Más
Navegación
CAPÍTULO I Disposiciones generales (1-4)
Artículo 1. Objeto
Artículo 2. Ámbito de aplicación material
Artículo 3. Ámbito territorialArtículo 4. Definiciones
CAPÍTULO II Principios (5-11)
Artículo 5. Principios relativos al tratamientoArtículo 6. Licitud del tratamientoArtículo 7. Condiciones para el consentimientoArtículo 8. Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la informaciónArtículo 9. Tratamiento de categorías especiales de datos personalesArtículo 10. Tratamiento de datos personales relativos a condenas e infracciones penalesArtículo 11. Tratamiento que no requiere identificación
CAPÍTULO III Derechos del interesado (12-23)
Artículo 12. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesadoArtículo 13. Información que deberá facilitarse cuando los datos personales se obtengan del interesadoArtículo 14. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesadoArtículo 15. Derecho de acceso del interesadoArtículo 16. Derecho de rectificaciónArtículo 17. Derecho de supresión («el derecho al olvido»)Artículo 18. Derecho a la limitación del tratamientoArtículo 19. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamientoArtículo 20. Derecho a la portabilidad de los datosArtículo 21. Derecho de oposiciónArtículo 22. Decisiones individuales automatizadas, incluida la elaboración de perfilesArtículo 23. Limitaciones
CAPÍTULO IV Responsable del tratamiento y encargado del tratamiento (24-43)
Artículo 24. ObjetoArtículo 25. Protección de datos desde el diseño y por defectoArtículo 26. Corresponsables del tratamientoArtículo 27. Representantes de responsables o encargados del tratamiento no establecidos en la UniónArtículo 28. Encargado del tratamientoArtículo 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamientoArtículo 30. Registro de las actividades de tratamientoArtículo 31. Cooperación con la autoridad de controlArtículo 32. Seguridad del tratamientoArtículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de controlArtículo 34. Comunicación de una violación de la seguridad de los datos personales al interesadoArtículo 35. Evaluación de impacto relativa a la protección de datosArtículo 36. Consulta previaArtículo 37. Designación del delegado de protección de datosArtículo 38. Posición del delegado de protección de datosArtículo 39. Funciones del delegado de protección de datosArtículo 40. Códigos de conductaArtículo 41. Supervisión de códigos de conducta aprobadosArtículo 42. CertificaciónArtículo 43. Organismo de certificación
CAPÍTULO V Transferencias de datos personales a terceros países u organizaciones internacionales (44-50)
Artículo 44. Principio general de las transferenciasArtículo 45. Transferencias basadas en una decisión de adecuaciónArtículo 46. Transferencias mediante garantías adecuadasArtículo 47. Normas corporativas vinculantesArtículo 48. Transferencias o comunicaciones no autorizadas por el Derecho de la UniónArtículo 49. Excepciones para situaciones específicasArtículo 50. Cooperación internacional en el ámbito de la protección de datos personales
CAPÍTULO VI Autoridades de control independientes (51-59)
Artículo 51. Autoridad de controlArtículo 52. IndependenciaArtículo 53. Condiciones generales aplicables a los miembros de la autoridad de controlArtículo 54. Normas relativas al establecimiento de la autoridad de controlArtículo 55. CompetenciaArtículo 56. Competencia de la autoridad de control principalArtículo 57. FuncionesArtículo 58. PoderesArtículo 59. Informe de actividad
CAPÍTULO VII Cooperación y coherencia (60-70)
Artículo 60. Cooperación entre la autoridad de control principal y las demás autoridades de control interesadasArtículo 61. Asistencia mutuaArtículo 62. Operaciones conjuntas de las autoridades de controlArtículo 63. Mecanismo de coherenciaArtículo 64. Dictamen del ComitéArtículo 65. Resolución de conflictos por el ComitéArtículo 66. Procedimiento de urgenciaArtículo 67. Intercambio de informaciónArtículo 68. Comité Europeo de Protección de DatosArtículo 69. IndependenciaArtículo 70. Funciones del ComitéArtículo 71. InformesArtículo 72. ProcedimientoArtículo 73. PresidenciaArtículo 74. Funciones del presidenteArtículo 75. SecretaríaArtículo 76. Confidencialidad
CAPÍTULO VIII Recursos, responsabilidad y sanciones (77-84)
Artículo 77. Derecho a presentar una reclamación ante una autoridad de controlArtículo 78. Derecho a la tutela judicial efectiva contra una autoridad de controlArtículo 79. Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamientoArtículo 80. Representación de los interesadosArtículo 81. Suspensión de los procedimientosArtículo 82. Derecho a indemnización y responsabilidadArtículo 83. Condiciones generales para la imposición de multas administrativasArtículo 84. Sanciones
CAPÍTULO IX Disposiciones relativas a situaciones específicas de tratamiento (85-91)
Artículo 85. Tratamiento y libertad de expresión y de informaciónArtículo 86. Tratamiento y acceso del público a documentos oficialesArtículo 87. Tratamiento del número nacional de identificaciónArtículo 88. Tratamiento en el ámbito laboralArtículo 89. Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticosArtículo 90. Obligaciones de secretoArtículo 91. Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas
CAPÍTULO X Actos delegados y actos de ejecución (92-93)
Artículo 92. Ejercicio de la delegaciónArtículo 93. Procedimiento de comité
CAPÍTULO XI Disposiciones finales (94-95)
Artículo 94. Derogación de la Directiva 95/46/CEArtículo 95. Relación con la Directiva 2002/58/CEArtículo 96. Relación con acuerdos celebrados anteriormenteArtículo 97. Informes de la ComisiónArtículo 98. Revisión de otros actos jurídicos de la Unión en materia de protección de datosArtículo 99. Entrada en vigor y aplicación
RGPD > Artículo 2. Ámbito de aplicación material
Descargar PDF

Artículo 2 RGPD. Ámbito de aplicación material

1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Comentario de expertos Ley de Directrices y caso Considerandos
Comentario de expertos

(EN) This article limits the scope of the GDPR. The European legislators have decided not to burden the majority of the population with numerous rules in the household and private life. They removed from the Regulation the processes of processing that do not pose a big threat (not automated processing where personal data is not collected in the system).

The combination “automated means” covers primarily…


para acceder al texto completo

(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
(EN) Ask a question
Ley de Directrices y caso Considerandos

(15) A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento.

2. El presente Reglamento no se aplica al tratamiento de datos personales:

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

Considerandos
Considerandos

(16) El presente Reglamento no se aplica a cuestiones de protección de los derechos y las libertades fundamentales o la libre circulación de datos personales relacionadas con actividades excluidas del ámbito de del Derecho de la Unión, como las actividades relativas a la seguridad nacional. Tampoco se aplica al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades relacionadas con la política exterior y de seguridad común de la Unión.

b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

Ley de Directrices y caso Considerandos
Ley de Directrices y caso Considerandos

(18) El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.

d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

Considerandos
Considerandos

(19) La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines. No obstante, los datos personales tratados por las autoridades públicas en aplicación del presente Reglamento deben, si se destinan a tales fines, regirse por un acto jurídico de la Unión más específico, concretamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo [7]. Los Estados miembros pueden encomendar a las autoridades competentes, tal como se definen en la Directiva (UE) 2016/680, funciones que no se lleven a cabo necesariamente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluida la protección frente a las amenazas a la seguridad pública y su prevención, de tal forma que el tratamiento de datos personales para estos otros fines, en la medida en que esté incluido en el ámbito del Derecho de la Unión, entra en el ámbito de aplicación del presente Reglamento.

En lo que respecta al tratamiento de datos personales por parte de dichas autoridades competentes con fines que entren en el ámbito de aplicación del presente Reglamento, los Estados miembros deben tener la posibilidad de mantener o introducir disposiciones más específicas para adaptar la aplicación de las normas del presente Reglamento. Tales disposiciones pueden establecer de forma más precisa requisitos concretos para el tratamiento de datos personales con otros fines por parte de dichas autoridades competentes, tomando en consideración la estructura constitucional, organizativa y administrativa del Estado miembro en cuestión. Cuando el tratamiento de datos personales por organismos privados entre en el ámbito de aplicación del presente Reglamento, este debe disponer que los Estados miembros puedan, en condiciones específicas, limitar conforme a Derecho determinadas obligaciones y derechos siempre que dicha limitación sea una medida necesaria y proporcionada en una sociedad democrática para proteger intereses específicos importantes, entre ellos la seguridad pública y la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la protección frente a las amenazas contra la seguridad pública y su prevención. Esto se aplica, por ejemplo, en el marco de la lucha contra el blanqueo de capitales o de las actividades de los laboratorios de policía científica.

[7] Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (véase la página 89 del presente Diario Oficial).

3. El Reglamento (CE) n.o 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.

Considerandos
Considerandos

(17) El Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo [6] se aplica al tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal deben adaptarse a los principios y normas establecidos en el presente Reglamento y aplicarse a la luz del mismo. A fin de establecer un marco sólido y coherente en materia de protección de datos en la Unión, una vez adoptado el presente Reglamento deben introducirse las adaptaciones necesarias del Reglamento (CE) n.o 45/2001, con el fin de que pueda aplicarse al mismo tiempo que el presente Reglamento.

[6] Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2001:008:TOC

(172) De conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001, se consultó al Supervisor Europeo de Protección de Datos, y éste emitió su dictamen el 7 de marzo de 2012 [17].

[17] DO C 192 de 30.6.2012, p. 7. https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:C:2012:192:TOC

4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15.

Considerandos
Considerandos

(21) El presente Reglamento debe entenderse sin perjuicio de la aplicación de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo [8], en particular de las normas en materia de responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15. El objetivo de dicha Directiva es contribuir al correcto funcionamiento del mercado interior garantizando la libre circulación de los servicios de la sociedad de la información entre los Estados miembros.

[8] Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2000:178:TOC

Reglamento general de protección de datos (RGPD)

Comentario de expertos Considerandos Ley de Directrices y caso Deja un comentario
Comentario de expertos

(EN)

Article 2 of the GDPR limits its scope and excludes many common situations from the obligation to comply with the law. European legislators decided not to impose numerous rules on most individuals within their household and private lives. They excluded …


para acceder al texto completo

Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
(EN) Ask a question
Considerandos

(14) La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

(15) A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento.

(16) El presente Reglamento no se aplica a cuestiones de protección de los derechos y las libertades fundamentales o la libre circulación de datos personales relacionadas con actividades excluidas del ámbito de del Derecho de la Unión, como las actividades relativas a la seguridad nacional. Tampoco se aplica al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades relacionadas con la política exterior y de seguridad común de la Unión.

(17) El Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo [6] se aplica al tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal deben adaptarse a los principios y normas establecidos en el presente Reglamento y aplicarse a la luz del mismo. A fin de establecer un marco sólido y coherente en materia de protección de datos en la Unión, una vez adoptado el presente Reglamento deben introducirse las adaptaciones necesarias del Reglamento (CE) n.o 45/2001, con el fin de que pueda aplicarse al mismo tiempo que el presente Reglamento.

[6] Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2001:008:TOC

(18) El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.

(19) La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines. No obstante, los datos personales tratados por las autoridades públicas en aplicación del presente Reglamento deben, si se destinan a tales fines, regirse por un acto jurídico de la Unión más específico, concretamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo [7]. Los Estados miembros pueden encomendar a las autoridades competentes, tal como se definen en la Directiva (UE) 2016/680, funciones que no se lleven a cabo necesariamente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluida la protección frente a las amenazas a la seguridad pública y su prevención, de tal forma que el tratamiento de datos personales para estos otros fines, en la medida en que esté incluido en el ámbito del Derecho de la Unión, entra en el ámbito de aplicación del presente Reglamento.

En lo que respecta al tratamiento de datos personales por parte de dichas autoridades competentes con fines que entren en el ámbito de aplicación del presente Reglamento, los Estados miembros deben tener la posibilidad de mantener o introducir disposiciones más específicas para adaptar la aplicación de las normas del presente Reglamento. Tales disposiciones pueden establecer de forma más precisa requisitos concretos para el tratamiento de datos personales con otros fines por parte de dichas autoridades competentes, tomando en consideración la estructura constitucional, organizativa y administrativa del Estado miembro en cuestión. Cuando el tratamiento de datos personales por organismos privados entre en el ámbito de aplicación del presente Reglamento, este debe disponer que los Estados miembros puedan, en condiciones específicas, limitar conforme a Derecho determinadas obligaciones y derechos siempre que dicha limitación sea una medida necesaria y proporcionada en una sociedad democrática para proteger intereses específicos importantes, entre ellos la seguridad pública y la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la protección frente a las amenazas contra la seguridad pública y su prevención. Esto se aplica, por ejemplo, en el marco de la lucha contra el blanqueo de capitales o de las actividades de los laboratorios de policía científica.

[7] Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (véase la página 89 del presente Diario Oficial).

(20) Aunque el presente Reglamento se aplica, entre otras, a las actividades de los tribunales y otras autoridades judiciales, en virtud del Derecho de la Unión o de los Estados miembros pueden especificarse las operaciones de tratamiento y los procedimientos de tratamiento en relación con el tratamiento de datos personales por los tribunales y otras autoridades judiciales. A fin de preservar la independencia del poder judicial en el desempeño de sus funciones, incluida la toma de decisiones, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los tribunales actúen en ejercicio de su función judicial. El control de esas operaciones de tratamiento de datos ha de poder encomendarse a organismos específicos establecidos dentro del sistema judicial del Estado miembro, los cuales deben, en particular, garantizar el cumplimiento de las normas del presente Reglamento, concienciar más a los miembros del poder judicial acerca de sus obligaciones en virtud de este y atender las reclamaciones en relación con tales operaciones de tratamiento de datos.

(21) El presente Reglamento debe entenderse sin perjuicio de la aplicación de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo [8], en particular de las normas en materia de responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15. El objetivo de dicha Directiva es contribuir al correcto funcionamiento del mercado interior garantizando la libre circulación de los servicios de la sociedad de la información entre los Estados miembros.

[8] Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2000:178:TOC

Ley de Directrices y caso Deja un comentario
[js-disqus]