Pablo Fdez. Burgueño

Normativa general

1. España

• Constitución Española (CE), en especial los arts. 18 y 20.
• LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales o LOPDGDD).
• Sentencia TC que declara nulo el apartado 1 del art. 58 bis de la Ley Orgánica 5/1985 incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018 (nota de prensa y descarga de stc.).
• RLOPD 1720/2007: En vigor en todo lo que no contradiga, se oponga o resulte incompatible con lo dispuesto en el RGPD y en la LOPDGDD.
• Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
• Códigos
  • Código de Protección de Datos (BOE)
  • Selección de normativa de protección de datos (AEPD)
  • Selección de normativa sobre ciberseguridad (CNPIC)

2. Unión Europea

• Reglamento general de protección de datos (versión consolidada en español)
• Directiva (UE) 2016/680 – Protección de datos en el ámbito penal
• Carta de los Derechos Fundamentales de la UE (art. 7 y 8)
• Tratado de Funcionamiento de la Unión Europea (art. 16)
• Reglamento (UE) 2023/2854 – Data Act
• Reglamento (UE) 2022/868 – Data Governance Act (DGA)
• Directiva (UE) 2019/1024 – Datos abiertos y reutilización de información del sector público

Sanidad

1. Normativa sanitaria específica

• Ley 41/2002, de autonomía del paciente Regula el consentimiento informado, acceso a la historia clínica y conservación de documentación clínica (mínimo 5 años).
• Ley Orgánica 2/2010, de interrupción voluntaria del embarazo Exige cifrado y custodia separada de datos sensibles; cancelación a los 5 años (arts. 20-21).
• Ley Orgánica 3/2013, contra el dopaje en el deporte Regula cesiones de datos sanitarios en controles antidopaje (arts. 15, 16, 54, 63).
• Ley Orgánica 10/2007, sobre bases de datos de ADN Impone estándares máximos de seguridad en su gestión.

2. Normativa laboral y prevención de riesgos

• Real Decreto 664/1997 Protección frente a agentes biológicos en el trabajo (incluye SARS-CoV-2).
• Real Decreto-ley 6/2020 Considera el contagio por COVID-19 como accidente de trabajo.
• Criterio Orientador 102/2020 (Inspección de Trabajo) Aplica el RD 664/1997 según el nivel de riesgo por COVID-19.

3. Criterios y resoluciones de la AEPD

• Informe 17/2020 Tratamientos de datos personales en el contexto COVID-19.
• Comunicado sobre anticuerpos y empleo Prohíbe usar esta información para discriminar en procesos laborales.
• Comunicado sobre toma de temperatura Considera este tratamiento como dato personal si permite identificar a la persona.
• Instrucción AEPD 0038/2021 Acceso a la historia clínica en ensayos clínicos; el promotor es responsable del tratamiento.

4. Sentencias y dictámenes relevantes

• Dictamen APDCAT sobre toma de temperatura Requiere evaluación previa del servicio de prevención de riesgos laborales.
• Stc TSJ C. Valenciana 2335/2020 La toma de temperatura puede ser función de los vigilantes de seguridad.

5. Casos de archivo por la AEPD

• E/03884/2020 (Cruz Roja – Metro Bilbao) Toma de temperatura sin identificación; excluido del RGPD.
• E/03882/2020 (El Corte Inglés) Cámaras termográficas sin identificación; excluido del RGPD.

Defensa y justicia

1. Derechos fundamentales y secreto profesional

• Constitución Española (art. 24) Reconoce el derecho a no declarar contra uno mismo, a no confesarse culpable y a la presunción de inocencia. Estos principios limitan el tratamiento de datos personales en procesos judiciales y policiales.
• Código Deontológico de la Abogacía Española (art. 5) Impone el deber de secreto profesional como obligación esencial del abogado, con implicaciones directas en la custodia y tratamiento de datos personales de clientes.
• Código de Deontología de los Abogados Europeos (art. 2.3) Refuerza el deber de secreto como base de la confianza entre abogado y cliente, aplicable en todo el espacio jurídico europeo.
• Ley Orgánica 1/2004, de medidas de protección integral contra la violencia de género (art. 63) Garantiza la protección de la intimidad de las víctimas, incluyendo el tratamiento confidencial de sus datos personales en procedimientos judiciales y administrativos.

2. Videovigilancia y seguridad privada

Informe 10308/2019 (AEPD) La videovigilancia no legitima automáticamente el uso de sistemas de reconocimiento facial. Estos requieren una evaluación específica de impacto, proporcionalidad y necesidad, caso por caso.

Ley 5/2014, de Seguridad Privada (arts. 15, 42, 48 y 49) Regula el uso de videocámaras por empresas de seguridad y detectives privados. Establece:

• Requisitos de proporcionalidad y finalidad legítima.
• Conservación de imágenes e informes de investigación durante 3 años.
• Prohibición de grabación en espacios privados sin consentimiento o habilitación legal.

Informe 9/2019 (AEPD) Determina que la empresa de seguridad que decide sobre la finalidad y medios del tratamiento es responsable, no mero encargado, cuando actúa por cuenta propia.

Finanzas

Protección de datos en el ámbito financiero

• Ley 13/2011, de regulación del juego (arts. 16 y 22) Impone medidas de seguridad reforzadas en la homologación de software. Autoriza el registro de datos personales, sin consentimiento, de personas vinculadas a operadores o con prohibición de acceso al juego.
• Ley 10/2014, de ordenación, supervisión y solvencia de entidades de crédito Establece la obligación de informar por escrito en precontratos y contratos, reforzando la transparencia en el tratamiento de datos personales en servicios financieros.
• Ley 26/2013, de cajas de ahorros y fundaciones bancarias Legitima la cesión de datos personales al Banco de España en el marco de supervisión financiera.
• Ley 10/2010, de prevención del blanqueo de capitales y financiación del terrorismo Permite crear ficheros sin consentimiento ni información previa al interesado. Impone la custodia de los datos durante 10 años. Los gestores de ficheros comunes (art. 33) deben contar con Delegado de Protección de Datos (DPO), según criterio de la AEPD.
• Ley Hipotecaria (1946) Establece que la acción hipotecaria prescribe a los 20 años, lo que condiciona la conservación de datos vinculados a garantías reales.
• Ley 58/2003, General Tributaria Obliga a informar a la Agencia Tributaria sin necesidad de consentimiento. Permite la publicación de listados de deudores en determinados supuestos.

Telecomunicaciones

Protección de datos en telecomunicaciones

• Directiva 2002/58/CE, sobre privacidad en comunicaciones electrónicas Regula cookies, confidencialidad y comunicaciones comerciales.
• Ley 11/2022, General de Telecomunicaciones Regula la interceptación legal de comunicaciones, colaboración con autoridades y protección de datos en redes y servicios.
• Ley 25/2007, de conservación de datos Formalmente vigente, pero parcialmente inaplicable. Su aplicación está limitada por la sentencia del TJUE (Digital Rights Ireland, 2014 -ver Infocuria-), que anuló la Directiva en la que se basaba. Solo puede aplicarse en casos concretos y bajo control judicial estricto.

Laboral

Protección de datos en el ámbito laboral

• Estatuto de los Trabajadores (RDL 2/2015) – Determina condiciones sobre la inviolabilidad del trabajador, su seguridad y salud, así como la forma en que el empleador puede controlar al empleado (arts. 18, 19, 20 y 20 bis).
• Ley 23/2015, de Inspección de Trabajo y Seguridad Social – Regula las facultades inspectoras, incluyendo el acceso a datos de trabajadores sin necesidad de consentimiento (arts. 16, 18 y 24).
• Real Decreto 1844/1994, de elecciones a órganos de representación laboral – Establece qué datos de los empleados han de hacerse públicos en procesos electorales (art. 6).
• Ley 31/1995, de Prevención de Riesgos Laborales – Regula la vigilancia de la salud y la protección de datos sanitarios en el ámbito laboral (art. 22).
• Ley 14/1994, de Empresas de Trabajo Temporal – Define el régimen de cesión de trabajadores y responsabilidades en el tratamiento de datos.

1. Informes y guías AEPD

• Guía sobre la protección de datos en las relaciones laborales (AEPD) – Incluye recomendaciones sobre dispositivos digitales, registro de jornada, redes sociales, whistleblowing y desconexión digital.
• Informe 112/2008 – El servicio de vigilancia de la salud externo (PRL) es responsable del tratamiento de los datos cedidos por la empresa contratante.
• Informe 412/2009 – En determinados casos, se pueden comunicar nóminas y el RNT (antiguo TC2) a la empresa principal cuando hay subcontratas.
• Informe 172/2006 – Una ETT y la empresa usuaria no han de firmar un contrato de encargado del tratamiento (CET).

2. Resoluciones AEPD

• R/00214/2021 – Infojobs debe informar, a quien ejercita su derecho de acceso, sobre las empresas a las que ha comunicado el CV de un candidato.
• PS/00245/2019 – Se considera dato de carácter especial la respuesta que dé una persona cuando se le pregunta por su sexo y se ofrece la opción “otras”.
• PS/00237/2021 – Sanción impuesta a una empresa por no proporcionar la información requerida sobre protección de datos en una oferta de trabajo.

3. Sentencias y resoluciones judiciales

• TSJCV Social, 22 junio 2021 – Una empresa puede despedir de forma procedente a los empleados que caen en phishing y fraude del CEO.
• STS 3910/2016 – La Sección Sindical está legitimada para enviar por email información sindical, con límites y obligaciones de información.
• SAN 4002/2020 – La empresa no puede entregar las direcciones de correo electrónico de los trabajadores a los representantes sindicales.
• STS 1413/2021 – El Tribunal Supremo confirma la pena de prisión a un empresario que accedió reiteradamente al correo electrónico particular de un trabajador.

Sentencias de interés

Las sentencias resuelven sobre casos concretos. Recuerda: cuando cites palabras de algún tribunal, debes siempre añadir el contexto.

A.- Derecho al Olvido:

Sentencias fundamentales sobre Derecho al Olvido (Unión Europea y España):

• TJUE – Sentencia del Derecho al Olvido: Explica qué es y qué alcance tiene el Derecho al Olvido.
• TS – Sentencia 964/2016: Google Spain S.L. carece de legitimación pasiva para ser parte en los procedimientos de tutela de derechos seguidos ante la Agencia Española de Protección de Datos.
• TS – Sentencia 545/2015 (ver post): Los periódicos digitales deben imposibilitar que los motores de búsqueda indexen ciertas noticias antiguas cuando los afectados se lo soliciten, al entender que que en tales casos los derechos fundamentales al honor, a la intimidad y a la protección de datos prevalecen sobre la libertad de información.
• TS – Sentencia 1280/2016: Google Spain SL condenada a indemnizar por no retirar información de un indulto de 1999.
• TS – Sentencia 4016/2020 (post): Reconocer solo el derecho al olvido cuando se busque el nombre y un apellido no es coherente.

Recursos adicionales:

• Criterios comunes para aplicar la sentencia sobre el ‘derecho al olvido’
• La AEPD mantiene la web «Derecho de supresión («al olvido»): buscadores de internet» con recursos sobre el Derecho al Olvido.

Formularios para ejercitar el derecho al olvido:

• Formulario de Google
• Formulario de Bing (Microsoft)
• Formulario de Yahoo!

B.- Miscelánea de sentencias imprescindibles:

• TJUE – Sentencia Lindqvist: Se condena a una catequista por publicar en su blog datos de terceros sin el correspondiente consentimiento.
• TC – Sentencia 292/2000: Sienta que la Protección de Datos es un derecho fundamental autónomo.
• TJUE – Sentencia C‑311/18, de 16 de julio de 2020 – Schrems II: El Tribunal Europeo considera inválida la Decisión por la que se aprobó el Acuerdo de Escudo de la Privacidad.
• TJUE – Sentencia C-362/14, de 6 de octubre de 2015 – Schrems I: El Tribunal Europeo considera inválida la Decisión por la que se aprobó el Acuerdo de Puerto Seguro.
• Repositorio de Sentencias del TEDH (Tribunal Europeo de Derechos Humanos) en relación con la protección de datos personales (hasta junio 2018)

C.- Otras sentencias de interés:

• TJUE – C-25/17 – Jehovan todistajat (nota de prensa en español): Una comunidad religiosa, como la comunidad los Testigos de Jehová, es responsable, junto con sus miembros predicadores, del tratamiento de los datos personales recogidos durante una actividad de predicación puerta a puerta.
• STS – 698/2021 – Testigos Cristianos de Jehová: la Confesión Religiosa de Testigos Cristianos de Jehová tiene interés legítimo en conservar datos de las personas expulsadas o desasociadas
• TJUE – Asunto C‑40/17: El Tribunal considera que el responsable de un sitio web y FB son corresponsables en determinados tratamientos vinculados a la extracción de datos a través de un botón «me gusta» integrado en dicho sitio web.
• STS 1090/2021: El TS condena a prisión (2a 6m 1d) a una enfermera que accedió al historial clínico de tres pacientes que no tenía asignados en el centro de salud donde trabajaba.
• STS 2484/2019: El TS considera que las mediciones de consumo eléctrico son un dato personal.
• STC 169/2018: El Tribunal considera inconstitucional el uso genérico de la cámara oculta en el periodismo.
• STS 363/2016 y STC 27/2020 (nota de prensa del CGPJ): Prohibición de publicar, incluso por periodistas, fotografías tomadas de Facebook sin los correspondientes consentimientos expresos.
• STS 5731/2012: El TS considera una intromisión la toma de fotografías no consentidas (robados) a una famosa en una playa pública.

Resoluciones de interés

• Sanciones RGPD en países miembros de la UE: GDPR Enforcement Tracker
• Selección de PS con multas RGPD en España (accede a las demás a través de la web de la AEPD):
  • PS/00059/2020: VODAFONE ESPAÑA, S.A.U. (8.150.000 €)
  • PS/00477/2019: CAIXABANK, S.A. (6.000.000 €)
  • PS/00070/2019: BANCO BILBAO VIZCAYA ARGENTARIA, S.A. – BBVA (5.000.000 €)
  • PS/00334/2019: D. B.B.B. (10.000 €): AEPD impone multa de 10.000 euros a una persona que difunde por WhatsApp fotos íntimas de otra. Para determinar el importe de la multa se tiene en cuenta que el infractor es una persona física que no se dedica al tratamiento de datos y que divulgó sin dolo y solo localmente las imágenes, siendo afectada una sola persona.
  • PS/00300/2019: VUELING AIRLINES, S.L. (30.000 € reducida a 18.000 €)
  • PS/00299/2019: TWITTER SPAIN, S.L. (30.000 €)
  • PS/00233/2019: VIAQUA XESTIÓN INTEGRAL DE AUGAS DE GALICIA, S.A. (60.000 €)
  • PS/00159/2019: AVON COSMETICS SAU (60.000 €)
  • PS/00127/2019: IKEA IBERICA, S.A.U. (10.000 €)
  • PS/00121/2019: GESTIÓN DE COBROS, YO COBRO SL. (60.000 €)
  • PS/00092/2019: VODAFONE ONO, S.A.U. (60.000 € reducida a 36.000 €)
  • PS/00074/2019: ENDESA ENERGÍA XXI, S.L.U. (100.000 €, reducida a 60.000 €)
  • PS/00411/2018: VODAFONE ESPAÑA, S.A.U. (45.000 €, reducida a 27.000 €)
  • PS/00331/2018: VODAFONE ESPAÑA, S.A.U. (5.000 €)
  • PS/00326/2018: LIGA NACIONAL DE FÚTBOL PROFESIONAL (250.000 €)
• Resolución de Tutela de Derechos de interés:
  • R/00540/2019: No es necesario solicitar el DNI para el ejercicio de derechos (en este caso, de supresión) si la persona interesada se identifica suficientemente por otros medios (en este caso, una dirección de email es suficiente), ya que «carece de sentido que sea mayor el rigor para dar de baja que el rigor para dar de alta».
• Apercibimientos de interés:
  • PS/00195/2019: DESSAU ARTE INMOBILIARIO, S.L. [Incorporación a grupo de WhatsApp sin consentimiento]
  • A/0023/2019: VOYAGE PRIVE ESPAÑA, S.L. [Incumplimiento de la normativa de cookies]
  • A/00001/2019: LIVING TERRITORIWEB, S.L. [Incumplimiento de la normativa de cookies]
• Archivos de interés:
  • E/08205/2019: PROMOFARMA ECOM S.L [brecha de seguridad con filtración de datos personales de 1.3 millones de personas]
  • E/09159/2020: MAPFRE ESPAÑA COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A. [brecha de seguridad con filtración de datos de menos de 10 personas]

Curso DPD

La Agencia Española de Protección de Datos mantiene (a 16 de febrero de 2020) en esta página un listado con siete entidades de certificación para DPD acreditadas por ENAC:

1. IVAC INSTITUTO DE CERTIFICACIÓN, SL: Autorizada el 07/09/2018.
2. ASOCIACIÓN PARA EL FOMENTO DE LA SEGURIDAD DE LA INFORMACIÓN, ISMS FORUM: Autorizada el 11/10/2018.
3. ASOCIACIÓN ESPAÑOLA PARA LA CALIDAD (AEC): Autorizada el 26/10/2018.
4. ANF AUTORIDAD DE CERTIFICACIÓN ASOCIACIÓN, ANF AC: Autorizada el 25/01/2019.
5. CUALICONTROL – ACI, S.A. (Unipersonal): Autorizada el 27/09/2019.
6. AENOR INTERNACIONAL, S.A. (Unipersonal): Autorizada el 30/09/2019.
7. ADOK CERTIFICACIÓN INTERNACIONAL, SL: Autorizada el 22/11/2019.

Si quieres un curso online o presencial que esté reconocido para certificarte, ahora puedes encontrar las entidades de formación reconocidas, con enlaces a sus programas, precios y fichas de inscripción, en la web de la AEPD sobre Certificación de delegado de protección de datos (cuando esta web esté disponible).