda acceder a la informacioacuten desde un tercer paiacutes
no implica una transferencia en siacute ldquoel concepto de laquotransferenciaraquo implica que una
persona situada en un lugar determinado transmite un dato a una tercera persona
situada en otro lugarrdquo43
Asiacute en una transmisioacuten de datos tenemos dos personas el exportador44 (persona
fiacutesica o juriacutedica puacuteblica o privada u oacutergano administrativo situado en territorio
espantildeol que realiza una transferencia de datos de caraacutecter personal a un paiacutes tercero)
y el destinatario45 (la persona fiacutesica o juriacutedica autoridad puacuteblica servicio u otro
organismo al que se comunican datos personales se trate o no de un tercero) Se
debe sentildealar que un cambio mayor introducido por el RGPD en relacioacuten con la
Directiva 9546CE es la definicioacuten de destinatario En efecto la Comisioacuten Europea
manifiesta su deseo de ser maacutes extensiva y efectiva en su proteccioacuten porque ha
decidido que entraran como destinatarios tanto los paiacuteses terceros y organizaciones
internacionales como un territorio o uno o varios sectores especiacuteficos de ese tercer
paiacutes
ii) Una proteccioacuten maacutes amplia que en las legislaciones internas
Con la creacioacuten del EEE se establecieron normas miacutenimas a respetar entre Estados
miembros de este espacio Sin embargo los legisladores europeos para
proporcionar una proteccioacuten efectiva teniacutean que regular tambieacuten las relaciones con
paiacuteses terceros
43 STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 para 55 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a440d9956b8b3324
e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=48382amppageIndex=0ampdoclang=esamp
mode=lstampdir=ampocc=firstamppart=1ampcid=30433 44 AEPD ldquoTransferencias internacionales de datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacionalesindex-ides-
idphpphp 45 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
26
En efecto cuando se trata de relaciones entre Estados miembros de la Unioacuten como
cada uno debe respetar estaacutendares de proteccioacuten por pertenecer a la Unioacuten se puede
considerar que se logra la tutela efectiva Sin embargo cuando se trata de
intercambios con paiacuteses terceros estos no tienen que respetar normas europeas
De hecho no se puede permitir que una vez que los usuarios han dado su
consentimiento se puedan usar de sus datos con total libertad (como lo vimos la
competencia y los datos personales tienen una relacioacuten muy estrecha puesto que
una regulacioacuten es necesaria para garantizar la privacidad) Por eso se han
establecido los derechos ARCO46 En Espantildea esos derechos son protegidos por la
AEPD Son los derechos de informacioacuten acceso rectificacioacuten cancelacioacuten y
oposicioacuten que puede ejercer en cualquier momento un ciudadano en relacioacuten con
sus datos Asiacute en las transferencias de datos el factor clave es la evaluacioacuten del
nivel de proteccioacuten que ofrece el paiacutes destinatario47
A fin de garantizar una proteccioacuten real y adecuada al mundo digital en el cual
vivimos la Comisioacuten establece un sistema de lsquonivel adecuadorsquo de proteccioacuten El
reglamento habla de ldquotransferencias basadas en una decisioacuten de adecuacioacutenrdquo Para
evaluar que un paiacutes tenga un adecuado nivel de proteccioacuten la Comisioacuten se basa en
diferentes criterios como48
- la existencia y el funcionamiento efectivo de una o varias autoridades de
control independientes en el tercer paiacutes o a las cuales esteacute sujeta una
organizacioacuten internacional con la responsabilidad de garantizar y hacer
cumplir las normas en materia de proteccioacuten de datos
46 AEPD ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_derchosindex-
ides-idphpphp 47 Cazurro Barahona Viacutector ldquoTransferencias internacionales de datosrdquo en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pracitucm_protecci
on_datos_2016imagesCapituloPracticumPDatos2015pdf 48 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 452
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
27
- los compromisos internacionales asumidos por el tercer paiacutes u
organizacioacuten internacional de que se trate u otras obligaciones
derivadas de acuerdos o instrumentos juriacutedicamente vinculantes asiacute
como de su participacioacuten en sistemas multilaterales o regionales en
particular en relacioacuten con la proteccioacuten de los datos personales
- el Estado de Derecho el respeto de los derechos humanos y las
libertades fundamentales la legislacioacuten pertinente tanto general como
sectorial incluiacuteda la relativa a la seguridad puacuteblica la defensa la
seguridad nacional y la legislacioacuten penal y el acceso de las autoridades
puacuteblicas a los datos personales asiacute como la aplicacioacuten de dicha
legislacioacuten las normas de proteccioacuten de datos las normas profesionales
y las medidas de seguridad incluiacutedas las normas sobre transferencias
ulteriores de datos personales
Se antildeade tambieacuten en el reglamento unas precisiones sobre la validez de
comunicaciones a la vista del derecho de la Unioacuten En efecto el articulo 48 nos dice
que ldquoCualquier sentencia de un oacutergano jurisdiccional o decisioacuten de una autoridad
administrativa de un tercer paiacutes que exijan que un responsable o encargado del
tratamiento transfiera o comunique datos personales uacutenicamente seraacute reconocida
o ejecutable en cualquier modo si se basa en un acuerdo internacional como un
tratado de asistencia juriacutedica mutuardquo49 Por lo cual extiende las posibilidades de
transferencias seraacuten aceptables las basadas en una sentencia de un tribunal o
decisioacuten de una autoridad administrativa pero siempre obedeciendo a unas
garantiacuteas que esta sentencia o decisioacuten se base en un acuerdo internacional entre la
Unioacuten y el tercer paiacutes
Despueacutes del estudio la Comisioacuten viacutea un acto de ejecucioacuten declara que el paiacutes
tercero o la organizacioacuten tiene un nivel adecuado de proteccioacuten Este acto de
ejecucioacuten es muy importante porque permite que la transferencia se haga sin
ninguna autorizacioacuten
49 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 48
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
28
Eso quiere decir que una vez que el tercer paiacutes o la organizacioacuten internacional es
declarada con un nivel suficiente de proteccioacuten se puede hacer transferencia y este
paiacutes u organizacioacuten podraacute tratar los datos sin ninguna autorizacioacuten requerida por
parte de la Comisioacuten Estos actos de ejecucioacuten son a continuacioacuten publicados en el
Diario Oficial de la UE y en su paacutegina web
En el otorgamiento de actos de ejecucioacuten la Comisioacuten hace un trabajo
complementario con los Estados miembros En efecto de acuerdo con el articulo
465 del RGPD ldquoLas autorizaciones otorgadas por un Estado miembro o una
autoridad de control de conformidad con el artiacuteculo 26 apartado 2 de la Directiva
9546CE seguiraacuten siendo vaacutelidas hasta que hayan sido modificadas sustituidas o
derogadas en caso necesario por dicha autoridad de control Las decisiones
adoptadas por la Comisioacuten en virtud del artiacuteculo 26 apartado 4 de la Directiva
9546CE permaneceraacuten en vigor hasta que sean modificadas sustituidas o
derogadas en caso necesario por una decisioacuten de la Comisioacuten adoptada de
conformidad con el apartado 2 del presente artiacuteculordquo50 Esto quiere decir que hasta
que sean declaradas invaacutelidas o que sean modificadas las autorizaciones otorgadas
por los Estados miembros o la Comisioacuten en virtud de la Directiva 9546CE
(derogada por la nueva legislacioacuten) permanecen vaacutelidas
Siguiendo esta misma idea de cooperacioacuten el reglamento establece a su artiacuteculo 50
un sistema de cooperacioacuten entre la UE y los paiacuteses terceros y organizaciones a fin
de crear y promover mecanismos para la proteccioacuten de los datos personales Entre
otros podemos citar una mutua asistencia al nivel internacional en cuaacutento a la
aplicacioacuten de la legislacioacuten como crear foacuterum de debates y discusiones
Sin embargo se debe destacar que un solo acto de ejecucioacuten no seraacute siempre vaacutelido
En efecto se ha establecido un mecanismo de revisioacuten perioacutedico al menos cada 4
antildeos para asegurarse que el paiacutes u organizacioacuten sigue teniendo una adecuada
poliacutetica de proteccioacuten
50 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 465
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
29
Esta revisioacuten tendraacute en cuenta todos los acontecimientos relevantes durante los 4
antildeos anteriores51 Ademaacutes el reglamento ha implantado un sistema de garantiacuteas
que completa el acto de ejecucioacuten y el sistema de revisioacuten del mismo De hecho el
tercer paiacutes u organizacioacuten debe ofrecer garantiacuteas adecuadas y acciones legales
efectivas a los ciudadanos para que se pueda transmitir los datos
Por fin a efectos de reforzar la proteccioacuten y asegurar a los ciudadanos una
proteccioacuten total se ha instaurado que en cualquier momento si se demuestra que
ldquoun tercer paiacutes un territorio o un sector especiacutefico de ese tercer paiacutes o una
organizacioacuten internacional ya no garantiza un nivel de proteccioacuten adecuado a
tenor del apartado 2 del presente artiacuteculo la Comisioacuten mediante actos de
ejecucioacuten derogaraacute modificaraacute o suspenderaacute en la medida necesaria y sin efecto
retroactivo la decisioacuten a que se refiere el apartado 3 del presente artiacuteculordquo52 Esto
quiere decir que en cualquier instante la Comisioacuten puede decidir retirar al paiacutes u
organizacioacuten su calificativo de lsquonivel adecuado de proteccioacutenrsquo cuando tiene una
prueba relevante
De esta manera podemos ver el deseo de los legisladores europeos de establecer
una norma protectora para sus ciudadanos Esta aspiracioacuten se ve tanto en la amplia
definicioacuten dada por el reglamento como por la existencia de formalidades muy
exigentes para poder estar considerado como tercer paiacutes u organizacioacuten con lsquonivel
adecuado de proteccioacutenrsquo Esta nueva regulacioacuten establece mecanismos maacutes
protectores que las legislaciones internas de los Estados miembros especialmente
en tema de transferencias Se puede pensar que quieren hacer frente a los grandes
operadores tipo Google o Yahoo
51 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 453 52 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 455
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
30
En efecto en lo que concierne este uacuteltimo recientemente sufrioacute de un robo masivo
de datos personales de mil millones de cuenta de usuarios ldquoYahoo explica en su
nota de prensa que lsquouna tercera parte no autorizadarsquo accedioacute a los datos de sus
usuariosrdquo53 Reforzando este sistema de transferencias a terceros se puede esperar
que este tipo de conducta no seraacute posible en el futuro
Posibles transferencias a Estados u organizaciones terceras
Sistema 1 Evaluacioacuten por la Comisioacuten del lsquonivel adecuadorsquo de proteccioacuten
53 Pozzi Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentas raquo El Pais 15122016 en
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_540005html
Requisitos
- Existencia de autoridades de control independientes
- Existencia de compromisos internacionales del tercer paiacutes en relacioacuten con
proteccioacuten de datos
- Existencia de un Estado de derecho y respeto de los derechos humanos y
libertades fundamentales
Otorgamiento de un acto de ejecucioacuten
- Por parte de la Comisioacuten
- Por parte de los Estados Miembros en virtud de la Directiva 9546CE
Publicacioacuten del acto en el DOUE + paacutegina web
Transferencia posible sin autorizacioacuten
Revisioacuten del acto de ejecucioacuten cada 4 antildeos y sistema de garantiacutea del respeto de los derechos
- en caso de prueba relevante la Comisioacuten puede retirar en cualquier momento el acto
de ejecucioacuten al tercer paiacutes
Si cumplimiento de los requisitos
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
31
Sistema 2 Transferencia posible gracias a una sentencia de un tribunal o decisioacuten
de una autoridad administrativa basada en un acuerdo internacional entre la UE y
el tercer paiacutes
2 Un reglamento adaptado a la realidad
Como juristas sabemos que generalmente cuando se establece una regla general
viene acompantildeada por una excepcioacuten El reglamento no es inmune a este precepto
Al artiacuteculo 49 del mismo se establecen unas excepciones en situaciones
especiacuteficas Asiacute en ciertas situaciones se podraacute realizar una transferencia aunque
el paiacutes tercer u la organizacioacuten no tenga el acto de ejecucioacuten comprobante de su
suficiente seguridad No es necesario acreditar de un acto de ejecucioacuten por parte del
tercer paiacutes u organizacioacuten uacutenicamente si se cumple una de las siguientes
condiciones54
- el interesado haya dado expliacutecitamente su consentimiento a la
transferencia propuesta tras haber sido informado de los posibles
riesgos para eacutel de dichas transferencias debido a la ausencia de una
decisioacuten de adecuacioacuten y de garantiacuteas adecuadas
- la transferencia sea necesaria para la ejecucioacuten de un contrato entre el
interesado y el responsable del tratamiento o para la ejecucioacuten de
medidas precontractuales adoptadas a solicitud del interesado
- la transferencia sea necesaria para la celebracioacuten o ejecucioacuten de un
contrato en intereacutes del interesado entre el responsable del tratamiento
y otra persona fiacutesica o juriacutedica
- la transferencia sea necesaria por razones importantes de intereacutes puacuteblico
- la transferencia sea necesaria para la formulacioacuten el ejercicio o la
defensa de reclamaciones
54 Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 49
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
32
- la transferencia sea necesaria para proteger los intereses vitales del
interesado o de otras personas cuando el interesado esteacute fiacutesica o
juriacutedicamente incapacitado para dar su consentimiento
- la transferencia se realice desde un registro puacuteblico que tenga por objeto
facilitar informacioacuten al puacuteblico y esteacute abierto a la consulta del puacuteblico
en general o de cualquier persona que pueda acreditar un intereacutes
legiacutetimo pero soacutelo en la medida en que se cumplan las condiciones que
establece el Derecho de la Unioacuten o de los Estados miembros para la
consulta
Sin embargo aquiacute la Comisioacuten europea no ha creado estas excepciones En efecto
la mayoriacutea existiacutean en las leyes nacionales A tiacutetulo de ejemplo en Espantildea les
podemos encontrar al artiacuteculo 34 LOPD Por lo cual el papel de la Comisioacuten solo
fue de armonizar estas excepciones para todos sus miembros
Ademaacutes esta nueva regulacioacuten incluye una directiva sobre transmisioacuten de datos
para cuestiones judiciales y policiales Se aplicaraacute al intercambio de datos
transfronterizos dentro de la UE y estableceraacute estaacutendares miacutenimos para el
tratamiento de datos en cada paiacutes La intencioacuten es proteger a las personas implicadas
en investigaciones policiales o procesos judiciales sea como viacutectimas acusados o
testigos mediante la clarificacioacuten de sus derechos y el establecimiento de liacutemites
en la transmisioacuten de datos para prevencioacuten investigacioacuten deteccioacuten y
enjuiciamiento de delitos o la imposicioacuten de penas Se han incluido salvaguardas
para evitar riesgos para la seguridad puacuteblica al tiempo que se facilita una
cooperacioacuten maacutes raacutepida y efectiva entre las autoridades policiales y judiciales ldquoEl
principal problema ante los ataques terroristas y otros criacutemenes trasnacionales es
que los cuerpos judiciales y de seguridad son reacios a compartir informacioacuten
valiosardquo explicoacute la ponente de la directiva Marju Lauristin (SampD Estonia)
ldquoAl fijar estaacutendares europeos para el intercambio de informacioacuten esta norma se
convertiraacute en una herramienta uacutetil para ayudar a las autoridades a trasladar datos
personales
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
33
de manera sencilla y efectiva asegurando el respeto al derecho fundamental a la
privacidadrdquo agregoacute55
Por lo tanto en tema de investigaciones judiciales y policiales el reglamento queda
derogado por esa directiva cuya se aplica dentro del ordenamiento europeo
Podemos decir que las transferencias de datos son un tema muy sensible ndash se debe
en cualquier caso proteger los datos de los ciudadanos y aun en la Unioacuten se
establecen todaviacutea estaacutendares miacutenimos de proteccioacuten ndash sobre el cual la Comisioacuten
tiene que velar cada diacutea
Se debe antildeadir que siendo una directiva debe ser transpuesta en el ordenamiento
juriacutedico interno Los paiacuteses tienen un plazo de 2 antildeos para hacerlo El hecho de que
sea una directiva y no un reglamento muestra que aunque la Comisioacuten quiere
establecer estaacutendares miacutenimos estaacute consciente que en algunos temas ndash judiciales y
policiales ndash los diferentes sistemas comunitarios no permiten una aplicacioacuten riacutegida
Para que la proteccioacuten sea efectiva se la debe adaptar en cada ordenamiento
juriacutedico seguacuten los sistemas propios (pero siempre respetando el nuacutecleo establecido)
II ANALISIS PARTICULAR DE SECTORES ESPECIFICOS
Ahora que hemos estudiado la parte general del nuevo reglamento nos toca estudiar
las innovaciones especiacuteficas Nos centraremos en dos puntos el derecho al olvido
tras la sentencia Google56 (A) y la creacioacuten de una proteccioacuten especial para los nintildeos
(B)
Me parece muy importante estudiar estos conceptos dado que forman parte de la
vida cotidiana de cada uno
55 ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el Parlamento Europeo devuelven su
control a los ciudadanosrdquo ConfiLegal 14042016 en httpsconfilegalcom20160414-las-nuevas-
normas-proteccion-datos-devuelven-control-los-ciudadanos 56 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
34
De hecho en lo que concierne el derecho al olvido o derecho de supresioacuten cuando
un usuario quiere suprimir un perfil suyo nos podemos preguntar lo que hace el
operador con los datos proveiacutedos iquestse les guarda o debe suprimirlos En efecto
algunos ciudadanos crean perfiles pero puesto que todo evoluciona muy
raacutepidamente acaban siendo perfiles solo temporales que se quiere suprimir Por lo
cual se puede plantear esta pregunta
Por otro lado en lo que concierne los nintildeos han nacido con la era digital asiacute que
todo es muy evidente e innato para ellos Sin embargo no son conscientes de los
posibles riesgos que pueden ocurrir Siendo la nueva generacioacuten y no lucido en
cuento al peligro se les debe proteger Para lograr estos propoacutesitos se debe
establecer unas reglas especiacuteficas limitativas y salvaguardadas de sus
informaciones Por lo tanto se debe analizar queacute proteccioacuten se proporciona para los
menores
A lsquoEl derecho al olvidorsquo una mirada actualizada
El derecho al olvido es una de las novedades del nuevo reglamento En efecto tal
derecho no era presente en la Directiva 9546CE
Para entender por queacute los legisladores han decidido integrarlo en el RGPD nos
corresponde el estudio histoacuterico de tal derecho para despueacutes poder entender su
regulacioacuten europea
1 Enfoque histoacuterico
Aunque el derecho al olvido sea bastante nuevo y consagrado en este nuevo
reglamento para encontrar una definicioacuten se debe ir a la AEPD Por lo cual es ldquola
manifestacioacuten de los tradicionales derechos de y cancelacioacuten y oposicioacuten aplicados
a los buscadores de internet Hace referencia al derecho a impedir la difusioacuten de
informacioacuten personal a traveacutes de internet cuando su publicacioacuten no cumple los
requisitos de adecuacioacuten y pertinencia previstos en la normativa
En concreto incluye el derecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoleta o
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
35
ya no tiene relevancia ni intereacutes puacuteblico aunque la publicacioacuten original sea
legiacutetimardquo57
Se puede decir que este derecho es parecido a un derecho de supresioacuten En efecto
la AEPD nos habla de lsquoderecho a limitar la difusioacuten universal e indiscriminada de
datos personales en los buscadores generales cuando la informacioacuten es obsoletarsquo
pero en la red es muy difiacutecil sino casi imposible de limitar la difusioacuten de
informacioacuten Asiacute uno de los medios para alcanzar este objetivo es muy radical la
supresioacuten de la informacioacuten Por lo cual se puede decir que el derecho al olvido es
muy parecido a un derecho de supresioacuten yo cancelacioacuten
El derecho al olvido en las instituciones europeas surgioacute con las primeras
declaraciones puacuteblicas de Viviane Reding cuando dijo que ldquolos usuarios de Internet
deben tener un control efectivo sobre lo que suben online y ser capaces de corregir
retirar y suprimirlo Necesitamos aproximarnos a la idea del reconocimiento de un
ldquoderecho al olvidordquo58
Sin embargo con estas primeras declaraciones se confundioacute el derecho al olvido y
la portabilidad de los datos En efecto en estos momentos la mudanza de las
cuentas y perfiles de unas plataformas a otras o la imposibilidad de destruirlas eran
problemas vinculados59
Asiacute se puede explicar la Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre
de 201060 sobre lsquoUn enfoque global de la proteccioacuten de datos personales en la Unioacuten
Europearsquo
57 AEPD ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-ides-idphpphp 58 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 35 59 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 36 60 Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun enfoque global de
la proteccioacuten de datos personales en la Unioacuten Europea el olvido como lsquocancelacioacutenrsquo de datos
personales en httpeur-lexeuropaeulegal-contentenALLuri=CELEX52012DC0009
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
36
En tal comunicacioacuten la Comisioacuten propone ejes para reforzar y lograr el control
sobre los datos personales61
- Reforzar el principio de la minimizacioacuten de datos
- Mejorar las condiciones de un verdadero ejercicio de los derechos de
acceso rectificacioacuten supresioacuten y bloqueo
- Garantizar la portabilidad de los datos
- Clarificar el derecho al olvido como derecho de las personas a que sus datos
dejaran de utilizarse y se suprimieran cuando ya no fueran necesarios
Esta necesidad de implantar el derecho al olvido responde como lo ha remarcado
Ordoacutentildeez Soliacutes al hecho de que ldquoInternet estaacute planteando nuevos desafiacuteos para los
derechos fundamentales hasta el punto de que precisamente la informaacutetica ha
propiciado el desarrollo extraordinario de un derecho fundamental consagrado
recientemente por la Carta de Derechos Fundamentales de la Unioacuten Europea el
derecho a la proteccioacuten de los datos personalesrdquo62
De hecho en la nueva era de las redes una de las dificultades principales de los
legisladores es el control del movimiento globalizador de la informacioacuten Por lo
cual permitir la supresioacuten de la informacioacuten es un medio de controlar ese
movimiento
La sentencia Google sentencia del TJUE del 13 de mayo de 201463 consagra el
derecho al olvido digital o la posibilidad de eliminar los datos de caraacutecter personal
en internet cuando se considera que puede perjudicar al ciudadano o desea que sea
olvidada al carecer de relevancia actual
En este caso se trata de una reclamacioacuten efectuada por un ciudadano espantildeol que
pediacutea que se eliminasen sus datos que apareciacutean en un perioacutedico digital y en los
buscadores de google afectando a su derecho a la intimidad y su derecho al honor
61 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 37 62 Ordoacutentildeez Soliacutes David El derecho al olvido en internet y la sentencia Google Spain Revista
Aranzadi Unioacuten Europea pp 1-1906 052014 La cita transcrita en p 3 63 STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de proteccioacuten de
datos y Mario Costeja Gonzalez en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
37
Aunque la Agencia Espantildeola de Proteccioacuten de Datos lo desestimoacute salvo la
indexacioacuten de esa noticia por parte de Google el asunto se remitioacute a la Audiencia
Nacional y esta uacuteltima a la vista singular del asunto lo elevoacute al Tribunal Superior
de Justicia de la Unioacuten Europea pronunciando la famosa Sentencia de 13 de mayo
de 2014 donde se decidioacute el derecho del interesado a solicitar la supresioacuten de sus
datos en los motores de buacutesqueda de Google64
Asiacute desde esta sentencia los usuarios que quieren que un dato personal sea
suprimido deben primero solicitar al responsable del tratamiento que analice la
informacioacuten a eliminar y en el caso de que no se quiera cancelar se podraacute acudir
ante la propia agencia nacional de proteccioacuten la Agencia Espantildeola de Proteccioacuten
de Datos aquiacute en Espantildea
Aunque la sentencia Google glorifica el derecho al olvido hubo antecedentes
jurisprudenciales El primer intento fue con el Dictamen 1200865 que proclamoacute la
vigencia efectiva del derecho de proteccioacuten de datos refirieacutendose al derecho a
solicitar la supresioacuten de datos de los buscadores de Internet en los siguientes
teacuterminos66
- Los buscadores deben respetar el derecho a suprimir datos perfiles
personales entre otros
- Los buscadores deben respetar el derecho a suprimir las informacioacuten
incompletas u obsoletas lsquouna vez que estos datos no corresponden ya al
contenido publicado en Internet por los responsables del tratamiento del
sitio o sitios Internet que publican esta informacioacutenrsquo
- Deber de actualizacioacuten de las memorias ocultas
- Los editores de webs deben adoptar medidas para informar
automaacuteticamente a los buscadores de todas las solicitudes de supresioacuten de
datos que reciban
64 Puig Carles Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo Legalis Consultores
28062016 en httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo 65 Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con motores de
buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf 66 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014 p 175
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
38
Asiacute podemos decir que el derecho al olvido estaacute relacionado con el deber de
actualizar las informaciones En efecto el derecho al olvido se manifiesta entre
otros casos cuando las informaciones son incompletas u obsoletas
En el caso Times Newspapers vs UK67 se proclamoacute el deber de la prensa de
garantizar la exactitud de la informacioacuten histoacuterica publicada en Internet la cual debe
incluir un ldquoaviso de actualizacioacutenrdquo68
Asiacute cuando este deber de actualizacioacuten no es ejercido por parte de los buscadores
y editores se puede pedir el derecho al olvido por parte de los usuarios
Podemos concluir que para que el derecho al olvido sea incorporado en un texto
europeo con aplicacioacuten obligatoria por parte de los Estados Miembros fue
necesario trabajos preliminares
2 El objetivo y la reglamentacioacuten del derecho al olvido El resultado a
obtener
El derecho al olvido estaacute regulado en varios textos legislativos En Espantildea estaacute
regulado en el artiacuteculo 18 CE como parte del derecho a la intimidad pero tambieacuten
al artiacuteculo 16 LOPD como lsquoderecho de rectificacioacuten y cancelacioacutenrsquo
En el RGPD existe una seccioacuten que concierne la rectificacioacuten y supresioacuten de los
datos
Primero la rectificacioacuten se encuentra en el artiacuteculo 16 Es una etapa intermedia que
permite no llegar hasta la supresioacuten De hecho como lo vimos se puede pedir la
supresioacuten de los datos cuando esos son incompletos u obsoletos
67 STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009 68 Rallo Artemi El derecho al olvido en Internet Google versus Espantildea Centro de Estudio
Poliacuteticos y Constitucionales Madrid 2014 p 211
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
39
Con la rectificacioacuten el operador modifica y completa los datos inexactos69 Permite
a ambos usuario y operador que las informaciones se queden en la red pero
modificaacutendolas para que sean justas
Despueacutes llegamos con el articulo 17 al derecho de supresioacuten o derecho al olvido
Vemos la voluntad del legislador de considerar el derecho al olvido como derecho
de supresioacuten en el titulo mismo del artiacuteculo Derecho de supresioacuten (laquoel derecho al
olvidoraquo) Sin embargo el legislador establece liacutemites no se puede pedir la
supresioacuten en cualquier caso deben concurrir algunas de las siguientes
circunstancias70
- los datos personales ya no sean necesarios en relacioacuten con los fines para los
que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento
- el interesado se oponga al tratamiento y no prevalezcan otros motivos
legiacutetimos para el tratamiento
- los datos personales hayan sido tratados iliacutecitamente
- los datos personales deben suprimirse para el cumplimiento de una
obligacioacuten legal establecida en el Derecho de la Unioacuten o de los Estados
miembros que se aplique al responsable del tratamiento
- los datos personales se hayan obtenido en relacioacuten con la oferta de servicios
de la sociedad de la informacioacuten
Ademaacutes el art172 del nuevo Reglamento establece que ldquoCuando haya hecho
puacuteblicos los datos personales y esteacute obligado [hellip] a suprimir dichos datos el
responsable del tratamiento teniendo en cuenta la tecnologiacutea disponible y el coste
de su aplicacioacuten adoptaraacute medidas razonables incluidas medidas teacutecnicas con
miras a informar a los responsables que esteacuten tratando los datos personales de la
solicitud del interesado de supresioacuten de cualquier enlace a esos datos personales
o cualquier copia o reacuteplica de los mismosrdquo71
69 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 16 70 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 171 71 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 172
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
40
Por tanto uacutenicamente es de aplicacioacuten cuando los datos sean puacuteblicos la tecnologiacutea
disponible y los costes de aplicacioacuten permitan su atencioacuten
Finalmente se han creado limites a este derecho de olvido Las solicitudes de
supresioacuten no podraacuten ser aceptadas cuando el tratamiento sea necesario72
- para ejercer el derecho a la libertad de expresioacuten e informacioacuten
- para el cumplimiento de una obligacioacuten legal que requiera el tratamiento de
datos impuesta por el Derecho de la UE o de los Estados miembros que se
aplique al responsable del tratamiento o para el cumplimiento de una misioacuten
realizada en intereacutes puacuteblico o en el ejercicio de poderes puacuteblicos conferidos
al responsable
- por razones de intereacutes puacuteblico en el aacutembito de la salud puacuteblica
- con fines de archivo en intereacutes puacuteblico investigacioacuten cientiacutefica o histoacuterica
o fines estadiacutesticos
- para la formulacioacuten el ejercicio o la defensa de reclamaciones
Por lo cual vemos que la intimidad recogida al artiacuteculo 18 CE se opone a la libertad
de expresioacuten recogida al artiacuteculo 20 CE Asiacute podemos preguntarnos sobre la
proteccioacuten real del derecho al olvido puesto que la libertad de expresioacuten tiene maacutes
fuerza que el derecho al olvido
Finalmente vemos que los legisladores han querido ir maacutes allaacute del derecho al olvido
porque han tambieacuten antildeadido el derecho a la portabilidad de los datos De hecho
como dije en anterioridad en los primeros antildeos del desarrollo del derecho al olvido
habiacutea una tendencia a confundir olvido y portabilidad de los datos Aquiacute con este
nuevo reglamento vemos una cierta voluntad de aclarar los dos conceptos En el
mismo sentido se ha introducido un derecho de oposicioacuten al artiacuteculo 21 del
reglamento Asiacute pues en este reglamento se observa la voluntad de los legisladores
de introducir y proteger nuevos derechos aclarando los diferentes conceptos para
asegurar una proteccioacuten real
72 RGPD (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016 Articulo 173
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
41
No obstante se puede preguntar sobre la aplicacioacuten real y efectiva de este artiacuteculo
De hecho es difiacutecil por no decir casi imposible de suprimir una informacioacuten puesta
en la red Asiacute se puede preguntar si el dato personal es suprimido o solo escondido
para que sea difiacutecil de encontrar La red funciona un poco como un iceberg la parte
emergida se trata de aquella en la cual se puede encontrar cualquier informacioacuten
con las buenas palabras claves La parte sumergida es aquella camuflada y
desconocida de un gran nuacutemero de usuarios Asiacute iquestlos datos son realmente
suprimidos o solamente desplazados en esta parte disimulada
Observamos que los legisladores no son conscientes de esta dificultad de supresioacuten
real puesto que hablan solamente de derecho de supresioacuten Han incorporado esta
regla sin estudiar efectivamente si la eliminacioacuten era posible o no
En mi opinioacuten suprimir datos no es posible En efecto la informacioacuten es demasiado
valuosa en el mercado para ser eliminada por parte de los operadores La
incorporacioacuten de tal concepto en este texto europeo responde a reivindicaciones
ciudadanas y poliacuteticas pero en cualquier caso es una innovacioacuten utoacutepica Los datos
seraacuten guardados y escondidos pero en mi opinioacuten no seraacuten suprimidos
B El establecimiento de una proteccioacuten especial para los nintildeos
Con el desarrollo de los medios de comunicacioacuten y sobre todo del avance del aacutembito
informaacutetico es crucial establecer textos legislativos que incluyen la proteccioacuten de
los nintildeos Ademaacutes de estas herramientas juriacutedicas se crean oacuterganos para satisfacer
su plena aplicacioacuten
1 La proteccioacuten de los nintildeos como limite al tratamiento de los datos
Hoy en diacutea los menores de edad han nacido con un internet muy desarrollado razoacuten
por la cual se les llama lsquonativos digitalesrsquo73
73 AEPD ldquoInternet y menoresrdquo en
httpwwwagpdesportalwebAGPDjornadasdia_internet_2016internet_y_menores-ides-
idphpphp
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
42
En efecto no tuvieron que aprender el uso de la red como nosotros nuestros padres
o abuelos Nacieron con estos instrumentos y por eso les es innato el uso de estos
dispositivos se trata de su medio natural
Sin embargo aunque los nintildeos sepan utilizar estos medios antes de una cierta edad
no tienen la madurez necesaria para entender los riesgos y consecuencias que
impliquen un uso nefasto y candoroso de la red
Asiacute para prevenir tal inseguridad los legisladores europeos han decidido crear
reglas limitativas del tratamiento de los datos cuando estos conciernen menores de
edad Hubo iniciativa parecida como en la Directiva de servicios de comunicacioacuten
audiovisual74 De hecho su artiacuteculo 12 preveacute que ldquolos Estados miembros adoptaraacuten
las medidas adecuadas para velar por que los servicios de comunicacioacuten
audiovisual a peticioacuten ofrecidos por los prestadores del servicio de comunicacioacuten
bajo su jurisdiccioacuten que puedan dantildear gravemente el desarrollo fiacutesico mental o
moral de los menores se faciliten uacutenicamente de manera que se garantice que
normalmente los menores no veraacuten ni escucharaacuten dichos servicios de
comunicacioacuten audiovisual a peticioacutenrdquo75 Por lo cual se ve una voluntad de proteger
los nintildeos de ese entorno peligroso
Mismo contenido estaacute presente al artiacuteculo 3 nonies de la Directiva 200765CE del
Parlamento Europeo y del Consejo de 11 de diciembre de 200776
74 Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y administrativas de los Estados
miembros relativas a la prestacioacuten de servicios de comunicacioacuten audiovisual (Directiva de servicios
de comunicacioacuten audiovisual) en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES 75 Directiva 201013UE del Parlamento Europeo y del Consejo (Directiva de servicios de
comunicacioacuten audiovisual) Articulo 12
76 Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre de 2007 por la
que se modifica la Directiva 89552CEE del Consejo sobre la coordinacioacuten de determinadas
disposiciones legales reglamentarias y administrativas de los Estados miembros relativas al
ejercicio de actividades de radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
43
Ademaacutes unos antildeos antes de esas dos directivas tuvimos otra directiva sobre el
comercio electroacutenico y una recomendacioacuten sobre la proteccioacuten de menores y la
dignidad humana revisada en 2006 que tambieacuten tratan de la proteccioacuten de los
menores ndash art 16 de la directiva77
En consecuencia vemos que el RGPD no es el primer texto que trata proteger a los
nintildeos Sin embargo se puede creer que esa proteccioacuten reforzada en el texto
estudiado es fruto de presiones de parte de organismos como por ejemplo la
UNICEF organismo de la ONU para la proteccioacuten de la infancia De hecho son
organismos que pueden tener una cierta fuerza a la hora de influenciar la redaccioacuten
de textos legislativos
Este reglamento nos expone en sus motivos las razones de tal legislacioacuten sobre los
nintildeos Nos dice que ldquolos nintildeos merecen una proteccioacuten especiacutefica de sus datos
personales ya que pueden ser menos conscientes de los riesgos consecuencias
garantiacuteas y derechos concernientes al tratamiento de datos personalesrdquo78
Sin embargo este texto provee una proteccioacuten individualizada De hecho el
articulo 8 del reglamento lsquoCondiciones aplicables al consentimiento del nintildeo en
relacioacuten con los servicios de la sociedad de la informacioacutenrsquo dispone que ldquoel
tratamiento de los datos personales de un nintildeo se consideraraacute liacutecito cuando tenga
como miacutenimo 16 antildeos Si el nintildeo es menor de 16 antildeos tal tratamiento uacutenicamente
se consideraraacute liacutecito si el consentimiento lo dio o autorizoacute el titular de la patria
potestad o tutela sobre el nintildeo y solo en la medida en que se dio o autorizoacuterdquo79
Asiacute se impone dos liacutemites
- El tratamiento de los datos de un menor sin el consentimiento de los titulares
de la patria potestad es licito cuando el menor tenga como miacutenimo 16 antildeos
- Por debajo de esta edad se necesita el consentimiento del titular de la patria
potestad o tutela
77 Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le droit de reacuteponse
en liaison avec la compeacutetitiviteacute de lrsquoindustrie europeacuteenne des services audiovisuels et drsquoinformation
en ligne JOUE L 378 p 72 78 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Motivo 38 79 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
44
Sin embargo los legisladores han matizado este liacutemite ldquoLos Estados miembros
podraacuten establecer por ley una edad inferior a tales fines siempre que esta no sea
inferior a 13 antildeosrdquo80 Por lo cual se puede concluir que se necesita siempre el
consentimiento de los titulares de la patria potestad hasta que el nintildeo tiene como
miacutenimo 13 antildeos Los Estados miembros pueden cambiar este miacutenimo En Espantildea
por ejemplo la edad miacutenima no es 16 sino 14 antildeos Asiacute cuando el menor tiene 14
antildeos o maacutes no es necesario el consentimiento de sus padres para que se traten sus
datos de acuerdo con el articulo 131 LOPD81 Asiacute en Espantildea los menores entre
14 y 18 antildeos pueden prestar ellos mismos el consentimiento sin necesitar del de sus
padres porque se considera que son suficientemente maduros para entender las
consecuencias del consentimiento prestado
No obstante los legisladores son conscientes de la dificultad de verificar el control
hecho por parte de los padres y el consentimiento dado
Asiacute han antildeadido un apartado que deja cierta libertad a los operadores ldquoEl
responsable del tratamiento haraacute esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el nintildeo teniendo en cuenta la tecnologiacutea disponiblerdquo82
Se habla de lsquoesfuerzos razonablesrsquo por lo cual se deja cierta libertad y margen de
maniobra para verificar el consentimiento no se establece un procedimiento fijo
Como se deja un margen a los Estados para que fijen el liacutemite miacutenimo ndash entre 13 y
16 antildeos ndash a partir del cual ya no se requiere maacutes el consentimiento de los padres se
ha establecido reglas sobre el consentimiento En efecto el articulo 12 nos dice que
ldquoEl responsable del tratamiento tomaraacute las medidas oportunas para facilitar al
interesado toda informacioacuten hellip asiacute como cualquier comunicacioacuten hellip
80 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8 81 Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter Personal Articulo
131 82 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 8
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
45
relativa al tratamiento en forma concisa transparente inteligible y de faacutecil
acceso con un lenguaje claro y sencillo en particular cualquier informacioacuten
dirigida especiacuteficamente a un nintildeordquo83
De hecho entre 13 y 16 antildeos no se tiene la misma madurez por lo cual un menor
que tiene 13 antildeos debe poder entender el coacutemo se va a tratar sus datos de la misma
manera que un menor de 16 antildeos
Asiacute vemos que el reglamento se encarga de proteger los nintildeos de este desarrollo
digital que puede ser peligroso Sin embargo la proteccioacuten que se hace aquiacute es
miacutenima De hecho podemos dudar de la tutela porque un solo artiacuteculo para proteger
a la nueva generacioacuten que no es siempre consciente de los riesgos de la red puede
ser arriesgado
Ademaacutes se ve un desequilibrio en el reglamento puesto que en cuento a los nintildeos
los motivos son maacutes desarrollados que los artiacuteculos en siacute mismo Por lo cual el
legislador europeo estaacute consciente de que se debe proteger a los nintildeos y desarrolla
mucho estos motivos de por queacute se debe proteger pero a la hora de crear una
proteccioacuten en siacute misma esta es limitada
Tambieacuten el hecho de dejar un margen a los operadores a la hora de verificar el
consentimiento reduce el aacutembito de aplicacioacuten del artiacuteculo Ademaacutes el hecho que
los Estados puedan cambiar la edad miacutenima a partir de la cual se requiere el
consentimiento de los padres ndash estableciendo un margen de 3 antildeos ndash debilita la
uniformidad del derecho europeo
Al fin y al cabo podemos decir que esa proteccioacuten de los nintildeos establece un liacutemite
a los operadores porque restringe el tratamiento de los datos de los nintildeos pero no
se puede hablar de una defensa tan efectiva que la que concierne el consentimiento
el tema de las transferencias o el olvido por ejemplo Tomando el ejemplo espantildeol
se puede hablar de una tutela efectiva para los menores de 14 antildeos
83 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 12
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
46
2 La creacioacuten de instituciones peculiares cuyos oacuterganos vigilan a la buena
aplicacioacuten del reglamento
El RGPD ademaacutes de haber desarrollado y amplificado las reglas legales referentes
a la proteccioacuten de datos ha tambieacuten creado oacuterganos cuyo papel es custodiar la buena
aplicacioacuten de las reglas generales ndash consentimiento tratamiento transferencias ndash
como de las reglas especiacuteficas ndash derecho al olvido proteccioacuten de los nintildeos
Primero se ha establecido una norma sobre coacutedigo de conducta al artiacuteculo 40 No
se ha creado en siacute mismo un coacutedigo de conducta europeo paralelo al reglamento
sino que se debe crear en el futuro estos tipos de coacutedigos para ldquocontribuir a la
correcta aplicacioacuten del presente Reglamento teniendo en cuenta las
caracteriacutesticas especiacuteficas de los distintos sectores de tratamiento y las necesidades
especiacuteficas de las microempresas y las pequentildeas y medianas empresasrdquo84
Estos coacutedigos redactados y promovidos por los Estados miembros las autoridades
de control el Comiteacute la Comisioacuten las asociaciones y otros organismos tienen como
objetivo la ampliacioacuten y especificacioacuten del reglamento en diferentes sectores85
como por ejemplo
- El tratamiento leal y transparente
- Los intereses legiacutetimos perseguidos por los responsables del tratamiento en
contextos especiacuteficos
- La recogida de datos personales
- La seudonimizacioacuten de datos personales
- La informacioacuten proporcionada al puacuteblico y a los interesados
- El ejercicio de los derechos de los interesados
- La informacioacuten proporcionada a los nintildeos y la proteccioacuten de estos asiacute como
la manera de obtener el consentimiento de los titulares de la patria potestad
o tutela sobre el nintildeo
84 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
401 85 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
402
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
47
En lo que concierne la redaccioacuten y lsquosupervisioacuten del cumplimiento de un coacutedigo de
conductarsquo86 no se puede hacer por cualquier organismo Este debe cumplir con
unos requisitos como por ejemplo ldquoestablecer procedimientos que le permitan
evaluar la idoneidad de los responsables y encargados correspondientes para
aplicar el coacutedigo supervisar el cumplimiento de sus disposiciones y examinar
perioacutedicamente su aplicacioacutenrdquo87 o ldquodemostrar a satisfaccioacuten de la autoridad de
control competente que sus funciones y cometidos no dan lugar a conflicto de
interesesrdquo88
Finalmente para que estos textos tengan una cierta fuerza vinculante se exige que
los responsables o encargados del tratamiento adhieren a estos coacutedigos y asumen
ldquocompromisos vinculantes y exigibles por viacutea contractual o mediante otros
instrumentos juriacutedicamente vinculantes para aplicar dichas garantiacuteas adecuadas
incluidas las relativas a los derechos de los interesadosrdquo89
Un sistema parecido estaacute previsto a los artiacuteculos 42 y 43 de este nuevo reglamento
en lo que concierne la certificacioacuten Tal instrumento permitiraacute ldquoen materia de
proteccioacuten de datos y de sellos y marcas de proteccioacuten de datos demostrar el
cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de
tratamiento de los responsables y los encargadosrdquo90 De manera similar a los
coacutedigos de conductas los organismos para crear estos mecanismos de
certificacioacuten necesitan acreditar de requisitos y operan solamente en ciertos
aacutembitos no son generales
En paralelo a estos dos mecanismos existen diferentes oacuterganos con diferentes
papeles
86 87 88 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Articulo 412 89 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
403 90 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo
421
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
48
Primero cada Estado Miembro debe implantar unas autoridades puacuteblicas
independientes o autoridad de control a fin de ldquoproteger los derechos y las
libertades fundamentales de las personas fiacutesicas en lo que respecta al tratamiento
y de facilitar la libre circulacioacuten de datos personales en la Unioacutenrdquo91 Esta autoridad
debe ser independiente de conformidad con el articulo 52 y su creacioacuten debe
respetar un procedimiento establecido al artiacuteculo 53 (nombramiento sucesioacuten de
autoridadeshellip) y su competencia funciones y poderes son erigidos a los artiacuteculos
55 56 57 58 y 59 del reglamento Por lo tanto vemos que esa autoridad de control
es muy normalizada en el RGPD
Despueacutes se regula un Comiteacute Europeo de Proteccioacuten de Datos oacutergano
independiente cuyo papel es entre otros92
- asesorar a la Comisioacuten sobre toda cuestioacuten relativa a la proteccioacuten de datos
personales en la Unioacuten en particular sobre cualquier propuesta de
modificacioacuten del presente Reglamento
- llevar un registro electroacutenico de acceso puacuteblico de las decisiones adoptadas
por las autoridades de control y los tribunales sobre los asuntos tratados en
el marco del mecanismo de coherencia
- promover la cooperacioacuten y los intercambios bilaterales y multilaterales
efectivos de informacioacuten y de buenas praacutecticas entre las autoridades de
control
Ademaacutes tiene que redactar un informe anual que debe tener de tema la proteccioacuten
de las personas en lo que concierne el tratamiento de la Unioacuten y en terceros paiacuteses
u organizaciones si es necesario93
Como en el caso de la autoridad de control todo lo que concierne su procedimiento
presidencia funciones estaacute regulado por el reglamento
91 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 51 92 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 70 93 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 71
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
49
Finalmente otro oacutergano que tiene un papel importante sobre todo en cuento al
tratamiento de los datos es el delegado de proteccioacuten Esta figura estaacute regulada a
los artiacuteculos 37 a 39 del reglamento Tiene un papel maacutes especiacutefico que los otros
oacuterganos estudiados asistir al responsable y encargado del tratamiento en lo que
concierne este trato de los datos ofrecer asesoramiento cooperar con los otros
oacuterganos94 El reglamento contempla 3 casos en los cuales se debe siempre designar
un delegado pero nos damos cuenta que al final se cubre casi todos los casos95
- el tratamiento lo lleve a cabo una autoridad u organismo puacuteblico excepto
los tribunales que actuacuteen en ejercicio de su funcioacuten judicial
- las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que en razoacuten de su naturaleza alcance yo fines
requieran una observacioacuten habitual y sistemaacutetica de interesados a gran
escala
- las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categoriacuteas especiales de datos personales y de
datos relativos a condenas e infracciones penales
Por lo cual el reglamento no solo preceptuacutea sino que crea oacuterganos cuya funcioacuten es
vigilar a la buena aplicacioacuten del mismo y el respeto de sus normas
A diacutea de hoy el reglamento no es plenamente aplicado dado que su entera
aplicacioacuten estaacute prevista para 2018 Asiacute nos podemos preguntar si estos oacuterganos
creados por el propio reglamento permitiraacuten en el futuro una aplicacioacuten rigorosa del
mismo De hecho estos oacuterganos son dependientes de los Estados Miembros porque
creados por ellos asiacute si estos ponen mala voluntad el papel de los oacuterganos seraacute
reducido
Por lo cual nos podemos cuestionar sobre otros medios que favoreceriacutean una
completa utilizacioacuten de este nuevo reglamento Ya estaacute previsto multas
administrativas ndash articulo 84 del reglamento
94 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 39 95 RGPD (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Articulo 37
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
50
De hecho hoy en diacutea la poliacutetica va con la economiacutea y las finanzas Podemos pensar
que imponiendo multas financieras se cumpliraacute el reglamento Sin embargo si no
se respeta cuyo texto se deberaacute encontrar nuevas herramientas maacutes eficaces
Finalmente al nivel empresarial se necesita cambios sobre privacidad para
satisfacer con las exigencias legales De hecho multas de millones de euros estaacuten
previstas si no se cumplen las obligaciones reglamentarias Pero hay siempre dudas
en cuento al cumplimiento de estas normas porque a veces ciertas empresas
prefieren pagar la multa que cambiar sus sistemas internos
3 El resultado a obtener
El resultado a obtener seriacutea eacutel de un respeto total de estas reglas puesto que los
menores son una parte de la poblacioacuten deacutebil que se debe proteger especialmente
Hay que verificar que los operadores utilizan todos los medios necesarios para
comprobar que en lo que concierne los menores entre 13 y 16 antildeos ndash seguacuten lo
establecido por cada legislacioacuten nacional ndash los tutores legales presten su
consentimiento que sean de acuerdo y conscientes acerca del tratamiento de los
datos de sus menores
Este papel de vigilancia lo tiene los oacuterganos presentados al apartado anterior En lo
que les concierne se debe crear un sistema eficaz para que puedan ejercer sus
funciones activamente proteger efectivamente los ciudadanos europeos y vigilar la
buena aplicacioacuten del RGPD
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
51
CONCLUSIONES
I Una proteccioacuten integral y adaptable a cada nivel
En el Reglamento estudiado se ve claramente el deseo de los legisladores de
adaptar la proteccioacuten de los ciudadanos a la innovacioacuten digital No se acepta la
innovacioacuten como excepcioacuten a la proteccioacuten En efecto son conscientes del valor
pecuniario de los datos asiacute como de la existencia de un mercado negro poniendo
en peligro la seguridad de los usuarios Por esto se han creado reglas que siguen
siendo generales para abarcar todas las situaciones pero tambieacuten unas maacutes
especiacuteficas para responder a las necesidades del pueblo europeo
Ademaacutes vemos el caraacutecter adaptable de la normativa en la redaccioacuten de los
artiacuteculos De hecho como dije anteriormente se adapta a las reivindicaciones de
los ciudadanos asiacute como a los conceptos juriacutedicos en siacute A tiacutetulo ilustrativo
podemos hablar del consentimiento Tal concepto se ha transformado a fin de
arreglarse a la visioacuten actual de la privacidad para poder lograrla Es una de las
nociones en constante cambio asiacute pues es imprescindible modificar y acomodar
las normas juriacutedicas para poder lograr una tutela efectiva de los derechos de los
ciudadanos
II Un Reglamento completo e innovador
Ademaacutes se han fortalecido unas bases legales antiguas pero no siempre respetadas
el consentimiento y las transferencias de datos Tales nociones son inevitablemente
mencionadas y preservadas cuando se trata de la proteccioacuten de datos Este
reglamento no es una excepcioacuten a esa regla estos conceptos son regulados y
fortificados especialmente en el caraacutecter lsquoclaro y efectivorsquo del consentimiento
De hecho con estos nuevos teacuterminos se quiere poner fin al lsquoreino de las
condiciones generalesrsquo eran redactadas de tal manera que nadie queriacutea perder
tiempo o energiacutea a intentar leerlas
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
52
Con este nuevo reglamento se trata de aclarar estas condiciones generales por
ejemplo de modo que cada uno pueda entender en teacuterminos claros la futura
utilizacioacuten de sus datos
Tambieacuten ademaacutes de reforzar antiguas normas este reglamento ha incorporado
nuevas las cuales no han estado reguladas previamente hablo aquiacute del derecho al
olvido De hecho tal derecho se ha desarrollado y normalizado con este reglamento
porque ya existiacutea pero no era incorporado en ninguacuten texto legal europeo Por lo
cual vemos el deseo de los legisladores de no solamente fortalecer las normas
generales pero tambieacuten de especificar este reglamento a fin de responder a las
exigencias ciudadanas
Finalmente se establecen unos liacutemites para asegurar esa proteccioacuten de datos Se
crean aquiacute oacuterganos especiacuteficos que deben cuidar la ejecucioacuten del reglamento pero
tambieacuten normas protectoras de los usuarios maacutes deacutebiles como los menores Eso se
revela esencial a la elaboracioacuten de un texto positivo y seguro
III Una aplicacioacuten total dudosa
La redaccioacuten de tal normativa era fundamental puesto que el uacuteltimo texto sobre el
asunto remonta al antildeo 1995 Sin embargo podemos dudar de su aplicacioacuten en la
praacutectica De hecho puesto que es un reglamento no se necesita transposicioacuten en
los ordenamientos juriacutedicos internos El hecho de haber preferido un reglamento a
una directiva nos muestra que los legisladores europeos quieren una aplicacioacuten fija
y estricta de esas normas No obstante dado que establece nuevas reglas se ha
decidido poner un plazo para que los Estados miembros puedan adaptar su
legislacioacuten interna a la entrada en vigor de este reglamento Sin embargo aunque
su plena aplicacioacuten esta prevista dentro de un poco maacutes de un antildeo (25 de mayo de
2018) los Estados miembros tardan en modificar sus legislaciones internas
A tiacutetulo de ejemplo Francia o Espantildea no han empezado este trabajo Uno de los
Estados quien realmente ha empezado es Alemania
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
53
Finalmente se preveacute sanciones econoacutemicas si no se respeta las nuevas normas
Pero no podemos asegurar que las empresas prefieran cambiar sus poliacuteticas y
funcionamiento interno antes que pagar De una manera sinteacutetica podemos decir
que este texto es muy completo y protector pero hay que esperar unos antildeos para
comprobar su verdadera eficacia y respeto
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
54
BIBLIOGRAFIA bibliografiacutea consultada el 11052017
Libros y material digital
-ANGEL MENDOZA Miguel ldquoiquestCuaacutento por esa cuenta El valor de la informacioacuten
en el mercado negrordquo WeLiveSecurity 25112016 en
httpwwwwelivesecuritycomla-es20161125informacion-mercado-negro
-BROCCA Marina ldquoEl nuevo reglamento de proteccioacuten de datosrdquo Proteccioacuten de
datos 20102016 en httpsmarinabroccacomproteccion-de-datosnuevo-
reglamento-proteccion-datos
-CAZURRO BARAHONA Viacutector Transferencias internacionales de datos en
httpwwwaranzadiessitesaranzadiesfilescreatividadPublicacionesemail_pra
citucm_proteccion_datos_2016imagesCapituloPracticumPDatos2015pdf
-DE LA HIGUERA Ana ldquoEl mercado negro de la informacioacuten y el nuevo
Reglamento de Proteccioacuten de Datosrdquo KPMG Blogs 22 11 2016 en
httpwwwkpmgblogsesel-mercado-negro-de-la-informacion-y-el-nuevo-
reglamento-de-proteccion-de-datos
-FRAGUAS MADURGA Lourdes El concepto de derechos fundamentales y las
generaciones de derechos Anuario del Centro de la Universidad Nacional de
Educacioacuten a Distancia en Calatayud No 21 pp 117-136 2015 en
httpwwwcalatayudunedeswebactividadesrevista-anales2103-05-
LourdesFraguasMadurgapdf
-Gobierno de Espantildea Ministerio de Industria Turismo y Comercio ldquoNormativa
sobre proteccioacuten de datos personas cataacutelogos y requisitos agrupados por materiasrdquo
ISMS Foacuterum Spain en
httpwwwprotegetuinformacioncomdocs13lopd_PDF_tema1_proteccion_dat
os_personalespdf
-LASSERRE Bruno Le point de vue de lrsquoautoriteacute franccedilaise de la concurrence en
ALMUNIA Joaquim (et al ) New Frontiers of antitrust 2013 Competition Law
in times of Economic Bruylant 2013
-LOacutePEZ CARBALLO Daniel ldquoResponsabilidades derivadas del tratamiento y
explotacioacuten de los datos personalesrdquo 27012017 en
httpdlcarballocom20170127responsabilidades-derivadas-del-tratamiento-y-
explotacion-de-los-datos-personales
-ORDONEZ SOLIS David El derecho al olvido en internet y la sentencia Google
Spain Revista Aranzadi Unioacuten Europea 6 Junio 2014
-POZZI Sandro ldquoYahoo anuncia el robo de datos de mil millones de cuentasrdquo El
Pais 15122016 en
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
55
httptecnologiaelpaiscomtecnologia20161214actualidad1481753868_5400
05html
-PUIG CARLES Ignacio ldquoDerecho al olvido y el Nuevo Reglamento Europeordquo
Legalis Consultores 28062016 en
httpwwwlegalisconsultoreses201606derecho-al-olvido-y-el-nuevo-
reglamento-europeo
-QUINCOCES RIESCO Amaya ldquoiquestCuaacutento valen los datos personales en el
mercado del ciberdelitordquo Mercado Ciberdelito EfeFuturo 28092015 en
httpwwwefefuturocomnoticiacuanto-valen-los-datos-personales-en-el-
mercado-del-ciberdelito
-RALLO Artemi El derecho al olvido en Internet Google versus Espantildea Centro
de Estudio Poliacuteticos y Constitucionales Madrid 2014
-RECIO GAYO Miguel Proteccioacuten de datos personales e innovacioacuten
iquest(in)compatibles en Reus Editorial Derecho de las nuevas tecnologiacuteas 2016 p
5
-RISON Alice ldquoMicrosoft Cloud is first CSP behind the Privacy Shieldrdquo Microsoft
Azure 26092016 en httpsazuremicrosoftcomen-usblogmicrosoft-cloud-is-
first-csp-behind-the-privacy-shield
-SANCHO VILLA Diana Transferencia internacional de datos personales
Agencia de Proteccioacuten de Datos Madrid 2003
-VELASCO Oscar ldquoEl costo de la informacioacuten en el mercado negrordquo ESecurity
15012015 en httprevistaesecuritycomel-co
-ZABALLOS PULIDO Emilia tesis doctoral en
httpeprintsucmes228491T34733pdf
Legislacioacuten
-Directiva 9546CE ldquoProteccioacuten de los datos personalesrdquo en httpeur-
lexeuropaeulegal-contentESTXTuri=URISERV3Al14012
-Directiva 200765CE del Parlamento Europeo y del Consejo de 11 de diciembre
de 2007 por la que se modifica la Directiva 89552CEE del Consejo sobre la
coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas al ejercicio de actividades de
radiodifusioacuten televisiva en httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32007L0065ampfrom=FR
-Directiva 201013UE del Parlamento y del Consejo de 10 de marzo de 2010 sobre
la coordinacioacuten de determinadas disposiciones legales reglamentarias y
administrativas de los Estados miembros relativas a la prestacioacuten de servicios de
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
56
comunicacioacuten audiovisual (Directiva de servicios de comunicacioacuten audiovisual) en
httpeur-lexeuropaeulegal-
contentESTXTPDFuri=CELEX32010L0013ampfrom=ES
-Ley Orgaacutenica 151999 de 13 de diciembre de Proteccioacuten de Datos de Caraacutecter
Personal en httpnoticiasjuridicascombase_datosAdminlo15-1999html
-Ley Orgaacutenica 61985 de 1 de julio del Poder Judicial en
httpswwwboeesbuscaractphpid=BOE-A-1985-12666
-Reglamento (UE) 2016679 del Parlamento y del Consejo de 27 de abril de 2016
relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de
datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la
Directiva 9546CE (Reglamento general de proteccioacuten de datos)
Jurisprudencia
-STJUE Caso C-10101 Bodil LindqvistL de 6 de noviembre de 2003 en
httpcuriaeuropaeujurisshowPdfjsfjsessionid=9ea7d0f130d6b3e72d7f664a44
0d9956b8b3324e9058e34KaxiLc3eQc40LaxqMbN4Pax0Ke0text=ampdocid=483
82amppageIndex=0ampdoclang=esampmode=lstampdir=ampocc=firstamppart=1ampcid=30433
-STEDH Caso Times Newspapers vs UK de 10 de marzo de 2009
-STJUE Caso C-52111 Amazon de 11 de julio de 2013 en
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=139407amppageIn
dex=0ampdoclang=ESampmode=lstampdir=ampocc=firstamppart=1ampcid=109092
-STJUE Caso C-13112 Google Spain SL Google Inc Vs Agencia Espantildeola de
proteccioacuten de datos y Mario Costeja Gonzalez de 13 de mayo 2014 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=ES
-Sentencia de la TEDH Caso no 6183810 Vukota-Bojić v Switzerland de 18 de
octubre de 2016 en httphudocechrcoeintfreitemid[001-167490]
-STJUE Asuntos acumulados C-20315 y C-69815 Tele2 Sverige AB y Secretary
of State for the Home Department de 21 de diciembre de 2016 en
httpcuriaeuropaeujurisdocumentdocumentjsfdocid=186492ampdoclang=ES
Otra documentacioacuten
-Agencia Espantildeola de Proteccioacuten de Datos Calidad de datos ldquoPrincipios relativos
a la calidad de los datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsableobligacionescalidad_de_
datosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoCuestiones sobre cumplimiento del
apartado de transferencias internacionalesrdquo en
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72
57
httpswwwagpdesportalwebAGPDcanalresponsableinscripcion_ficherospreg
untas_frecuentescuestiones_cumplimientoindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoTransferencias internacionales de
datosrdquo en
httpswwwagpdesportalwebAGPDcanalresponsabletransferencias_internacio
nalesindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoPrincipales derechosrdquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderechosprincipales_d
erchosindex-ides-idphpphp
-Agencia Espantildeola de Proteccioacuten de Datos ldquoDerecho al olvidordquo en
httpwwwagpdesportalwebAGPDCanalDelCiudadanoderecho_olvidoindex-
ides-idphpphp
-Comunicacioacuten de la Comisioacuten Europea de 4 de noviembre de 2010 sobre ldquoun
enfoque global de la proteccioacuten de datos personales en la Unioacuten Europea el olvido
como lsquocancelacioacutenrsquo de datos personales en httpeur-lexeuropaeulegal-
contentenALLuri=CELEX52012DC0009
-ConfiLegal ldquoLas nuevas normas de proteccioacuten de datos aprobadas por el
Parlamento Europeo devuelven su control a los ciudadanosrdquo 14042016 en
httpsconfilegalcom20160414-las-nuevas-normas-proteccion-datos-devuelven-
control-los-ciudadanos
-Definicioacuten de la intimidad 2014 en httpdefiniciondeintimidad
-ldquoDans un arrecirct la CJUE estime que les Eacutetats membres ne peuvent pas imposer une
obligation geacuteneacuterale de conservation de donneacutees aux fournisseurs de services de
communications eacutelectroniquesrdquo Droits fondamentaux lutte contre la
discrimination - Justice liberteacute seacutecuriteacute et immigration EuropaForum 21122016
en httpwwweuropaforumpubliclufractualites201612cjue-
donneesindexhtml
-Dictamen 12008 sobre cuestiones de proteccioacuten de datos relacionadas con
motores de buacutesqueda de 4 de abril de 2008 en
httpeceuropaeujusticepoliciesprivacydocswpdocs2008wp148_espdf
-Les usages varieacutes du Net IAB France en
httpwwwiabfrancecomcontenudossiersfichesles-usages-varies-du-net
-Los peligros del modelo cloud computing CSO Digital ComputerWorld
22092008 en httpcsocomputerworldescloudlos-peligros-del-modelo-cloud-
computing
-Recommandation sur la protection des mineurs et de la digniteacute humaine et sur le
droit de reacuteponse en liaison avec la compeacutetitiviteacute del rsquoindustrie europeacuteenne des
services audiovisuels et drsquoinformation en ligne JOUE L 378 p 72