Principios Fundamentales de la Protección de Datos: Guía Completa del RGPD y LOPD
Respuesta rápida
Los principios fundamentales de protección de datos son: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva. El consentimiento debe ser libre, específico, informado e inequívoco, y en España los menores de 14 años no pueden otorgarlo por sí mismos.
Puntos clave
Siete principios fundamentales
Licitud, lealtad, transparencia, limitación de finalidad, minimización, exactitud, limitación temporal, integridad y responsabilidad proactiva
Consentimiento válido
Debe ser libre (sin presiones), específico (para cada finalidad), informado (conociendo todos los detalles) e inequívoco (acción afirmativa clara)
Menores de 14 años
En España no pueden dar su consentimiento para el tratamiento de datos; deben hacerlo sus padres o tutores legales
Datos sensibles prohibidos
Origen étnico, opiniones políticas, religión, sindicación, datos biométricos y salud tienen protección reforzada
Casillas premarcadas inválidas
Las casillas premarcadas y el consentimiento por navegación ya no constituyen consentimiento válido según la normativa
Datos penales solo públicos
Los datos relativos a condenas e infracciones penales solo pueden ser tratados por entidades públicas, sin excepciones
Paso a paso
Identificar las dos normativas principales: el RGPD (normativa europea) y la LOPD (Ley Orgánica de Protección de Datos española)
Memorizar los siete principios: licitud-lealtad-transparencia, limitación de finalidad, minimización, exactitud, limitación de conservación, integridad-confidencialidad y responsabilidad proactiva
Comprender los cuatro requisitos del consentimiento válido: libre, específico, informado e inequívoco
Diferenciar las edades de consentimiento: 16 años según RGPD, 14 años en España, con mínimo absoluto de 13 años
Identificar los datos sensibles (origen étnico, opiniones políticas, religión, datos biométricos, salud, etc.) y sus restricciones especiales
Ejemplos resueltos
Problema 1Una empresa de actividades acuáticas ofrece un vídeo grabado durante la actividad a cambio de que el cliente se suscriba a su newsletter y ponga una reseña en Google. ¿Es válido este consentimiento?
Una empresa de actividades acuáticas ofrece un vídeo grabado durante la actividad a cambio de que el cliente se suscriba a su newsletter y ponga una reseña en Google. ¿Es válido este consentimiento?
Solución:
- 1Analizar si el consentimiento es LIBRE: El cliente se ve condicionado a dar su consentimiento para obtener el vídeo
- 2Verificar si hay consecuencias negativas por no otorgarlo: Sí, no recibe el vídeo ni el descuento
- 3Evaluar si existe presión o coacción: Sí, el beneficio (vídeo) se condiciona al consentimiento
- 4Aplicar el artículo 7 del RGPD: El consentimiento debe ser libre, sin condicionamientos
El consentimiento NO es válido porque no es libre. El cliente lo otorga únicamente para obtener el vídeo, no de forma voluntaria. Esto constituye una práctica ilegal según la normativa de protección de datos.
Verificación: Verificar si existe algún beneficio condicionado a la aceptación del tratamiento de datos
Problema 2Un supermercado online muestra el mensaje 'Si sigues navegando, entendemos que aceptas el tratamiento de tus datos'. ¿Cumple con los requisitos de consentimiento?
Un supermercado online muestra el mensaje 'Si sigues navegando, entendemos que aceptas el tratamiento de tus datos'. ¿Cumple con los requisitos de consentimiento?
Solución:
- 1Evaluar si el consentimiento es INEQUÍVOCO: No existe una acción afirmativa clara del usuario
- 2Verificar si es ESPECÍFICO: No se detalla para qué finalidades se usarán los datos
- 3Comprobar si es INFORMADO: El usuario no recibe información detallada antes de 'aceptar'
- 4Aplicar la doctrina del TJUE sobre consentimiento tácito
NO cumple los requisitos. El consentimiento debe manifestarse mediante una declaración o acción afirmativa clara, no mediante la mera navegación. Por eso actualmente las webs deben incluir botones de 'Aceptar' explícitos.
Verificación: Verificar que exista un mecanismo de aceptación activa (botón, casilla no premarcada)
Problema 3Una empresa privada quiere implementar un sistema de fichaje por huella dactilar para sus empleados. ¿Es legal?
Una empresa privada quiere implementar un sistema de fichaje por huella dactilar para sus empleados. ¿Es legal?
Solución:
- 1Identificar el tipo de dato: La huella dactilar es un dato biométrico
- 2Verificar si los datos biométricos son datos sensibles: Sí, según el artículo 9 del RGPD
- 3Analizar si existe alguna excepción aplicable: Consentimiento explícito, interés vital, etc.
- 4Aplicar la jurisprudencia del TJUE sobre fichaje biométrico
NO es legal. El Tribunal de Justicia de la Unión Europea ha declarado ilegal el sistema de fichaje por huella dactilar en empresas privadas, al tratarse de datos biométricos cuyo tratamiento está prohibido con carácter general.
Verificación: Verificar si existe alternativa menos invasiva para la misma finalidad
Principios Fundamentales de la Protección de Datos: RGPD y LOPD
Introducción
La protección de datos personales constituye uno de los pilares fundamentales del derecho en la era digital. Dos normativas principales regulan esta materia: el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley Orgánica de Protección de Datos (LOPD) española. Ambas establecen principios idénticos, lo que facilita su comprensión y aplicación conjunta.
Este tema es especialmente relevante para quienes preparan oposiciones al Cuerpo de Administrativos del Estado, ya que aparece expresamente en las convocatorias del Boletín Oficial del Estado. Comprender estos principios no solo es necesario para el examen, sino también para el ejercicio profesional en la Administración Pública.
Los Siete Principios Fundamentales
Todo tratamiento de datos personales debe cumplir obligatoriamente con los siguientes principios:
1. Licitud, Lealtad y Transparencia
Los datos personales deben tratarse de forma legal, leal y transparente en relación con el interesado. Esto implica que:
- Debe existir una base jurídica válida para el tratamiento
- El tratamiento debe realizarse de buena fe
- El interesado debe poder conocer cómo se tratan sus datos
2. Limitación de la Finalidad
Los datos solo pueden recogerse para fines determinados, explícitos y legítimos. No pueden tratarse posteriormente de manera incompatible con dichos fines. Por ejemplo, si una empresa recoge tu email para enviarte un pedido, no puede usarlo después para enviarte publicidad sin tu consentimiento específico.
3. Minimización de Datos
Solo deben recogerse los datos que sean adecuados, pertinentes y estrictamente necesarios para la finalidad declarada. Si una empresa quiere enviarte su newsletter, solo necesita tu correo electrónico. Solicitar además tu DNI, dirección postal o número de tarjeta bancaria vulneraría este principio.
4. Exactitud
Los datos personales deben ser exactos y estar actualizados. El responsable del tratamiento debe adoptar medidas razonables para que se supriman o rectifiquen sin dilación los datos inexactos.
5. Limitación del Plazo de Conservación
Los datos no pueden conservarse durante más tiempo del necesario para los fines del tratamiento. Una vez cumplida la finalidad, deben eliminarse o anonimizarse.
6. Integridad y Confidencialidad
Debe garantizarse la seguridad de los datos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
7. Responsabilidad Proactiva
El responsable del tratamiento no solo debe cumplir con estos principios, sino que debe ser capaz de demostrar que los cumple. Esto invierte la carga de la prueba: no es el interesado quien debe demostrar el incumplimiento, sino el responsable quien debe acreditar el cumplimiento.
El Consentimiento: Pilar Central del Sistema
El consentimiento es uno de los elementos más importantes de la protección de datos. Para que sea válido, debe cumplir cuatro requisitos esenciales:
Libre
El consentimiento debe otorgarse sin presión ni consecuencias negativas por no darlo. No es válido, por ejemplo, condicionar un descuento o un servicio a que el usuario acepte recibir publicidad o ceda sus datos a terceros.
Ejemplo práctico: Una empresa de actividades acuáticas que condiciona la entrega de un vídeo grabado durante la actividad a que el cliente se suscriba a su newsletter está obteniendo un consentimiento que no es libre.
Específico
Debe darse para una finalidad concreta, no de forma genérica. Por eso actualmente las páginas web muestran múltiples casillas de aceptación (términos del servicio, política de privacidad, cesión a terceros, envío de publicidad) en lugar de una única casilla.
Informado
El interesado debe conocer quién tratará sus datos, para qué finalidad y en qué términos. Debe poder entender las implicaciones de su decisión antes de tomarla.
Inequívoco
Debe quedar claro que se está otorgando el consentimiento. Esto requiere una acción afirmativa clara, como marcar una casilla vacía o hacer clic en un botón de aceptar.
Lo que ya NO es válido:
- Casillas premarcadas por defecto
- "Si sigues navegando, entendemos que aceptas"
- Silencio o inacción del usuario
Consentimiento de Menores
La normativa establece edades mínimas para que los menores puedan consentir el tratamiento de sus datos:
| Ámbito | Edad mínima |
|---|---|
| RGPD (regla general) | 16 años |
| España (LOPD) | 14 años |
| Mínimo absoluto permitido | 13 años |
El RGPD permite a los Estados miembros reducir la edad hasta un mínimo de 13 años. España ha ejercido esta facultad fijándola en 14 años. Por debajo de esta edad, el consentimiento debe ser otorgado por quienes ostenten la patria potestad, tutela o curatela del menor.
Otros países europeos han fijado diferentes umbrales: Francia y Países Bajos (15 años), Alemania (16 años), Suecia (13 años).
Datos Sensibles: Protección Reforzada
El artículo 9 del RGPD define las categorías especiales de datos que gozan de protección reforzada. Su tratamiento está prohibido con carácter general:
- Origen étnico o racial
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos (huellas dactilares, reconocimiento facial)
- Datos relativos a la salud
- Datos relativos a la vida sexual u orientación sexual
Excepciones al tratamiento de datos sensibles
El tratamiento puede permitirse cuando:
- El interesado da su consentimiento explícito
- Es necesario para proteger intereses vitales (ej: grupo sanguíneo en emergencia médica)
- El interesado ha hecho manifiestamente públicos esos datos
- Es necesario por razones de interés público en el ámbito de la salud pública
Caso práctico: Fichaje por huella dactilar
El Tribunal de Justicia de la Unión Europea ha declarado ilegal el uso de sistemas de fichaje por huella dactilar en empresas privadas. La razón: las huellas dactilares son datos biométricos, categoría especial cuyo tratamiento está prohibido con carácter general.
Como consecuencia, muchas empresas han tenido que sustituir estos sistemas por alternativas menos invasivas (tarjetas, códigos PIN, reconocimiento de presencia).
Datos Relativos a Condenas Penales
El artículo 10 del RGPD establece un régimen aún más restrictivo para los datos relativos a condenas e infracciones penales:
- No pueden tratarse con consentimiento del interesado
- Solo pueden ser tratados por entidades públicas
- No existen excepciones para el sector privado
Esto significa que una empresa privada no puede, bajo ninguna circunstancia, solicitar o tratar antecedentes penales de sus empleados o candidatos a un puesto de trabajo.
Conclusiones Clave para el Estudio
-
Dos normativas, mismos principios: RGPD y LOPD establecen principios idénticos.
-
Siete principios fundamentales: Licitud-lealtad-transparencia, limitación de finalidad, minimización, exactitud, limitación de conservación, integridad-confidencialidad y responsabilidad proactiva.
-
Consentimiento válido: Debe ser libre, específico, informado e inequívoco.
-
Edad de consentimiento en España: 14 años (por debajo, consienten los padres).
-
Datos sensibles: Tratamiento prohibido salvo excepciones tasadas.
-
Datos penales: Solo administraciones públicas, sin excepciones.
-
Responsabilidad proactiva: El responsable debe demostrar que cumple, no el interesado que incumple.
Estos principios, aunque puedan parecer idealistas en su formulación, constituyen el marco jurídico vinculante que debe aplicarse en todo tratamiento de datos personales, tanto en el sector público como en el privado.
Errores comunes
Confundir la edad de consentimiento del RGPD (16 años) con la establecida en España (14 años)
Cuando se menciona que un menor de 15 años no puede consentir en España
Recordar que España ejerció la potestad de reducir la edad a 14 años, dentro del margen permitido (mínimo 13 años)
Pensar que las casillas premarcadas constituyen consentimiento válido
Cuando se justifica el tratamiento de datos basándose en casillas que ya estaban marcadas por defecto
El consentimiento debe ser inequívoco, lo que requiere una acción afirmativa del interesado
Creer que el consentimiento condicionado a un beneficio es válido
Cuando se ofrece un descuento, regalo o servicio a cambio de aceptar el tratamiento de datos
El consentimiento debe ser libre, sin presiones ni consecuencias negativas por no otorgarlo
Tratar datos biométricos como datos personales ordinarios
Cuando se implementan sistemas de reconocimiento facial o huella dactilar sin consentimiento explícito
Los datos biométricos son datos sensibles que requieren protección reforzada y están prohibidos con carácter general
Pensar que los datos penales pueden tratarse con consentimiento del interesado
Cuando una empresa privada solicita antecedentes penales argumentando que tiene consentimiento
Los datos relativos a condenas e infracciones penales solo pueden ser tratados por entidades públicas, sin excepciones
Glosario
- Principio de licitud
- Exigencia de que todo tratamiento de datos personales tenga una base jurídica válida y se realice conforme a la ley.
- Principio de minimización de datos
- Obligación de recoger únicamente los datos estrictamente necesarios para la finalidad declarada, sin solicitar información adicional innecesaria.
- Consentimiento inequívoco
- Manifestación de voluntad que no deja lugar a dudas sobre la aceptación del tratamiento, mediante una declaración o acción afirmativa clara.
- Datos sensibles
- Categorías especiales de datos personales cuyo tratamiento está prohibido con carácter general: origen étnico, opiniones políticas, religión, datos biométricos, salud y orientación sexual.
- Datos biométricos
- Datos personales obtenidos de características físicas, fisiológicas o conductuales de una persona que permiten su identificación única, como huellas dactilares o reconocimiento facial.
- Responsabilidad proactiva
- Principio que obliga al responsable del tratamiento a demostrar activamente el cumplimiento de la normativa de protección de datos.
- Limitación de la finalidad
- Principio que establece que los datos solo pueden recogerse y tratarse para fines determinados, explícitos y legítimos, no pudiendo usarse para otros fines incompatibles.
- RGPD
- Reglamento General de Protección de Datos, normativa de la Unión Europea que regula el tratamiento de datos personales en todos los Estados miembros.
- LOPD
- Ley Orgánica de Protección de Datos, normativa española que complementa y desarrolla el RGPD en el ordenamiento jurídico español.
- Patria potestad
- Conjunto de derechos y deberes que la ley otorga a los padres sobre sus hijos menores no emancipados, incluyendo la capacidad de otorgar consentimiento en su nombre.
Preguntas frecuentes
¿Cuáles son los siete principios fundamentales de la protección de datos?
Licitud-lealtad-transparencia, limitación de finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad-confidencialidad y responsabilidad proactiva.
Estos principios están recogidos tanto en el RGPD europeo como en la LOPD española en términos idénticos. Establecen que los datos deben tratarse de forma legal y transparente, solo para fines específicos, recogiendo solo lo necesario, manteniéndolos exactos, no conservándolos más tiempo del necesario, garantizando su seguridad y pudiendo demostrar el cumplimiento.
¿Qué requisitos debe cumplir el consentimiento para ser válido?
Debe ser libre, específico, informado e inequívoco.
Libre significa sin presión ni consecuencias negativas por no darlo. Específico implica que se da para una finalidad concreta. Informado requiere que el interesado conozca quién tratará sus datos y para qué. Inequívoco exige que quede claro que se está otorgando el consentimiento, mediante una acción afirmativa.
¿A qué edad puede un menor dar su consentimiento para el tratamiento de datos en España?
A los 14 años. Por debajo de esta edad, deben consentir los padres o tutores.
El RGPD establece 16 años como regla general, pero permite a los Estados miembros reducirla hasta un mínimo de 13 años. España ha fijado este umbral en 14 años mediante su normativa interna. Otros países como Francia y Países Bajos lo fijan en 15 años, y Alemania en 16 años.
¿Por qué ya no son válidas las casillas premarcadas para obtener consentimiento?
Porque el consentimiento debe ser inequívoco, requiriendo una acción afirmativa clara del usuario.
Las casillas premarcadas no demuestran que el usuario haya tomado una decisión consciente de aceptar el tratamiento. Por eso la normativa actual exige que el usuario realice una acción positiva, como marcar una casilla vacía o hacer clic en un botón de aceptar.
¿Qué son los datos sensibles y cuáles están incluidos?
Son categorías especiales de datos cuyo tratamiento está prohibido: origen étnico, opiniones políticas, religión, sindicación, datos biométricos, salud y orientación sexual.
El artículo 9 del RGPD prohíbe con carácter general el tratamiento de estos datos por su especial sensibilidad. Solo pueden tratarse en casos excepcionales, como cuando el interesado da su consentimiento explícito o cuando es necesario para proteger intereses vitales.
¿Puede una empresa privada usar sistemas de fichaje por huella dactilar?
No, el Tribunal de Justicia de la UE ha declarado ilegal esta práctica por tratarse de datos biométricos.
Las huellas dactilares son datos biométricos, considerados datos sensibles cuyo tratamiento está prohibido. El TJUE resolvió que una empresa privada no puede tener los datos dactilares de sus empleados, por lo que muchas empresas han tenido que cambiar sus sistemas de fichaje.
¿Es válido condicionar un servicio o beneficio a que el usuario acepte el tratamiento de sus datos?
No, el consentimiento debe ser libre, sin presiones ni consecuencias negativas por no otorgarlo.
Si una empresa condiciona un descuento, un vídeo o cualquier beneficio a que el usuario acepte suscribirse a una newsletter o ceder sus datos, ese consentimiento no es libre y por tanto no es válido. Esta práctica es ilegal según la normativa de protección de datos.
¿Quién puede tratar datos relativos a condenas e infracciones penales?
Únicamente las entidades públicas. Las empresas privadas no pueden tratar estos datos bajo ninguna circunstancia.
El artículo 10 del RGPD establece un régimen aún más restrictivo para los datos penales que para los datos sensibles ordinarios. Mientras que los datos sensibles pueden tratarse con consentimiento explícito, los datos penales solo pueden ser tratados por administraciones públicas.
¿Qué significa el principio de minimización de datos en la práctica?
Solo deben recogerse los datos estrictamente necesarios para la finalidad declarada.
Si una empresa quiere enviar publicidad por email, solo necesita el correo electrónico. No tiene justificación para pedir también el DNI, la dirección física o el número de tarjeta. Solicitar más datos de los necesarios vulnera este principio.
¿Por qué las páginas web ahora muestran múltiples casillas de aceptación en lugar de una sola?
Porque el consentimiento debe ser específico para cada finalidad, no puede ser genérico para todo.
Antes, una única casilla de 'acepto los términos y condiciones' servía para todo. Ahora se exige que el usuario consienta de forma separada para cada finalidad: términos del servicio, política de privacidad, cesión a terceros, envío de publicidad, etc. Esto garantiza que el consentimiento sea específico e informado.
Artículos relacionados
Impuesto sobre Sociedades: Pagos fraccionados, contribuyentes y valoración patrimonial
Guía práctica sobre los aspectos más preguntados del Impuesto sobre Sociedades en oposiciones: pagos fraccionados, contribuyentes y valoración de elementos patrimoniales.
Preguntas de examen sobre recursos y reclamaciones tributarias
Resolución de preguntas tipo test sobre procedimientos de revisión tributaria: recurso de reposición, nulidad de pleno derecho y legitimación en embargos.
Procedimiento de apremio y embargo en la recaudación tributaria
Guía sobre el procedimiento de apremio: desde la providencia de apremio hasta el embargo y enajenación de bienes para cobrar deudas tributarias.
Criterios de clasificación y registro de accidentes de tráfico y víctimas
Guía completa sobre los criterios que definen un accidente de tráfico, clasificación de víctimas y requisitos de registro de datos para la Policía Municipal de Madrid.
Registro Nacional de Víctimas de Accidentes de Tráfico: Artículos 114 y 115
El Registro Nacional de Víctimas de Accidentes de Tráfico está regulado por el RDL 6/2015, artículos 114 (creación) y 115 (finalidad y protección de datos).
Extinción de la Deuda Tributaria: Prescripción, Compensación y Otras Causas
Análisis de los métodos legales de extinción de la deuda tributaria distintos al pago: prescripción, compensación, deducción sobre transferencias y condonación.
¿Quieres aprender más sobre este tema?
Este contenido es parte del curso Administrativo del Estado de Oposiciones Ucademy. Contacta con nosotros para más información o descarga este artículo en PDF.