Última revisión
datos
110 - ¿Cuál es el ámbito de aplicación de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales?
Relacionados:
Vademecum: datos
Fecha última revisión: 09/10/2024
La LOPDGDD se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos contenidos o destinados a ser incluidos en un fichero. Sin embargo, no se aplicará a los tratamientos excluidos del ámbito de aplicación del Reglamento General de Protección de Datos (RGPD), ni a los tratamientos de personas fallecidas o tratamientos sometidos a la normativa sobre protección de materias clasificadas.
«1. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. Esta ley orgánica no será de aplicación:
a) A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.
b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3.
c) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas.
3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica. Se encuentran en esta situación, entre otros, los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general, los tratamientos realizados en el ámbito de instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.
4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables.
5. El tratamiento de datos llevado a cabo con ocasión de la tramitación por el Ministerio Fiscal de los procesos de los que sea competente, así como el realizado con esos fines dentro de la gestión de la Oficina Fiscal, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal, la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y de las normas procesales que le sean aplicables».
Así, será de aplicación a cualquier tratamiento total o parcialmente automatizado de datos personales, o al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, lo dispuesto en las siguientes disposiciones de la LOPDGDD:
- Título I. Disposiciones generales (artículos 1 a 3 de la LOPDGDD).
- Título II. Principios de protección de datos (artículos 4 a 10 de la LOPDGDD).
- Título III. Derecho de las personas (artículo 11 a 18 de la LOPDGDD).
- Título IV. Disposiciones aplicables a tratamiento concretos (artículos 19 a 27 de la LOPDGDD).
- Título V. Responsable y encargado del tratamiento (artículos 28 a 39 de la LOPDGDD).
- Título VI. Transferencias internacionales de datos (artículos 40 a 43 de la LOPDGDD).
- Título VII. Autoridades de protección de datos (artículo 44 a 62 de la LOPDGDD).
- Título VIII. Procedimientos en caso de posible vulneración de la normativa de protección de datos (artículos 63 a 69 de la LOPDGDD).
- Título IX. Régimen sancionador (artículos 70 a 78 de la LOPDGDD).
- Título X. Garantía de los derechos digitales (artículos 89 a 94 de la LOPDGDD):
- Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
- Derechos digitales en la negociación colectiva.
- Protección de datos de los menores en Internet.
- Derecho al olvido en búsquedas de Internet.
- Derecho al olvido en servicios de redes sociales y servicios equivalentes.
Por el contrario, la LOPDGDD no se aplicará a las siguientes materias:
a) Tratamientos excluidos del ámbito de aplicación del RGPD por el apartado segundo de su artículo 2. Estos son:
«2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención».
Todo ello, sin perjuicio de lo establecido en los apartados 3 y 4 del artículo 2 del RGPD, de manera que:
«3. El Reglamento (CE) n.º 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.º 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15».
A tenor de lo anterior, la sentencia de la Sala de lo Contencioso de la Audiencia Nacional, rec. 1825/2015, de 15 de diciembre de 2017, ECLI:ES:AN:2017:5089, manifiesta que:
«(...) para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo etc.) tenga la consideración de tratamiento de datos sujeto al sistema de protección de la LOPD es necesario, según criterio reiterado de la Sala, que dichos datos estén contenidos o destinados a ser contenidos en un fichero, esto es, en un conjunto estructurado u organizado de datos con arreglo a criterios determinados. Si no es así el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la citada LOPD, no será un "tratamiento de datos personales" según el concepto normativo que la citada Ley proporciona».
Además, en relación a la protección de datos en el ámbito profesional, la sentencia de la Audiencia Nacional, rec. 615/2017, de 22 de marzo de 2019, ECLI:ES:AN:2019:999, declara que:
«No puede concluirse, por tanto, que los empresarios individuales y profesionales estén en su conjunto excluidos del ámbito de protección de la LOPD, sino que se hace necesario diferenciar (y la línea divisoria es confusa y difusa) cuando un dato del empresario o profesional, se refiere a la vida privada de la persona y cuando a la empresa o profesión, pues solo en el primer caso cabe aplicar la protección de la LO 15/1999. Labor de diferenciación que puede basarse en dos criterios distintos y complementarios:
Uno, el criterio objetivo de la clase y la naturaleza de los datos tratados, según estén en conexión y se refieran a una esfera (la íntima y personal) o a otra (la profesional) de la actividad. Otro, el de la finalidad del tratamiento y circunstancias en que éste se desarrolla, criterio éste que operaría en aquellos casos en que alguno de los datos profesionales coincida con los particulares (por ej. coincidencia de domicilio privado con el de la empresa, o cuando no se pueda acreditar si una deuda es de la empresa o si es personal del interesado)». (Referida a la antigua LOPD).
En este mismo sentido, podemos resaltar la sentencia de la Audiencia Nacional n.º 201/2015, de 28 abril, ECLI:ES:AN:2015:1843.
A TENER EN CUENTA. La Comisión presentará, si procede, propuestas legislativas para modificar otros actos jurídicos de la Unión en materia de protección de datos personales, a fin de garantizar la protección uniforme y coherente de las personas físicas en relación con el tratamiento. Se tratará en particular de las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento por parte de las instituciones, órganos, y organismos de la Unión y a la libre circulación de tales datos (artículo 98 del RGPD).
CUESTIONES
1. ¿Qué es un fichero?
Según el apartado sexto del artículo 4 del RGPD, un fichero es un «todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica».
Además, el Tribunal Supremo en su sentencia, rec. 6031/2007, de 19 de septiembre de 2008, ECLI:ES:TS:2008:464, fija una doctrina interpretativa del concepto «fichero», de manera que:
«La redacción de esa Directiva, por lo que se refiere a la definición de ficheros en los términos expuestos, no presenta ninguna duda interpretativa, como tampoco lo hace el citado art. 3.b) de la LO 15/99. No está de más en todo caso destacar que en la redacción inicial de la LO 5/92, en concreto en su Exposición de Motivos, se establecía que "la Ley se nuclea en torno a lo que convencionalmente se denominan ficheros de datos" y que es la existencia de unos ficheros, y la utilización que de ellos pudiera hacerse, la que justifica la necesidad de la nueva frontera de la intimidad y del honor, añadiendo que la Ley concibe los ficheros desde una perspectiva dinámica de tal forma que los concibe no sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles si llegasen a conectarse entre sí, de configurar el perfil personal a que antes se refiere dicha Exposición de Motivos». (Referida a la antigua LOPD).
2. ¿A qué se refiere el tratamiento automatizado?
El considerando 15 del RGPD dispone que: «(...) La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento».
Asimismo, el considerando 71 del mismo texto legal establece que: «El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento automatizado de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar (...)».
En concreto, la elaboración de perfiles se entiende como «toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física» (artículo 4.4 del RGPD).
También se estipula el tratamiento automatizado en los siguientes preceptos del RGPD:
- Decisiones individuales automatizadas, incluida la elaboración de perfiles (artículo 22 del RGPD).
- Evaluación de impacto relativa a la protección de datos (artículo 35 del RGPD).
- Normas corporativas vinculantes (artículo 47 del RGPD).
3. ¿Cuáles son las normas relativas a la responsabilidad de los prestadores de servicios intermediarios?
Los preceptos dedicados a la responsabilidad de los prestadores de servicios intermediarios son los artículos 4 a 10 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales):
- Mera transmisión (artículo 4 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022).
- Memoria caché (artículo 5 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022).
- Alojamiento de datos (artículo 6 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022).
- Investigaciones voluntarias por iniciativa propia y cumplimiento del derecho (artículo 7 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022).
- Inexistencia de obligación general de supervisión (artículo 8 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022).
- Órdenes de actuación contra contenido ilícitos (artículo 9 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022).
- Órdenes de entrega de información (artículo 10 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022).
b) Tratamientos de datos de personas fallecidas, sin perjuicio de lo regulado en el artículo 3 de la LOPDGDD, es decir:
«1. Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.
Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.
2. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión.
Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos».
CUESTIÓN
¿Qué sucede en el caso del fallecimiento de menores y de personas con discapacidad?
Según la LOPDGDD, en el caso de que se produzca el deceso de un menor de edad, las facultades de acceso, rectificación o supresión de los datos personales:
«(...) podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada».
Asimismo, en el caso de fallecimiento de personas con discapacidad, los citados derechos podrán ejercerse por (artículo 3.3 de la LOPDGDD):
- Sus representantes legales.
- El Ministerio Fiscal.
- Quienes hubiesen sido designados para ejercer funciones de apoyo.
c) Tratamientos sometidos a la normativa sobre protección de materias clasificadas.
Por otra parte, los tratamientos «a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica».
Ejemplo de lo anterior son, entre otros, los siguientes:
- Tratamientos realizados al amparo de la legislación orgánica del régimen electoral general.
- Tratamientos realizados en el ámbito de instituciones penitenciarias.
- Tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.
CUESTIONES
1. ¿Qué normativa se aplicará al tratamiento de datos llevado a cabo en la gestión de procesos por las instancias judiciales?
Según el apartado cuarto del artículo 2 de la LOPDGDD:
«4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables».
2. ¿Qué normas regirán el tratamiento de datos llevado a cabo con ocasión de la tramitación por el Ministerio Fiscal?
Conforme establece el apartado quinto del artículo 2 de la LOPDGDD:
«5. El tratamiento de datos llevado a cabo con ocasión de la tramitación por el Ministerio Fiscal de los procesos de los que sea competente, así como el realizado con esos fines dentro de la gestión de la Oficina Fiscal, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal, la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y de las normas procesales que le sean aplicables».