Ámbito de aplicación del RGPD y de la LOPDGDD

Ámbito de aplicación de la LOPDGDD

Artículo 2 de la LOPDGDD

«1. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Esta ley orgánica no será de aplicación:

a) A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.

b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3.

c) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas.

3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica. Se encuentran en esta situación, entre otros, los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general, los tratamientos realizados en el ámbito de instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.

4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables.

5. El tratamiento de datos llevado a cabo con ocasión de la tramitación por el Ministerio Fiscal de los procesos de los que sea competente, así como el realizado con esos fines dentro de la gestión de la Oficina Fiscal, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal, la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y de las normas procesales que le sean aplicables».

Así, será de aplicación a cualquier tratamiento total o parcialmente automatizado de datos personales, o al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, lo dispuesto en las siguientes disposiciones de la LOPDGDD:

• Título I. Disposiciones generales (artículos 1 a 3 de la LOPDGDD).
• Título II. Principios de protección de datos (artículos 4 a 10 de la LOPDGDD).
• Título III. Derecho de las personas (artículo 11 a 18 de la LOPDGDD).
• Título IV. Disposiciones aplicables a tratamiento concretos (artículos 19 a 27 de la LOPDGDD).
• Título V. Responsable y encargado del tratamiento (artículos 28 a 39 de la LOPDGDD).
• Título VI. Transferencias internacionales de datos (artículos 40 a 43 de la LOPDGDD).
• Título VII. Autoridades de protección de datos (artículo 44 a 62 de la LOPDGDD).
• Título VIII. Procedimientos en caso de posible vulneración de la normativa de protección de datos (artículos 63 a 69 de la LOPDGDD).
• Título IX. Régimen sancionador (artículos 70 a 78 de la LOPDGDD).
• .Título X. Garantía de los derechos digitales (artículos 89 a 94 de la LOPDGDD):
  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
  • Derechos digitales en la negociación colectiva.
  • Protección de datos de los menores en Internet.
  • Derecho al olvido en búsquedas de Internet.
  • Derecho al olvido en servicios de redes sociales y servicios equivalentes.

Por el contrario, la LOPDGDD no se aplicará a las siguientes materias:

a) Tratamientos excluidos del ámbito de aplicación del RGPD por el apartado segundo de su artículo 2. Estos son:

«2. El presente Reglamento no se aplica al tratamiento de datos personales:

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención». 

Todo ello, sin perjuicio de lo establecido en los apartados 3 y 4 del artículo 2 del RGPD, de manera que:

«3. El Reglamento (CE) n.º 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.º 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.

4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15».

A tenor de lo anterior, la Sala de lo Contencioso de la Audiencia Nacional, rec. 1825/2015, de 15 de diciembre de 2017, ECLI:ES:AN:2017:5089, manifiesta que:

«(...) para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo etc.) tenga la consideración de tratamiento de datos sujeto al sistema de protección de la LOPD es necesario, según criterio reiterado de la Sala, que dichos datos estén contenidos o destinados a ser contenidos en un fichero, esto es, en un conjunto estructurado u organizado de datos con arreglo a criterios determinados. Si no es así el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la citada LOPD, no será un "tratamiento de datos personales" según el concepto normativo que la citada Ley proporciona».

Además, en relación a la protección de datos en el ámbito profesional, la sentencia de la Audiencia Nacional, rec. 615/2017, de 22 de marzo de 2019, ECLI:ES:AN:2019:999, declara que:

«No puede concluirse, por tanto, que los empresarios individuales y profesionales estén en su conjunto excluidos del ámbito de protección de la LOPD, sino que se hace necesario diferenciar (y la línea divisoria es confusa y difusa) cuando un dato del empresario o profesional, se refiere a la vida privada de la persona y cuando a la empresa o profesión, pues solo en el primer caso cabe aplicar la protección de la LO 15/1999. Labor de diferenciación que puede basarse en dos criterios distintos y complementarios: Uno, el criterio objetivo de la clase y la naturaleza de los datos tratados, según estén en conexión y se refieran a una esfera (la íntima y personal) o a otra (la profesional) de la actividad. Otro, el de la finalidad del tratamiento y circunstancias en que éste se desarrolla, criterio éste que operaría en aquellos casos en que alguno de los datos profesionales coincida con los particulares (por ej. coincidencia de domicilio privado con el de la empresa, o cuando no se pueda acreditar si una deuda es de la empresa o si es personal del interesado)». (Referida a la antigua LOPD).

En este mismo sentido, podemos resaltar la sentencia de la Audiencia Nacional, n.º 201/2015, de 28 abril, ECLI:ES:AN:2015:1843.

A TENER EN CUENTA.  La Comisión presentará, si procede, propuestas legislativas para modificar otros actos jurídicos de la Unión en materia de protección de datos personales, a fin de garantizar la protección uniforme y coherente de las personas físicas en relación con el tratamiento. Se tratará en particular de las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento por parte de las instituciones, órganos, y organismos de la Unión y a la libre circulación de tales datos (artículo 98 del RGPD).

CUESTIONES 

1. ¿Qué es un fichero?

Según el apartado sexto del artículo 4 del RGPD, un fichero es un «todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica».

Además, el Tribunal Supremo en su sentencia, rec. 6031/2007, de 19 de septiembre de 2008, ECLI:ES:TS:2008:464, fija una doctrina interpretativa del concepto «fichero», de manera que:

«La redacción de esa Directiva, por lo que se refiere a la definición de ficheros en los términos expuestos, no presenta ninguna duda interpretativa, como tampoco lo hace el citado art. 3.b) de la LO 15/99. No está de más en todo caso destacar que en la redacción inicial de la LO 5/92, en concreto en su Exposición de Motivos, se establecía que "la Ley se nuclea en torno a lo que convencionalmente se denominan ficheros de datos" y que es la existencia de unos ficheros, y la utilización que de ellos pudiera hacerse, la que justifica la necesidad de la nueva frontera de la intimidad y del honor, añadiendo que la Ley concibe los ficheros desde una perspectiva dinámica de tal forma que los concibe no sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles si llegasen a conectarse entre sí, de configurar el perfil personal a que antes se refiere dicha Exposición de Motivos». (Referida a la antigua LOPD).

2. ¿A qué se refiere el tratamiento automatizado?

El considerando 15 del RGPD dispone que: «la protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento».

Asimismo, el considerando 71 del mismo texto legal establece que: «el interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento automatizado de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar».

En concreto, la elaboración de perfiles se entiende como «toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física» (artículo 4.4 del RGPD).

También se estipula el tratamiento automatizado en los siguientes preceptos del RGPD:

- Decisiones individuales automatizadas, incluida la elaboración de perfiles (artículo 22 del RGPD).

- Evaluación de impacto relativa a la protección de datos (artículo 35 del RGPD).

- Normas corporativas vinculantes (artículo 47 del RGPD).

3. ¿Cuáles son las normas relativas a la responsabilidad de los prestadores de servicios intermediarios?

Los preceptos dedicados a la responsabilidad de los prestadores de servicios intermediarios son los artículos 12 a 15 de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico):

- Mera transmisión (artículo 12 de la Directiva 2000/31/CE).

- Memoria tampón Caching (artículo 13 de la Directiva 2000/31/CE).

- Alojamiento de datos (artículo 14 de la Directiva 2000/31/CE).

- Inexistencia de obligación general de supervisión (artículo 15 de la Directiva 2000/31/CE).

b) Tratamientos de datos de personas fallecidas, sin perjuicio de lo regulado en el artículo 3 de la LOPDGDD, es decir:

«1. Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.

2. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión.

Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos».

CUESTIÓN

¿Qué sucede en el caso del fallecimiento de menores y de personas con discapacidad?

Según la LOPDGDD, en el caso de que se produzca el deceso de un menor de edad, las facultades de acceso, rectificación o supresión de los datos personales:

«(...) podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada».

Asimismo, en el caso de fallecimiento de personas con discapacidad, los citados derechos podrán ejercerse por (artículo 3.3 de la LOPDGDD):

- Sus representantes legales.

- El Ministerio Fiscal.

- Quienes hubiesen sido designados para ejercer funciones de apoyo. 

c) Tratamientos sometidos a la normativa sobre protección de materias clasificadas.

Por otra parte, los tratamientos «a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica».

Ejemplo de lo anterior son, entre otros, los siguientes:

• Tratamientos realizados al amparo de la legislación orgánica del régimen electoral general.
• Tratamientos realizados en el ámbito de instituciones penitenciarias.
• Tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.

CUESTIÓN

¿Qué normativa se aplicará al tratamiento de datos llevado a cabo en la gestión de procesos por las instancias judiciales?

Según el apartado cuarto del artículo 2 de la LOPDGDD:

«4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables».

Ámbito de aplicación del RGPD

Ámbito de aplicación material del RGPD

Artículo 2 del RGPD

«1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. El presente Reglamento no se aplica al tratamiento de datos personales:

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

3. El Reglamento (CE) n.º 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.º 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.

4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15».

En síntesis, el RGPD es de aplicación al tratamiento total o parcialmente automatizado de datos personales y al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Sin embargo, no se aplicará al tratamiento de datos personales efectuados:

• En el ejercicio de una actividad no incluida en la esfera de aplicación del derecho de la Unión Europea.
• Por los Estados miembros cuando ejerciten actividades del capítulo 2 del título V del Tratado de la Unión Europea.
• Por una persona física que esté ejerciendo actividades únicamente personales o domésticas.
• Por autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales.

CUESTIÓN

¿Cuáles son las actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE?

Las actividades del capítulo II del título V del Tratado de la Unión Europea son las relativas a las disposiciones específicas sobre política exterior y de seguridad común (artículos 23 a 46).

Ámbito de aplicación territorial del RGPD

Artículo 3 del RGPD

«1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público». 

Es decir, el RGPD se aplica a los siguientes supuestos de tratamiento de datos personales:

• En el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
• En el caso de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
  • Oferta de bienes o servicios a dichos interesados en la Unión.
  • Control de su comportamiento.
• En el caso de que el responsable, aun no estando establecido en la Unión, esté en un lugar donde el derecho de los Estados miembros sea de aplicación en virtud del derecho internacional público.

Si bien, el considerando 24 del RGPD entiende que el tratamiento de datos personales de los interesados que se encuentran en la Unión por un responsable o encargado no establecido en la Unión tiene que ser objeto del citado reglamento cuando «(...) esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes».

No obstante, a estos efectos, el considerando 23 del referido texto legal especifica que para resolver si el responsable o encargado del tratamiento ofrece bienes o servicios a interesados que se encuentran en la Unión, debe determinarse si «(...) es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión».

CUESTIONES

1. ¿A qué se refiere el RGPD con el término «establecimiento»?

En el considerando 22 de la RGPD se precisa que el establecimiento:

«(...) implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto».

2. ¿Qué se entiende por bienes o servicios?

Según el Diccionario del Español Jurídico de la RAE:

- Bien: cosa que puede ser susceptible de apropiación. Se incluyen todas las cosas o elementos patrimoniales, corporales e incorporales, susceptibles de adquisición y transmisión.

- Servicios: prestación que satisface alguna necesidad humana y que no consiste en la producción de bienes materiales.

Además, se refieren a los citados conceptos en los siguientes artículos del RGPD:

- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del RGPD).

- Evaluación de impacto relativa a la protección de datos (artículo 35 del RGPD).

3. ¿Qué actividades se comprenden dentro de la expresión «actividades personales o domésticas»?

El reglamento que nos ocupa en su considerando 18 expone que «(...) no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas».