Principios Fundamentales de la Protección de Datos Personales
Respuesta rápida
Los principios de protección de datos son: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; y responsabilidad proactiva. El consentimiento debe ser libre, específico, informado e inequívoco. En España, los menores de 14 años no pueden dar su consentimiento para el tratamiento de sus datos.
Puntos clave
Seis principios fundamentales
Licitud, lealtad y transparencia; limitación de finalidad; minimización; exactitud; limitación del plazo; responsabilidad proactiva.
Consentimiento válido
Debe ser libre, específico, informado e inequívoco. Las casillas premarcadas no son válidas.
Menores en España
Los menores de 14 años no pueden dar su consentimiento; debe otorgarlo quien tenga la patria potestad.
Datos sensibles
Origen étnico, opiniones políticas, datos biométricos, etc. No pueden tratarse salvo excepciones específicas.
Datos de condenas penales
Solo las administraciones públicas pueden tratarlos. No hay excepciones para entidades privadas.
Fichaje por huella: ilegal
El TJUE declaró ilegal el fichaje biométrico en empresas privadas por tratarse de datos sensibles.
Paso a paso
Identificar si el tratamiento de datos cumple con licitud, lealtad y transparencia
Verificar que los datos se recogen solo para fines específicos, legítimos y conocidos
Aplicar el principio de minimización: recoger solo los datos necesarios
Obtener consentimiento libre, específico, informado e inequívoco
Verificar la edad del interesado si puede ser menor
Ejemplos resueltos
Problema 1Una empresa de actividades acuáticas ofrece pasar un vídeo grabado al cliente solo si se suscribe a su newsletter y deja una reseña en Google. ¿Es válido este consentimiento?
Una empresa de actividades acuáticas ofrece pasar un vídeo grabado al cliente solo si se suscribe a su newsletter y deja una reseña en Google. ¿Es válido este consentimiento?
Solución:
- 1Analizar si el consentimiento es libre: el cliente se ve presionado para obtener el vídeo
- 2Verificar si hay consecuencias negativas: sin suscripción ni reseña, no hay vídeo
- 3Comprobar si el consentimiento es específico: se mezclan finalidades (vídeo, newsletter, reseña)
- 4Conclusión: el consentimiento NO es libre porque está condicionado a acciones adicionales
El consentimiento es inválido porque no cumple el requisito de ser libre. Condicionar la entrega del vídeo a suscribirse a la newsletter y dejar una reseña es ilegal desde el punto de vista de la protección de datos.
Verificación: Un consentimiento válido debe poder darse sin presiones ni consecuencias negativas si no se otorga
Problema 2Un menor de 13 años quiere registrarse en una red social en España. ¿Puede hacerlo por sí mismo?
Un menor de 13 años quiere registrarse en una red social en España. ¿Puede hacerlo por sí mismo?
Solución:
- 1Identificar la normativa aplicable: LOPDGDD en España
- 2Verificar la edad mínima establecida: 14 años en España
- 3Comparar: 13 años < 14 años
- 4El menor no tiene capacidad para consentir por sí mismo
No puede registrarse por sí mismo. El consentimiento debe ser otorgado por sus padres o tutores (personas con patria potestad, tutela o curatela).
Verificación: En España la edad mínima es 14 años; en otros países de la UE puede variar entre 13 y 16 años
Problema 3Una empresa privada quiere implementar un sistema de fichaje por huella dactilar. ¿Es legal?
Una empresa privada quiere implementar un sistema de fichaje por huella dactilar. ¿Es legal?
Solución:
- 1Identificar el tipo de dato: la huella dactilar es un dato biométrico
- 2Verificar si los datos biométricos son datos sensibles: sí, según el artículo 9 del RGPD
- 3Comprobar si existe una excepción aplicable para empresas privadas
- 4El Tribunal de Justicia Europea declaró ilegal este sistema
No es legal. Los datos biométricos son datos sensibles que no pueden tratarse con carácter general. El TJUE ha declarado ilegal el fichaje por huella en empresas privadas.
Verificación: Por esto, muchas empresas han dejado de fichar con huella y usan otros métodos
Principios Fundamentales de la Protección de Datos Personales
Introducción
La protección de datos personales se fundamenta en una serie de principios que deben respetarse en cualquier tratamiento de información personal. Estos principios están recogidos tanto en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea como en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) de España, y establecen las bases para un tratamiento legal, ético y responsable de los datos.
Los Seis Principios de la Protección de Datos
1. Licitud, Lealtad y Transparencia
El tratamiento de datos personales debe realizarse de forma legal, leal y transparente. Esto significa que quien trate datos debe tener una base legal para hacerlo, debe actuar de buena fe y debe informar claramente al interesado sobre cómo se utilizarán sus datos.
2. Limitación de la Finalidad
Los datos personales solo pueden recogerse para fines específicos, explícitos y legítimos. No está permitido utilizar los datos para finalidades diferentes a las que se informó al interesado en el momento de la recogida. Por ejemplo, si una empresa recoge tu correo electrónico para enviarte un pedido, no puede usar ese correo para enviarte publicidad sin tu consentimiento específico para ello.
3. Minimización de Datos
Este principio establece que solo deben recogerse los datos que sean adecuados, pertinentes y limitados a lo necesario para la finalidad del tratamiento. Un ejemplo práctico: si una empresa quiere enviarte publicidad por correo electrónico, solo necesita tu dirección de email, no tu DNI ni tu dirección postal.
4. Exactitud
Los datos personales deben ser exactos y, si es necesario, actualizados. El responsable del tratamiento debe tomar medidas razonables para que los datos inexactos se supriman o rectifiquen sin dilación.
5. Limitación del Plazo de Conservación
Los datos no pueden conservarse durante más tiempo del necesario para los fines del tratamiento. Una vez cumplida la finalidad, deben eliminarse o anonimizarse.
6. Responsabilidad Proactiva
El responsable del tratamiento debe ser capaz de demostrar activamente el cumplimiento de todos estos principios. No basta con cumplirlos; hay que poder probarlo.
El Consentimiento: Requisitos Fundamentales
Uno de los aspectos más importantes de la protección de datos es el consentimiento. Para que sea válido, debe cumplir cuatro requisitos esenciales:
Libre
El consentimiento debe otorgarse sin ningún tipo de presión ni consecuencias negativas si no se da. Un caso de consentimiento no libre sería una empresa de actividades acuáticas que condiciona la entrega de un vídeo grabado a que el cliente se suscriba a su newsletter y deje una reseña en Google. Este tipo de prácticas son ilegales porque el consentimiento no es libre.
Específico
El consentimiento debe darse para una finalidad concreta. Por eso, actualmente los formularios web incluyen múltiples casillas separadas: una para aceptar los términos del servicio, otra para la política de privacidad, otra para la cesión de datos a terceros, etc.
Informado
El interesado debe conocer quién tratará sus datos, para qué, en qué términos y qué derechos tiene. Sin esta información, el consentimiento no es válido.
Inequívoco
Debe quedar claro que se ha dado el consentimiento. Por esto:
- Las casillas premarcadas no son válidas: el usuario debe marcarlas activamente.
- El sistema de "seguir navegando implica consentimiento" ya no se permite: las webs deben mostrar un aviso con un botón de aceptar.
Consentimiento de Menores de Edad
La capacidad de los menores para consentir el tratamiento de sus datos está regulada con especial atención:
| Normativa | Edad mínima |
|---|---|
| RGPD (general) | 16 años |
| España (LOPDGDD) | 14 años |
| Francia y Países Bajos | 15 años |
| Alemania | 16 años |
| Suecia | 13 años |
El RGPD establece 16 años como regla general, pero permite a los Estados miembros reducirla hasta un mínimo de 13 años. España ha fijado esta edad en 14 años.
Por debajo de esta edad, el consentimiento debe ser otorgado por quien tenga la patria potestad, tutela o curatela del menor.
Datos Sensibles: Categorías Especiales
El artículo 9 del RGPD define las categorías especiales de datos que gozan de protección reforzada:
- Origen étnico o racial
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos (huellas dactilares, reconocimiento facial)
- Datos de salud
- Datos sobre vida u orientación sexual
Regla General: Prohibición de Tratamiento
Como regla general, estos datos no pueden tratarse. Esta prohibición protege los aspectos más íntimos de la persona.
Excepciones
El artículo 9.2 establece algunas excepciones:
- Consentimiento explícito: Si el interesado da su consentimiento de forma expresa.
- Intereses vitales: Cuando sea necesario para proteger intereses vitales de la persona (ejemplo: conocer el grupo sanguíneo para una transfusión urgente).
- Datos manifiestamente públicos: Si la propia persona ha hecho públicos esos datos (ejemplo: publicar tu afiliación sindical en redes sociales).
Caso Práctico: Fichaje por Huella Dactilar
El Tribunal de Justicia de la Unión Europea declaró ilegal el sistema de fichaje por huella dactilar en empresas privadas. Las huellas dactilares son datos biométricos y, por tanto, datos sensibles que no pueden tratarse sin una excepción válida. Por este motivo, muchas empresas han tenido que cambiar a otros sistemas de fichaje.
Datos de Condenas e Infracciones Penales
El artículo 10 del RGPD establece una protección aún más restrictiva para los datos relativos a condenas e infracciones penales:
- No existen las excepciones que sí existen para los datos sensibles.
- Solo pueden ser tratados por administraciones públicas.
- Las entidades privadas no pueden tratar estos datos bajo ninguna circunstancia.
Esta restricción absoluta refleja la especial sensibilidad de la información relativa al historial delictivo de las personas.
Aplicación Práctica en el Entorno Digital
La evolución de la normativa ha provocado cambios significativos en cómo las páginas web gestionan los datos:
Antes
- Una única casilla de "acepto las condiciones"
- Casillas premarcadas
- "Si sigues navegando, aceptas las cookies"
Ahora
- Múltiples casillas separadas para cada finalidad
- El usuario debe marcar activamente cada casilla
- Banners de cookies con botón de aceptar obligatorio
- Opción de aceptar solo cookies esenciales
Estos cambios responden a la necesidad de garantizar que el consentimiento sea verdaderamente libre, específico, informado e inequívoco.
Conclusiones
Los principios de protección de datos establecen un marco garantista para el tratamiento de información personal. Aunque en la práctica su cumplimiento puede ser mejorable, constituyen la base legal sobre la que se construye todo el sistema de protección de datos tanto en España como en la Unión Europea.
Para las oposiciones, es fundamental recordar:
- Los seis principios: licitud, lealtad y transparencia; limitación de la finalidad; minimización; exactitud; limitación del plazo; responsabilidad proactiva.
- Los cuatro requisitos del consentimiento: libre, específico, informado e inequívoco.
- La edad de consentimiento en España: 14 años.
- La diferencia entre datos sensibles (con excepciones) y datos de condenas penales (solo administraciones públicas).
Errores comunes
Confundir la edad de consentimiento del RGPD (16 años) con la de España (14 años)
Cuando la pregunta especifica 'en España' se aplica la LOPDGDD con 14 años
Recordar: RGPD = 16 años (mínimo reducible a 13); España = 14 años
Pensar que las casillas premarcadas son consentimiento válido
Si el usuario no realiza una acción afirmativa, no hay consentimiento inequívoco
El consentimiento debe ser una acción afirmativa clara del interesado
Creer que 'seguir navegando' equivale a consentimiento
Las webs que usaban este sistema han sido obligadas a cambiar
Se requiere una acción específica como hacer clic en 'Aceptar'
Pensar que los datos de condenas penales pueden tratarse con consentimiento
Estos datos tienen restricción absoluta para entidades privadas
Solo las administraciones públicas pueden tratar datos de condenas e infracciones penales
Confundir datos sensibles con datos de condenas penales
Los datos sensibles tienen excepciones; los de condenas son más restrictivos
Datos sensibles (art. 9): excepciones con consentimiento explícito. Datos penales (art. 10): solo entidades públicas
Glosario
- Consentimiento
- Manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta el tratamiento de sus datos personales.
- Datos biométricos
- Datos personales obtenidos de características físicas, fisiológicas o conductuales de una persona que permiten su identificación única, como huellas dactilares o reconocimiento facial.
- Datos sensibles
- Categorías especiales de datos que incluyen origen étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos y de salud.
- Minimización de datos
- Principio que establece que solo deben recogerse los datos estrictamente necesarios para la finalidad del tratamiento.
- Responsabilidad proactiva
- Obligación del responsable del tratamiento de demostrar activamente el cumplimiento de la normativa de protección de datos.
- RGPD
- Reglamento General de Protección de Datos de la Unión Europea, norma que regula el tratamiento de datos personales en todos los Estados miembros.
- LOPDGDD
- Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, norma española que complementa y desarrolla el RGPD.
- Patria potestad
- Conjunto de derechos y deberes que la ley confiere a los padres sobre sus hijos menores no emancipados.
- Cookies
- Archivos que almacenan información sobre el historial de navegación del usuario en sitios web.
Preguntas frecuentes
¿Cuáles son los principios de la protección de datos?
Licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; y responsabilidad proactiva.
Estos principios están recogidos tanto en el RGPD europeo como en la LOPDGDD española. Establecen que los datos deben tratarse de forma legal y transparente, para fines específicos y legítimos, recogiendo solo los necesarios, manteniéndolos exactos y actualizados, sin conservarlos más tiempo del necesario, y demostrando activamente el cumplimiento de la normativa.
¿Qué requisitos debe cumplir el consentimiento para ser válido?
Debe ser libre, específico, informado e inequívoco.
Libre significa sin presión ni consecuencias negativas si no se da. Específico implica que se otorga para una finalidad concreta. Informado requiere que el interesado conozca quién tratará sus datos, para qué y en qué términos. Inequívoco significa que debe quedar claro que se ha dado el consentimiento, mediante una acción afirmativa.
¿A qué edad puede un menor dar su consentimiento en España?
A partir de los 14 años.
El RGPD establece 16 años como edad general, pero permite a los Estados miembros reducirla hasta un mínimo de 13 años. España ha fijado esta edad en 14 años mediante la LOPDGDD. Por debajo de esta edad, el consentimiento debe ser otorgado por padres o tutores.
¿Por qué las casillas premarcadas no son consentimiento válido?
Porque el consentimiento debe ser inequívoco, requiriendo una acción afirmativa del usuario.
Las casillas premarcadas no cumplen el requisito de consentimiento inequívoco porque el usuario no realiza ninguna acción para manifestar su voluntad. Por eso, actualmente los formularios web exigen que el usuario marque activamente cada casilla de consentimiento.
¿Qué son los datos sensibles y cuáles son?
Son categorías especiales de datos con protección reforzada: origen étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos y de salud.
Estos datos están regulados en el artículo 9 del RGPD y, como regla general, no pueden tratarse. Existen excepciones, como cuando el interesado da su consentimiento explícito o cuando es necesario para salvaguardar intereses vitales de la persona.
¿Es legal que una empresa use el fichaje por huella dactilar?
No, el Tribunal de Justicia de la UE lo ha declarado ilegal.
Las huellas dactilares son datos biométricos, considerados datos sensibles. El TJUE resolvió que una empresa privada no puede tratar los datos dactilares de sus empleados para fichaje, por lo que muchas empresas han tenido que cambiar a otros sistemas.
¿Pueden tratarse los datos de condenas e infracciones penales?
Solo las administraciones públicas pueden tratarlos.
El artículo 10 del RGPD establece que los datos relativos a condenas e infracciones penales tienen una restricción más severa que los datos sensibles. A diferencia de estos, no existen excepciones que permitan su tratamiento por entidades privadas, ni siquiera con consentimiento explícito.
¿Qué diferencia hay entre la edad de consentimiento en España y otros países de la UE?
Varía según el país: España 14 años, Francia y Países Bajos 15, Alemania 16, Suecia 13.
El RGPD permite a cada Estado miembro fijar la edad entre 13 y 16 años. Cada país ha elegido una edad diferente dentro de este rango, por lo que la capacidad de los menores para consentir el tratamiento de sus datos varía según el país.
Artículos relacionados
Impuesto sobre Sociedades: Pagos fraccionados, contribuyentes y valoración patrimonial
Guía práctica sobre los aspectos más preguntados del Impuesto sobre Sociedades en oposiciones: pagos fraccionados, contribuyentes y valoración de elementos patrimoniales.
Preguntas de examen sobre recursos y reclamaciones tributarias
Resolución de preguntas tipo test sobre procedimientos de revisión tributaria: recurso de reposición, nulidad de pleno derecho y legitimación en embargos.
Procedimiento de apremio y embargo en la recaudación tributaria
Guía sobre el procedimiento de apremio: desde la providencia de apremio hasta el embargo y enajenación de bienes para cobrar deudas tributarias.
Criterios de clasificación y registro de accidentes de tráfico y víctimas
Guía completa sobre los criterios que definen un accidente de tráfico, clasificación de víctimas y requisitos de registro de datos para la Policía Municipal de Madrid.
Registro Nacional de Víctimas de Accidentes de Tráfico: Artículos 114 y 115
El Registro Nacional de Víctimas de Accidentes de Tráfico está regulado por el RDL 6/2015, artículos 114 (creación) y 115 (finalidad y protección de datos).
Extinción de la Deuda Tributaria: Prescripción, Compensación y Otras Causas
Análisis de los métodos legales de extinción de la deuda tributaria distintos al pago: prescripción, compensación, deducción sobre transferencias y condonación.
¿Quieres aprender más sobre este tema?
Este contenido es parte del curso Auxiliar Administrativo del Estado de Oposiciones Ucademy. Contacta con nosotros para más información o descarga este artículo en PDF.