Thruto!
Disposiciones generales
Articulo 1. Objeto de Isley.
La presente ley orgénica tiene par abjeto:
‘) Adaptar el ordenamiento jurdico espafiol al Reglamento (UE) 2016/679 del
Parlamento Europeo y el Consejo, de 27 de abril de 2036, relative 3 le
proteccién de las personas fisicas en lo que respecta al tratamiento de sus datos
personales ya la libre circulacion de estos datos, y completar sus disposiciones.
EI derecho fundamental de las personas fisicas a la proteccién de datos
personales, amparado por el articulo 18.4 de la Constitucisn, se ejerceré con
arreglo a lo establecido en ol Reglamento (UE) 2016/673 y en esta ley orgénica,
) Garamtizar los derechos digitales de la ciudadania conforme al mandate
establecido en el articulo 18.4 de la Constitucién.
‘Articulo 2. Ambito de aplicacién de los Titulos | 2 1X y de los articulos 89 3 94.
1. Lo dispuesto en los Titulos | a IX y en los articulos 89 a 94 de la presente ley
‘orgénica se aplica a cualquier tratamiento total o parcialmente automatizada de
datos personales, as{ como al tratamiento no automatizado de datos personales
contenidos o destinados 2 ser incluidos en un fichero.
2. Esta ley orgénica no seré de aplicacién
4a) Alos tratamientos excluidos del Smbito de aplicacién del Reglamento general
de proteccién de datos por su articulo 2.2, sin perjucie de lo dispuesto en los
apartados 3 y4 de este articulo,
b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo
establecido en el articulo 3
) A los tratamientos sometidos a la norntativa sobre proteccién de materias
clasificadas.
3. Los tratamientos 2 los que no sea directamente aplicable el Reglamento (UE)
206/679 por afectar a actividades no comprendidas en el ambito de aplicacién del
Derecho de la Unién Europea, se regirén por lo dispuesto en su legislacién
‘especifica si la hubiere y supletoriamente por lo establecido en ef citado
reglamento y en la presente ley orgénica. Se encuentran en esta situacién, entre
‘otros, los tratamientos realizados al amparo de la legislacién orgénica del régimen
electoral general, los tratamientos realizados en el émbito de instituciones
penitenciarias y los tratamientos derivados del Registro Civil, los Registros de le
Propiedad y Mercantile.
Derinee ers
44, El tratamiento de datos llevado a cabo con ocasién de la tramitaciin por los
6rganos judiciales de los procesos de los que sean competentes, asi como el
realizado dentro de la gestin de la Oficina Judicial, se regirén por lo dispuesto en el
Reglamento (UE) 2016/6579 y la presente ley orgénica, sin perjuicio de las
disposiciones de la Ley Orgénica 6/1985, de 1 julio, del Poder Jucicial, que le sean
splicables.
Articulo 3. Datos de las personas fallecidas
4. Las personas vinculadas al fallecido por razones familiares 0 de hecho asi como
sus herederos podrén dirigirse al responsable 0 encargado del tratamiento al
objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su
rectificacién o supresién.
Como excepeién, las personas a las que se refiere el pérrafo anterior no podrén
acceder a los datos del causante, ni solicitar su rectificacion o sugresién, cuando la
persona fallecida lo hubiese prohibido expresamente o asf Io establezca una ley.
Dicha prohibicién no afectard al derecho de los herederos a acceder 2 los datos de
cardcter patrimonial del causanie,
2. Las personas 0 instituciones 2 las que el fallecido hubiese designado
expresamente para ello podrén también solicitar, con arregio a las instrucciones
recibides, el acceso a los datos personales de este y, en su caso su rectificacién ©
supresién,
Medionte real decreto se establecerdn los requisites y condiciones para acreditar la
validez y vigencia de estos mandatos e Instrucciones y, en su caso, el registro de los
3..En caso de fallecimiento de menores, estas facultades podrén ejercerse también
por sus representantes legales o, en el marco de sus competencias, por el
Ministerio Fiscal, que podré actuar de oficio 0 a instancla de cualquier persona
fisica 0 juridica Interesada.
En caso de fallecimiento de personas con discapacidaé, estas facultades también
podrén ejercerse, ademés de por quienes sefiala el pérrafo anterior, por quienes
hhubiesen sido designados para el ejercicio de funciones de apoyo, si tales
‘acultades se entendieran comprendidas en las medidas de apoyo prestadas por el
designado.
n
a ie s08-ron
riruto n
Principios de proteccién de datos
Articulo 4, Exactitud de los datos.
L. Conforme al articulo S.1.d) del Reglamento (UE) 2016/679 los datos serén
cexactos y, s fuere necesario, actualizados.
2. A los efectos previstos en el articulo 5.1.d) del Reglamento (UE) 2016/679, no
sera imputable al responsable del tratamiento, siempre que este haya adoptado
todas las medidas razonables para que se supriman o rectifiquen sin dilacién, la
Inexactitud de los datos personales, con respecto @ los fines para los que se tratan,
cuando los datos inexactos:
2) Hublesen sido obtenidos por el responsable directamente del afectado.
') Hubiesen sido obtenidos por el responsable de un mediador 0 intermediario
fen caso de que las normas aplicables al sector de actividad al que pertenezca el
responsable del tratamiento establecieran la posibilidad de intervencién de un
intermediario 0 mediador que recoja en nombre propio los datos de los
afectados para su transmisién al responsable. El mediador 0 intermediario
asumiré las responsabilidades que pudieran derivarse en el supuesto de
comunicacién al responsable de datos que no se correspondan con los
faciitados por el afectado.
) Fuesen sometidos a tratamiento por el responsable por haberlos recibido de
‘otro responsable en virtud det ejercicio por el afectado del derecho a la
portabilidad conforme al articulo 20 de! Reglamento (UE) 2016/673 y lo previsto
cen esta ley orgainiea
4) Fuesen obtenidos de un registro pablico por el responsable,
Articulo 5. Deber de confidencialidad.
1 Los responsables y encargados del tratamiento de datos asf como todas las
personas que intervengan en cualquier fase de este estarén sujetas al deber de
confidencialidad al que se rfiere el articulo 5.1.) del Regiamento (UE) 2016/67.
2. La obligaci6n general sefalada en el apartado anterior seré complementaria de
los deberes de secreto profesional de conformidad con su normativa aplicable.
3. Las obligaciones establecidas en los apartados anteriores se mantendrén aun
‘cuando hubiese finalizado la relacién del obligado con el responsable o encargado
del tratamiento,
[Articulo 6. Tratamiento basado en el consentimiento del afectado.
1. De conformidad con lo dispuesto en el articulo 4.11 del Reglamento (UE)
206/679, se entiende por consentimiento del afectado toda manifestacion de
Voluntad libre, especfica, informada e inequivoca por la que este acepta, ya sea
mediante una deciaracién o una clara accién afirmativa, el tratamiento de datos
personales que le conciemen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del
‘afectado para una pluralidad de finalidades seré preciso que conste de manera
‘especificae inequivoca que dicho consentimiento se otorga para todas ellas.
3. No potré supeditarse la ejecucién del contrato a que el afectado consienta el
tratamiento de los datos personales para finalidades que no guatden relacién con
‘el mantenimiento, desarrollo o control de la relacién contractual
Acticulo 7. Consentimiento de los menores de edad.
1.El tratamiento de los datos personales de un menor de edad tinicamente podré
‘undarse en su consentimiento cuando sea mayor de catorce afios.
Se exceptian fos supuestos en que la ley exija Ia asistencia de los titulares de la
patria potestad o tutela para la celebracién del acto 0 negocio juridico en cuyo
ccontexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce afos, fundado en el
consentimiento, solo serélcito si consta el del titular de la patria potestad o tutela,
con elaleance que determinen los ttulares de la patria potestad o tute,
Articulo 8. Tratamiento de datos por obligacién legal, interés piblico o ejercicio
de poderes puiblicos.
1. El tratamiento de datos personales solo podré considerarse fundado en el
‘cumplimiento de una obligacién legal exigible al responsable, en los términos
previstos en el ariculo 6.1.c) del Reglamento (UE) 2016/679, cuando asi lo prevea
luna norma de Derecho de la Unién Europea 0 una norma con rango de ley, que
podré determinar las condiciones generales del tratamiento y los tipos de datos
‘Objeto del mismo asi como las eesiones que procedan como consecuencia del
Ccumplimiento de la obligacién legal. Dicha norma podré igualmente Imponer
condiciones especiales al tratamiento, tales como la adopcién de medidas
adicionales de seguridad u otras establecidas en el capitulo IV del Reglamento (UE)
2016/679.
ey Oe tne ee Pane
‘eres atresia
2. E! tratamiento de datos personales solo podré considerarse fundado en el
‘cumplimiento de una misién realizada en interés piblica o en el ejercicio de
poderes piblicos conferidos al responsable, en los términos previstos en el articulo
6.1 e) del Regiamento (UE) 2016/679, cuando derive de una competencia stribuida
ppor una norma con rango de ley.
Articulo 9. Categorias especiales de datos.
1. A los efectos del articulo 8.2.2) det Reglamento (UE) 2016/679, a fin de evitar
situaciones discriminatorias, el solo consentimiento de! afectado no bastard pare
levantar la prohibicién del tratamiento de datos cuya finalidad principal sea
identificar su ideologia,afilacién sindical, religin, orientacién sexual, creencias u
origen racial 0 étnico,
to dispuesto en el pérrafo anterior no impedirs el tratamiento de dichos datos al
‘amparo de los restantes supuestos contemplados en el articulo 9.2 del Reglamento
(Ue) 2016/679, cuando asi proceds,
2. Los tratamientos de datos contemplados en las letras g), h) eI) del arveulo 9.2
del Reglamento (UE) 2016/679 fundados en el Derecho espafiol deberén estar
amparados en una norma con rango de ley, que podré establecer requlsitos
adicionales relativos a su seguridad y confidencialided,
En particular, dicha norma podré amparar el tratamiento de datos en el émbito de
la salud cuando asi lo exija la gestién de los sistemas y servicios de asistencia
sanitariay social, pica y privada, ola efecucion de un contrato de seguro del que
el afectado sea parte.
‘Anticulo 10. Tratamiento de datos de naturaleza penal.
1. El tratamiento de datos personales relativos a condenss e infracciones penales,
{asi como a procedimientos y medidas cautelares y de seguridad conexas, para fines
distintos de los de prevencién, investigacién, deteccién o enjuidamiento de
infracciones penales o de ejecucién de sanciones penales, solo podré llevarse a
‘abo cuando se encuentre amparado en una norma de Derecho de la Unién, en
cesta ley organica 0 en otras narmas de rango legal
2. El registro completo de los datos referidos a condenas ¢ infracciones pensles, asi
‘como 2 procedimientos y medidas cautelares y de seguridad conexas 2 que se
refiere el articulo 10 del Reglamento (UE) 2036/679, pod realizarse conforme con
lo establecido en la regulacién del Sistema de registras administrativos de apoyo 2
Ja Administracion de Justicia,
3. Fuera de los supuestos seftalades en los apartados anteriores, os tratamientos
de datos referidos a condenas e infracciones penales, asi como a procedimientos y
medidas coutelares y de seguridad conexas solo serén posibles cuando sean
llevades 2 cabo por abogados y procuradores y tengan por objeto recoger la
informacién facilitada por sus clientes para el ejercicio de sus funciones,
eres 2018- raain dOoePereae
TiruLo wm
Derechos de las personas
capirutot
‘Transparencia e informacién
‘Articulo 11. Transparencia ¢ informacién al afectado.
1. Cuando los datos personales sean obtenidos del afectada el responsable del
tratamiento podré dar cumplimiento al deber de informacién establecido en el
articulo 13 del Reglamento (UE) 2016/679 facilitando al afectado la informacién
bbdsica a la que se refiere el apartado siguiente © indicéndole una direccién
electrénica u otto medio que permita acceder de forma sencilla ¢ inmediata a la
restante informacién,
2. La informacién bésica ala que se refiere el apartado anterior debers contener, al
a) La identidad del responsable del tratamiento y de su representante, en su
) La finalidad del tratamiento.
©) La posibilidad de ejercer los derechos establecidos en los articulos 15 a 22 del
Reglamento (UE) 2016/679.
Silos datos obtenidos del afectado fueran a ser tratados para la elaboracién de
perfiles, a informacién bisica comprendera asimismo esta circunstancia. En
este caso, el afectado debers ser informado de su derecho 2 oponerse a la
adopcién de decisiones individuales automatizadas que produzcan efectos
juridicos sobre 1 0 le afecten significativamente de modo similar, cuando
concurra este derecho de acuerdo con lo previsto en el articulo 22 del
Reglamento (UE) 2016/679.
3. Cuando los datos personales no hubieran sido obtenidos del afectado, el
responsable podré dar cumplimiento al deber de informacién establecido en el
articulo 14 del Reglamento (UE) 2016/679 facitando a aquel la informacién bisica
sefialada en el apartado anterior, indicdndole una direccién electrénica u otro
medio que permita acceder de forma sencilla e inmediata a la restante
informacién.
En estos supuestos, la informacién bésica incluré también:
2} Las categoria de datos objeto de tratamiento,
») Las fuentes de las que procedieran los datos.
CAPITULO I
Ejercicio de los derechos.
Articulo 12. Disposiciones generales sobre ejercicio de las derechos.
4. Los derechos reconocidos en los aticulos 15 a 22 del Reglamento (UE) 2016/679,
podrén ejercerse directamente 0 por medio de representante legal o voluntario.
2. El responsable del tratamiento estard obligado a informar al afectado sobre los
medias a su disposicién para ejercer los derechos que le corresponden. Los medios
deberdn ser fécilmente accesibles para ef afectado. El ejercicio del derecho no
podré ser denegada por el solo motivo de optar el afectado por otro medio.
3. El encargado podré tramitar, por cuenta del responsable, las solicitudes de
ejercicio formuladas por los afectados de sus derechos si asi se estableciere en el
contrato 0 acto juridico que les vincule.
4. La prueba del cumplimiento del deber de responder a la solcitud de ejercicio de
sus derechos formulado por el afectado recaerd sobre el responsable.
5. Cuando las leyes aplicables a determinados tratamientos establezcan un régimen
especial que afecte al ejercicio de los derechos previstos en el Capitulo Ill del
Regiamento (UE) 2016/679, se estard alo dispuesto en aquellas.
6. En cualquier caso, los ttulares de la patria potestad podrn ejercitar en nombre y
representacién de los menores de catorce afios los derechos de acceso,
rectficacién, cancelacién, oposicién 0 cualesquiera otros que pudieran
corresponderles en el contexto de la presente ley orgénica.
7. Serén gratultas las actuaciones llevadas a cabo por el responsable del
tratamiento para atender las solicitudes de ejercicio de estos derechos, sin
perjuicio de lo dispuesto en los articulas 12.5 y 15.3 del Reglamento (UE) 2016/8572
yen los apartados 3 y4 del aticulo 13 de esta ley orgénica.
Articulo 13, Derecho de acceso.
1. El derecho de acceso del afectado se ejercitaré de acuerdo con Io establecido en
elarticulo 15 del Reglamento (UE) 2036/679.
Cuando el responsable trate una gran cantidad de datos relativas al afectado y este
ejercite su derecho de acceso sin espetifcar si se refere a todos o a una parte de
los datos, el responsable podré solicitarle, antes de facilitar la informacion, que el
afectado especique los datos 0 actividades de tratamiento a fos que se refiere la
solicitud,
ay ong 3088 ee Peon
2. El derecho de acceso se entenderé otorgado si el responsable del tratamiento
facilitara al afectado un sistema de acceso remoto, directo y seguro 2 los datos
personales que garantice, de modo permanente, el acceso a su totalidad. A tales
‘efectos, la comunicacién por el responsable al afectado del modo en que este
ppodré acceder a dicho sistema bastaré para tener por atendida la solicitud de
elercicio del derecho.
No obstante, el interesado podrd solicitar del responsable la informacién referida @
los extremos previstos en el articulo 15.1 del Reglamento (UE) 2016/87 que no se
incluyese en el sistema de acceso remota.
3, Alos efectos establecidos en el articulo 12.5 del Reglemento (UE) 2016/679 se
podré considerar repetitivo el ejercicio del derecho de acceso en mas de una
Ocasién durante el plazo de sels meses, a menos que exista causa legitima para ello,
4, Cuando el afectado elja un medio distinto al que se le ofrece que suponga un
coste desproporcionado, la solcitud ser considerada excesiva, por lo que dicho
afectado asumiré el exceso de costes que su eleccién comparte, En este caso, solo
serd exigible al responsable del tratamiento la satisfaccién del derecho de acceso
sin dilaciones indebidas.
‘Articulo 14. Derecho de rectifieacién,
Alelercer el derecho de rectficacién reconocido en el articulo 16 del Reglamento
(UE) 20267679, el afectado deberd indicar en su solititud @ qué datos se refiere y a
correccién que haya de realizarse. Deberé acompatiar, cuando see preciso, la
ocumentacin justiticative de la inexactitud o carcter Incompleto de los datos
objeto de tratamiento
[Articulo 15. Derecho de supresién,
1. El derecho de supresién se ejercerd de acuerdo con lo establecido en el erticulo
17 del Reglamento (UE) 2016/679.
2. Cuando la supresién derive del ejercicio del derecho de oposicién con arregio al
articulo 21.2 del Reglamento (UE) 2026/67, el responsable podré conservar los
datos identificativos del afectado necesarios con el fin de impedir tratamientos
futuros para fines de mercadotecnia directa
Articulo 16. Derecho a a limitecién del tratamiento,
1. El derecho a la limitacién del tratamiento se ejerceré de acuerdo con lo
establecido en el articulo 18 del Reglamento (UE) 2016/679.
2, El hecho de que el tratamiento de los datos personales esté limitado debe
Constar claramente en los sistemas de informacién del responsable,
‘Articulo 17. Derecho a la portabilidad.
I derecho a la portabilidad se ejerceré de acuerdo con lo establecido en el articulo
20 del Reglamento (UE) 2036/673.
Articule 18. Derecho de oposicién.
El derecho de opasicién, asf como fos derechos relacionados con las decisiones
individuales automatizadas, Incluida la realizacién de perfiles, se ejercerdn de
acuerdo con lo establecido, respectivamente, en los articulos 21 y 22 del
Reglamento (UE) 2016/678.
ove deters aya
Titulo v
Responsable y encargado del tratamiento
capfruLot
Disposiciones generales. Medidas de responsabilidad activa
Articulo 28, Obligaciones generales del responsable y encargado del tratamiento.
1. Los responsables y encargados, teniendo en cuenta los elementos enumeradas
fen los articulos 26 y 25 del Reglamento (UE) 2016/678, determinardn las medidas
‘t€enicas y organizativas apropiadas que deben aplicar afin de garantizar y acreditar
Que el tratamiento es conforme con el citada reglamento, con la presente ley
‘organica, sus normas de desarrollo y la legisiacién sectorial aplicable. En particular
valorarén si procede la realizacién de la evaluacién de impacto en ia proteccién de
datos y Ia consulta previa 2 que se refiere la Secclén 3 del Capitulo IV del citado
reglamento,
2. Para la adopcién de las medidas 2 que se refiere el apartado anterior los
responsables y encargados del tratamiento tendrén en cuenta, en particular, fos
‘mayores riesgos que podrian producirse en los siguientes supuestos:
2) Cuando el tratamiento pudiera generar situaciones de discriminacién,
Usurpacién de identidad o fraude, pérdidas financieras, dafo pare la reputacién,
bérdia de confidencialidad de datos sujetos al secreto profesionsl, reversién no
autorizads de la seudonimizacion o cualquier otro perjuicio econémico, moral 0
‘Social signficativo para los afectads.
b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y
libertades © pudiera impedirles el ejercicio del control sobre sus datos
personales.
©) Cuando se produjese el tratamiento no meramente incidental 0 accesorio de
las categorias especiales de datos @ las que se refieren los articulos 9 y 10 del
Reglamento (UE) 206/679 y 9 y 10 de esta ley orgénica o de los datos
relacionados con la comisién de infracciones administrativas.
4) Cuando el tratamiento implicase una evaluacién de aspectos personales de
{os afectados con el fin de crear o utilizar perflles personales de los mismos, en
articular mediante el andlsis © Ia predicclén de aspectos refericos 2 su
rendimiento en el trabajo, su situacién econémica, su salud, sus preferencias 0
intereses personales, su fiabilidad o comportamiento, su solvencia financier, su
localizacién o sus movimientos.
©) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en
situacién de especial vulnerabilided y, en particular, de menores de edad y
personas con discapacidad.
4} Cuando se produzca un tratamiento masivo que implique a un gran némero
de afectados o conlleve la recogida de una gran cantidad de datos personales,
42) Cuando los datos personales fuesen 2 ser objeto de transferencia, con
carécter habitual, a terceros Estados u organizaciones internacionales respecto
de los que no se hubiese declarado un nivel adecuado de proteccién,
bh) Qualesquiera otros que a juicio del responsable o del encargado pudleran
‘ener relevancia y en particular aquellos previstos en cédigos de conducta y
estandares definidos por esquernas de certificacién.
Articulo 28. Supuestos de corresponsabilidad en el tratamiento,
La determinacién de las responsabilidades 2 las que se reflere el articulo 26.1 del
Reglamento (UE) 2016/673 se realizaré atendiendo 2 las actividades que
‘efectivamente desarrolle cada uno de los corresponsables del tratamiento.
Artfculo 30. Representantes de los responsables o encargados del tratamiento no
establecidos en la Unién Europea.
1. En los supuestos en que el Reglamento (UE) 2016/679 sea aplicable 3 un
responsable 0 encargado del tratamiento no establacido en la Unién Europes en
Vietud de lo dispuesto en su articulo 3.2 y el tratamiento se refiera a afectados que
se hallen en Espafia, la Agencia Espafiole de Proteccién de Datos o, en su caso, las
autoridades autonémicas de proteccién de datos podran Imponer al representante,
solidariamente con el responsable 0 encargado del tratamiento, las medidas
establecidas en el Reglamento (UE} 2016/67.
Dicha exigencia se entenderd sin perjuicio de la responsabilidad que pudiera en su
‘aso corresponder al responsable o al encargado del tratamiento y del elercicio por
el representante dela accién de repeticién frente a quien proceda.
2, Asimismo, en caso de exigencia de responsabilidad en los términos previstos en
el articulo 82 del Reglamento (UE) 2016/679, los responsables, encargados y
representantes responderén solidariamente de los dafios v perjulcios causados.
Articulo 31. Registro de las actividades de tratamiento.
1 Los responsable y encargados del tratamiento o, en su caso, sus representantes
deberin mantener el registro de actividades de tratamiento al que se refiere el
articulo 30 del Regiamento (UE) 2016/6579, salvo que sea de aplicacién la excencién
prevista en su apartado 5,
ay nc 3038-Poecn ts Mere
‘forotnce meer aga
El registro, que podrs organizarse en toro a conjuntas estructurados de datos,
deberd especticar, segtin sus finalidades, las actividades de tratamiento llevadas a
cabo y las demas circunstancias establecidas en el citado reglamento.
Cuando el responsable 0 el encargado del tratamiento hubleran designado un
delegado de proteccién de datos deberin comunicarle cualquier adicién,
rmodificacién o exclusin en el contenido del registro.
2. Los sujetos enumerados en el aticulo 77.1 de esta ley orgénica harén pablo un
inventario de sus actividades de tratamiento accesible por medios electronicos en
el que constaré la informacién establecida en el artculo 30 del Reglamento (UE)
2016/673 yu base legal
Articulo 32. Bloqueo de los datos.
1L El responsable del tratamiento estaré obligado a bloquear los datos cuando
proceda a su rectficacion o supresién.
2. El bloqueo de los datos consiste en la identificacion y reserva de los mismos,
adoptando medidas técnicas y organizativas, para impedir su tratamiento,
incluyendo su visualizacion, excepto para la puesta a disposicién de los datos a los
Jueces y tribunales, el Ministerio Fiscal o las Administraciones Pablicas
competentes, en particular de las autoridades de proteccién de datos, para la
exigencia de posibles responsabilidades derivadas de! tratamiento y solo por el
plazo de prescripcién de las mismas.
Transcurrido ese plazo deberd procederse a la destruccién de los datos.
3. Los datos bloqueados no padrn ser tratados para ninguna finalidad distinta de
la sefiatada en el apartado anterior.
4. Cuando para el cumplimiento de esta obligacién, la configuracién del sistema de
informacién no permita el bloqueo o se requiera una adaptacién que implique un
‘esfuerzo desproporcionado, se procederé a un coplado seguro de la informacién de
‘modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la
‘autenticidad de la misma, la fecha de! bioqueo y fa no manipulacién de los datos
durante el misma,
5. La Agencia Espafola de Proteccién de Datos y las autoridades autonémicas de
proteccién de datos, dentro del ambito de sus respectivas competencias, podrén
fijar excepciones a la obligacién de bloquea establecida en este articulo, en los
supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran
2 un ndmero particularmente elevado de afectados, su mera conservacién, incluso
bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados,
asf come en aquellos casos en los que la conservacién de los datos bloqueados
ppudiera implicar un coste desproporcionado para el responsable del tratamiento.
scshioaaanccaniinley
CAPITULO I
Encargado del tratamiento
Articulo 33. Encargado del tratamiento.
1. El acceso por parte de un encargado de tratamiento a los datos personales que
resulten necesarios para la prestacién de un servicio al responsable no se
consideraré comuntcacién de datos siempre que se cumpla lo establecido en el
Reglamento (UE) 2016/878, en la presente ley orgénica y en sus normas de
desarrollo.
2, Tendré la consideracién de responsable del tratamiento y no la de encargado
quien en su propio nombre y sin que conste que acta por cuenta de otro,
establezca relaciones con los afectados aun cuando exista un contrato 0 acto
juridico con el contenido fjado en el articulo 28.3 del Reglamento (UE) 2016/679.
Esta previsién no seré aplicable a los encargos de tratamiento efectuados en el
marco de a legislacién de contratacién del sector publico.
‘Tendré asimismo la consideracién de responsable del tratamiento quien figurando
como encargado utllizase los datos para sus propias finalidades.
3. El responsable del tratamiento determinara si, cuando finaice la prestacién de
los servicios del encargado, los datos personales deben ser destruidos, devueltos af
responsable o entregados, en su caso, a un nuevo encargado.
No procederd la destruccién de los datos cuando exista una prevision legal que
obligue a su conservacién, en cuyo caso deberdn ser devueltos al responsable, que
garantizard su conservacién mientras tal obligacién persista.
4. El encargado del tratamiento podré conservar, debidamente bloqueados, los
datos en tanto pudleran derivarse responsabilidades de su relacién con el
responsable del tratamiento.
5, Enel émbito del sector piblica podrén atrbuirse las competencias propias de un
‘encargado del tratamiento 2 un determinado Grgano de la Administracién General
‘del Estado, la Administracién de las comunidades auténomas, las Entidades que
Integran la Administracin Local o a los Organismos vinculados 0 dependientes de
fas mismas mediante la adopcién de una norma reguladora de dichas
competencias, que deberé incorporar el contenido exigido por el articulo 28.3 del
Reglamento (UE) 2036/679.
ey rnc 208 tea ea Pa
hea dotnet
cAPITULO I
Delegado de proteccién de datos
Articulo 34. Designacién de un delegado de proteccién de datos.
1. Los responsables y encargados del tratamiento deberdn designar un delegado de
proteccién de datos en los supuestos previstos en el articulo 37.2 del Reglamento
(UE) 2026/679 y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generates.
») Los centros docentes que ofrezcan ensefianzas en cualquiera de los niveles
cestablecidos en la legisiacién reguladora del derecho a la educaci6n, asi como
las Universidades publicas y privadas.
©) Las entidades que exploten redes y presten servicios de comunicaciones
‘lectrénicas conforme a lo dispuesto en su legisacién especiica, cuando traten
habitual ysistematicamente datos personales a gran escala.
4) Los prestadores de servicios de la sociedad de la informacién cuando
celaboren a gran escala perfiles de los usuarios del servicio.
€) Las entidades incluidas en el articulo 1 de la Ley 10/2014, de 26 de junio, de
cordenacién, supervisin y solvencia de entidades de crédito.
4) Los establecimientos financieros de crédito.
8) Las entidades aseguradoras y reaseguradoras.
hh) Las empresas de servicios de inversién, reguladas por la legislacién del
‘Mercado de Valores.
|) Los distribuidores y comerciaizadores de energia eléctrica y los dstribuidores
yy comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluacién de la
solvencia patrimonial y crédito © de los Ficheros comunes para la gestién y
prevencién del fraude, incluyendo a los responsables de los ficheros regulados
Ber la lepsacin de prevenctn dl Banquo de eae y de a fnandacién
I terrorism,
i) Las entidades que desarrollen actividades de publicidad y prospeccién
‘comercial, incluyendo las de investigacién comercial y de mereados, cuando
leven a cabo tratamientos basados en las preferencias de los afectados 0
realicen actividades que impliquen la elaboracién de perfles de los mismas.
1) Los centros sanitarios legalmente obligados al mantenimiento de las historias
clinicas de los pacientes.
rmwoy
Se exceptiian los profesionales de la salud que, aun estando legalmente
obligados al mantenimiento de las historias clnicas de los pacientes, ejerzan su
actividad a titulo individual
'm) Las entidades que tengan como uno de sus objetos la emisién de informes,
‘comerciales que puedan referirse a personas fsice.
1) Los operadores que desarrollen la actividad de juego a través de canales
electr6nicas, informaticos, telematicas e Interactivos, conforme a la normativa
de regulacién del juego.
fi) Las empresas de seguridad privada.
0) Las federaciones deportivas cuando traten datos de menores de edad.
2. Los responsables o encargadas del tratamiento no incluidos en el pérrafo
anterior podrén designar de manera voluntaria un delegado de proteccién de
datos, que quedaré sometide al régimen establecido en el Reglamento (UE)
2016/679 y en la presente ley orgénica.
3. Los responsables y encargadas del tratamiento comunicarén en el plazo de diez
dias a la Agencia Espafola de Proteccién de Datos 0, en su caso, a las autoridades
‘autonémicas de proteccién de datos, as designaciones, nombramientos y ceses de
los delegados de proteccién de datos tanto en los supuestos en que se encuentren
obligadas a su designacién como en el caso en que sea voluntarla.
4, La Agencia Espafiola de Proteccién de Datos y las autoridades autonémicas de
proteccién de datos mantendrén, en el dmbito de sus respectivas competencias,
tuna lista actualizada de delegados de protecciin de datos que seré accesible por
‘medios electrdnicos.
5. En el cumplimiento de las obligaciones de este articulo los responsables y
‘encargados del tratamiento podrén establecer la dedicacién completa 0 a tiempo
parcial del delegado, entre otros crterios, en funcién del volumen de los
tratamientos, [a categorfa especial de los datos tratados 0 de los riesgos para los
derechos o libertades de los interesados.
Artfculo 35. Cualificacién del delegado de protecci6n de datos.
El cumplimiento de los requisites establecidos en el articulo 37.5 del Reglamento
(UE) 2026/6579 para la designacién del delegado de proteccién de datos, sea
persona fisica 0 juriica, podré demostrarse, entre otros medios, a través de
‘mecanismos voluntarios de certifiacién que tendrén particularmente en cuenta la
‘obtencién de una titulacién universitaria que acredite conacimientos especializados
ten el derecho yla practica en materia de proteccién de datos.
Laporte Pen de ts Peere
Articule 36. Posicién del delegade de proteccién de datos.
21. El delegado de proteccién de datos actuard como interlocutor del responsable 0
encargado del tratamiento ante la Agencia Espafiola de Proteccién de Datos y les
autoridades autonémicas de protecci6n de datos. £! delegado podrs inspeccionar
'os procedimientos relacionados con el objeto de la presente ley orgénica y emit
ecomendaciones en el dmbito de sus competencias.
2. Cuando se trate de una persona fsa integrada en le organizacién del
responsable 0 encargado del tratamiento, el delegado de proteccién de datos no
Bodré ser removido ni sancionado por el responsable o el encargado por
Gesempefar sus funciones salvo que Incurriera en dolo o negligencia grave en su
ejercicio. Se garantizaré Ia independencia del delegado de proteccién de datos
dentro de la organizacién, debiendo evitarse cualquier conflicto de intereses.
3. Enel ejercicio de sus funciones el delegado de proteccién de datos tendré acceso
2 los datos personales y procesos de tratamiento, no pudiendo oponer 2 este
acceso el responsable o el encargado del tratamiento la existencia de cuslquler
deber de confidencialidad 0 secreto, incluyendo el previsto en el articulo 5 de esta
ley organica
4. Cuando el delegado de proteccién de datos aprecle Ia existencia de una
‘wlneracién relevante en materia de proteccién de datos lo documentard y lo
comuricaré inmediatamente a los érganos de administracién y direccién del
responsable o el encargado del tratamiento.
Articulo 37. Intervencién del delegado de proteccién de datos en caso de
reclamacién ante las autoridades de proteccién de datos.
21. Cuando el responsable o el encargado del tratamiento hubieran designado un
delegado de proteccién de datos el afectado podrs, con cardcter previo 2 la
Presentacién de una reciamacién contra aquéllos ante a Agencia Espafiola de
Proteccién de Datos o, en su caso, ante las autoridades autonémicas de proteccién
de datos, dirigise al delegado de proteccién de datos de Is entidad contra la que se
reclame,
En este caso, el delegado de proteccién de datos comunicard al afectado la decisién
‘que se hubiera adoptado en el plazo méximo de dos meses a contar desde Io
recepcién de la reclamacién,
2. Cuando el afectado presente una reclamacién ante la Agencia Espefola de
Proteccién de Datos o, en su caso, ante las autoridades autonémicas de aroteccién
de datos, aquellas podrén remitir la reclamacién al delegado de proteccioy de
datos afin de que este responda en el plazo de un mes.
|
sccién. de datos no hublera
Si transcurride dicho plazo el delegade de protecciér
communicado a la autoridad de proteccion de datos competente Ia respuesta dada 2
Ja reclamacién, dicha autaridad continuaré el procedimiento con arreglo & lo
‘establecido en el Titulo Vill de ests ley orgénica yen sus normas de desarrollo,
2, 1 procedimiento ant i Agena spa de Proteccén de Datos srk el
establecido en el Titulo Vil de esta ley orgénica y en sus normas de desarrollo.
‘Asimismo, las comunidades auténomas regularén el procedimiento
correspondiente ante sus autoridades autonémicas de proteccién de datos.
capiruLo1v
CCédigos de conducta y certificacion
clo 38. Cig de conducts
1 as eSSnos de cond replat oro sein 5 del ata dl
Reglemento (UE) 2026/679 serin vneuontes pra. quenes se aahieran 2 los
Dichos efdges podrn dotarse de mecaismos de resclucén exrjue!
confi
chs cigs porn promoverse, ademis de por ls atocadones
Sri eee arts 02d Rare) 21/7,
empresos grupes de empress ax come por ls responablso encargadot aos
tueserafiareelariclo 77 deestaley org, .
iol, godin se romevios pols oraismosoeniades qv sun as
funionesdesyperton reselutn enrajtal ecoticts so aus ere
Vara #i dl Regamerto (UE) 208/67
Los responses o encrgdos del ‘ratariento que se ashen al eigo de
Gide se ign » set al erin © end de spevgn be
felomacones tue ls fren formulas gr ls afetadoe en releion con ls
Camis ts neem ite doar e ued conse
dim no cee tender» ade rf ean, Sou ef
Sturt ey eal 5 eat ey nnn, Aan on nraib de
You might also like
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeFrom EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeRating: 4 out of 5 stars4/5 (5814)
- The Gifts of Imperfection: Let Go of Who You Think You're Supposed to Be and Embrace Who You AreFrom EverandThe Gifts of Imperfection: Let Go of Who You Think You're Supposed to Be and Embrace Who You AreRating: 4 out of 5 stars4/5 (1092)
- Never Split the Difference: Negotiating As If Your Life Depended On ItFrom EverandNever Split the Difference: Negotiating As If Your Life Depended On ItRating: 4.5 out of 5 stars4.5/5 (844)
- Grit: The Power of Passion and PerseveranceFrom EverandGrit: The Power of Passion and PerseveranceRating: 4 out of 5 stars4/5 (590)
- Hidden Figures: The American Dream and the Untold Story of the Black Women Mathematicians Who Helped Win the Space RaceFrom EverandHidden Figures: The American Dream and the Untold Story of the Black Women Mathematicians Who Helped Win the Space RaceRating: 4 out of 5 stars4/5 (897)
- Shoe Dog: A Memoir by the Creator of NikeFrom EverandShoe Dog: A Memoir by the Creator of NikeRating: 4.5 out of 5 stars4.5/5 (540)
- The Hard Thing About Hard Things: Building a Business When There Are No Easy AnswersFrom EverandThe Hard Thing About Hard Things: Building a Business When There Are No Easy AnswersRating: 4.5 out of 5 stars4.5/5 (348)
- Elon Musk: Tesla, SpaceX, and the Quest for a Fantastic FutureFrom EverandElon Musk: Tesla, SpaceX, and the Quest for a Fantastic FutureRating: 4.5 out of 5 stars4.5/5 (474)
- Her Body and Other Parties: StoriesFrom EverandHer Body and Other Parties: StoriesRating: 4 out of 5 stars4/5 (822)
- The Emperor of All Maladies: A Biography of CancerFrom EverandThe Emperor of All Maladies: A Biography of CancerRating: 4.5 out of 5 stars4.5/5 (271)
- The Sympathizer: A Novel (Pulitzer Prize for Fiction)From EverandThe Sympathizer: A Novel (Pulitzer Prize for Fiction)Rating: 4.5 out of 5 stars4.5/5 (122)
- The Little Book of Hygge: Danish Secrets to Happy LivingFrom EverandThe Little Book of Hygge: Danish Secrets to Happy LivingRating: 3.5 out of 5 stars3.5/5 (401)
- The World Is Flat 3.0: A Brief History of the Twenty-first CenturyFrom EverandThe World Is Flat 3.0: A Brief History of the Twenty-first CenturyRating: 3.5 out of 5 stars3.5/5 (2259)
- The Yellow House: A Memoir (2019 National Book Award Winner)From EverandThe Yellow House: A Memoir (2019 National Book Award Winner)Rating: 4 out of 5 stars4/5 (98)
- Devil in the Grove: Thurgood Marshall, the Groveland Boys, and the Dawn of a New AmericaFrom EverandDevil in the Grove: Thurgood Marshall, the Groveland Boys, and the Dawn of a New AmericaRating: 4.5 out of 5 stars4.5/5 (266)
- A Heartbreaking Work Of Staggering Genius: A Memoir Based on a True StoryFrom EverandA Heartbreaking Work Of Staggering Genius: A Memoir Based on a True StoryRating: 3.5 out of 5 stars3.5/5 (231)
- Team of Rivals: The Political Genius of Abraham LincolnFrom EverandTeam of Rivals: The Political Genius of Abraham LincolnRating: 4.5 out of 5 stars4.5/5 (234)
- On Fire: The (Burning) Case for a Green New DealFrom EverandOn Fire: The (Burning) Case for a Green New DealRating: 4 out of 5 stars4/5 (74)
- GRAMMAR BANK (Answers) - New English File (Student S Book) Upper Intermediate 1ADocument1 pageGRAMMAR BANK (Answers) - New English File (Student S Book) Upper Intermediate 1AIrene Gimenez Lao33% (3)
- The Unwinding: An Inner History of the New AmericaFrom EverandThe Unwinding: An Inner History of the New AmericaRating: 4 out of 5 stars4/5 (45)
- Carta QR Hollywood BubblesDocument9 pagesCarta QR Hollywood BubblesIrene Gimenez LaoNo ratings yet
- Key WordsDocument2 pagesKey WordsIrene Gimenez LaoNo ratings yet
- Ley 3-2007 (Extracto)Document9 pagesLey 3-2007 (Extracto)Irene Gimenez LaoNo ratings yet
- Resolución Rectoral Días Inhabiles 2023Document2 pagesResolución Rectoral Días Inhabiles 2023Irene Gimenez LaoNo ratings yet
- Cap Disposiciones Generales LRJSPDocument1 pageCap Disposiciones Generales LRJSPIrene Gimenez LaoNo ratings yet
- Novedades EBEPDocument4 pagesNovedades EBEPIrene Gimenez LaoNo ratings yet
- Responsabilidad Patrimonial APDocument8 pagesResponsabilidad Patrimonial APIrene Gimenez Lao100% (1)
- Reading UOE3Document14 pagesReading UOE3Irene Gimenez LaoNo ratings yet
- Cuadro Art.48Document3 pagesCuadro Art.48Irene Gimenez LaoNo ratings yet
- Tarde o Temprano Nos Abrazaremos-NotebookDocument9 pagesTarde o Temprano Nos Abrazaremos-NotebookIrene Gimenez LaoNo ratings yet
- Temas ConserjeDocument2 pagesTemas ConserjeIrene Gimenez LaoNo ratings yet
- Writing 4Document2 pagesWriting 4Irene Gimenez LaoNo ratings yet
- Hollywood Monsters - Manual FXDocument24 pagesHollywood Monsters - Manual FXIrene Gimenez LaoNo ratings yet
- Exercices de Vocabulaire en Contexte Niveau Intermediaire Corriges PDFDocument41 pagesExercices de Vocabulaire en Contexte Niveau Intermediaire Corriges PDFJaehwang LeeNo ratings yet
