En la empresa Traneco siempre estamos al dia en el cumplimiento de la ley, es compleja y requiere de certificados y procedimientos legales, para cumplir con la RGPD de 2016, que entro en vigor en 2018. En nuestro blog de actualidad, iremos poniendo poco a poco la normativa que esta inscrita en el BOE (boletín oficial del estado). «BOE» núm. 294, de 6 de diciembre de 2018, páginas 119788 a 119857 (70 págs.) con referencia: BOE-A-2018-16673

Nos dedicamos a la destrucción de documentos de forma profesional con certificado oficial, garantizando la confidencialidad a cualquier empresa que requiera nuestros servicios.

En constante contacto con administradores concursales, para gestionar, apoyar y custodiar los documentos tanto físicos, en papel o en formato digital.

como destruir documentos en papel correctamente

como destruir documentos en papel correctamente

Si necesitas nuestros servicios de custodia de material, consulta nuestras tarifas y procedimientos que ofrecemos.

So lo que necesitas es destrucción documentos que incluyan datos personales, tanto de clientes, trabajadores, de la empresa o los tuyos propios, te garantizamos el mejor procedimiento para ello.

Tenemos un grupo de profesionales que realizan un asesoramiento completo a las empresas, servicios integrales, consulta todos los servicios que te podemos ofrecer, para ayudar a crecer tu negocio, o para ayudar a salvarlo si te encuentras en una situación delicada económicamente, cercano a la quiebra, te asesoramos ofreciéndote las mejores opciones. Puedes enviar tu consulta desde el formulario de contacto de destrucción de documentos Traneco.

I
La protección de las personas físicas en relación con el tratamiento de datos
personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución
española. De esta manera, nuestra Constitución fue pionera en el reconocimiento del
derecho fundamental a la protección de datos personales cuando dispuso que «la ley
limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar

de los ciudadanos y el pleno ejercicio de sus derechos». Se hacía así eco de los trabajos
desarrollados desde finales de la década de 1960 en el Consejo de Europa y de las pocas
disposiciones legales adoptadas en países de nuestro entorno.
El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que nos
encontramos ante un derecho fundamental a la protección de datos por el que se garantiza
a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y
destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos
de los afectados; de esta forma, el derecho a la protección de datos se configura como una
facultad del ciudadano para oponerse a que determinados datos personales sean usados
para fines distintos a aquel que justificó su obtención. Por su parte, en la
Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e
independiente que consiste en un poder de disposición y de control sobre los datos
personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un
tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también
permite al individuo saber quién posee esos datos personales y para qué, pudiendo
oponerse a esa posesión o uso.
A nivel legislativo, la concreción y desarrollo del derecho fundamental de protección de
las personas físicas en relación con el tratamiento de datos personales tuvo lugar en sus
orígenes mediante la aprobación de la Ley Orgánica 5/1992, de 29 de octubre, reguladora
del tratamiento automatizado de datos personales, conocida como LORTAD. La Ley
Orgánica 5/1992 fue reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de
protección de datos personales, a fin de trasponer a nuestro derecho a la Directiva 95/46/
CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y
a la libre circulación de estos datos. Esta ley orgánica supuso un segundo hito en la
evolución de la regulación del derecho fundamental a la protección de datos en España y
se complementó con una cada vez más abundante jurisprudencia procedente de los
órganos de la jurisdicción contencioso-administrativa.
Por otra parte, también se recoge en el artículo 8 de la Carta de los Derechos
Fundamentales de la Unión Europea y en el artículo 16.1 del Tratado de Funcionamiento de
la Unión Europea. Anteriormente, a nivel europeo, se había adoptado la Directiva 95/46/CE
citada, cuyo objeto era procurar que la garantía del derecho a la protección de datos
personales no supusiese un obstáculo a la libre circulación de los datos en el seno de la
Unión, estableciendo así un espacio común de garantía del derecho que, al propio tiempo,
asegurase que en caso de transferencia internacional de los datos, su tratamiento en el país
de destino estuviese protegido por salvaguardas adecuadas a las previstas en la propia
directiva.

II

Destruccion documentos 5
En los últimos años de la pasada década se intensificaron los impulsos tendentes a
lograr una regulación más uniforme del derecho fundamental a la protección de datos en
el marco de una sociedad cada vez más globalizada. Así, se fueron adoptando en distintas
instancias internacionales propuestas para la reforma del marco vigente. Y en este marco
la Comisión lanzó el 4 de noviembre de 2010 su Comunicación titulada «Un enfoque global
de la protección de los datos personales en la Unión Europea», que constituye el germen
de la posterior reforma del marco de la Unión Europea. Al propio tiempo, el Tribunal de
Justicia de la Unión ha venido adoptando a lo largo de los últimos años una jurisprudencia
que resulta fundamental en su interpretación.
El último hito en esta evolución tuvo lugar con la adopción del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general
de protección de datos), así como de la Directiva (UE) 2016/680 del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por parte de las autoridades competentes

para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales
o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que
se deroga la Decisión Marco 2008/977/JAI del Consejo.

 

III

Logo Transformacion ecoenergia

El Reglamento general de protección de datos pretende con su eficacia directa superar
los obstáculos que impidieron la finalidad armonizadora de la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de esos datos. La transposición de la directiva por los Estados miembros se ha
plasmado en un mosaico normativo con perfiles irregulares en el conjunto de la Unión
Europea lo que, en último extremo, ha conducido a que existan diferencias apreciables en
la protección de los derechos de los ciudadanos.
Asimismo, se atiende a nuevas circunstancias, principalmente el aumento de los flujos
transfronterizos de datos personales como consecuencia del funcionamiento del mercado
interior, los retos planteados por la rápida evolución tecnológica y la globalización, que ha
hecho que los datos personales sean el recurso fundamental de la sociedad de la
información. El carácter central de la información personal tiene aspectos positivos, porque
permite nuevos y mejores servicios, productos o hallazgos científicos. Pero tiene también
riesgos, pues las informaciones sobre los individuos se multiplican exponencialmente, son
más accesibles, por más actores, y cada vez son más fáciles de procesar mientras que es
más difícil el control de su destino y uso.
El Reglamento general de protección de datos supone la revisión de las bases legales
del modelo europeo de protección de datos más allá de una mera actualización de la
vigente normativa. Procede a reforzar la seguridad jurídica y transparencia a la vez que
permite que sus normas sean especificadas o restringidas por el Derecho de los Estados
miembros en la medida en que sea necesario por razones de coherencia y para que las
disposiciones nacionales sean comprensibles para sus destinatarios. Así, el Reglamento
general de protección de datos contiene un buen número de habilitaciones, cuando no
imposiciones, a los Estados miembros, a fin de regular determinadas materias, permitiendo
incluso en su considerando 8, y a diferencia de lo que constituye principio general del
Derecho de la Unión Europea que, cuando sus normas deban ser especificadas,
interpretadas o, excepcionalmente, restringidas por el Derecho de los Estados miembros,
estos tengan la posibilidad de incorporar al derecho nacional previsiones contenidas
específicamente en el reglamento, en la medida en que sea necesario por razones de
coherencia y comprensión.
En este punto hay que subrayar que no se excluye toda intervención del Derecho
interno en los ámbitos concernidos por los reglamentos europeos. Al contrario, tal
intervención puede ser procedente, incluso necesaria, tanto para la depuración del
ordenamiento nacional como para el desarrollo o complemento del reglamento de que se
trate. Así, el principio de seguridad jurídica, en su vertiente positiva, obliga a los Estados
miembros a integrar el ordenamiento europeo en el interno de una manera lo
suficientemente clara y pública como para permitir su pleno conocimiento tanto por los
operadores jurídicos como por los propios ciudadanos, en tanto que, en su vertiente
negativa, implica la obligación para tales Estados de eliminar situaciones de incertidumbre
derivadas de la existencia de normas en el Derecho nacional incompatibles con el europeo.
De esta segunda vertiente se colige la consiguiente obligación de depurar el ordenamiento
jurídico. En definitiva, el principio de seguridad jurídica obliga a que la normativa interna
que resulte incompatible con el Derecho de la Unión Europea quede definitivamente
eliminada «mediante disposiciones internas de carácter obligatorio que tengan el mismo
valor jurídico que las disposiciones internas que deban modificarse» (Sentencias del
Tribunal de Justicia de 23 de febrero de 2006, asunto Comisión vs. España; de 13 de julio
de 2000, asunto Comisión vs. Francia; y de 15 de octubre de 1986, asunto Comisión vs.
Italia). Por último, los reglamentos, pese a su característica de aplicabilidad directa, en la
práctica pueden exigir otras normas internas complementarias para hacer plenamente

efectiva su aplicación. En este sentido, más que de incorporación cabría hablar de
«desarrollo» o complemento del Derecho de la Unión Europea.
La adaptación al Reglamento general de protección de datos, que será aplicable a
partir del 25 de mayo de 2018, según establece su artículo 99, requiere, en suma, la
elaboración de una nueva ley orgánica que sustituya a la actual. En esta labor se han
preservado los principios de buena regulación, al tratarse de una norma necesaria para la
adaptación del ordenamiento español a la citada disposición europea y proporcional a este
objetivo, siendo su razón última procurar seguridad jurídica.

 

IV

Traneco 1
Internet, por otra parte, se ha convertido en una realidad omnipresente tanto en nuestra
vida personal como colectiva. Una gran parte de nuestra actividad profesional, económica
y privada se desarrolla en la Red y adquiere una importancia fundamental tanto para la
comunicación humana como para el desarrollo de nuestra vida en sociedad. Ya en los
años noventa, y conscientes del impacto que iba a producir Internet en nuestras vidas, los
pioneros de la Red propusieron elaborar una Declaración de los Derechos del Hombre y
del Ciudadano en Internet.
Hoy identificamos con bastante claridad los riesgos y oportunidades que el mundo de
las redes ofrece a la ciudadanía. Corresponde a los poderes públicos impulsar políticas
que hagan efectivos los derechos de la ciudadanía en Internet promoviendo la igualdad de
los ciudadanos y de los grupos en los que se integran para hacer posible el pleno ejercicio
de los derechos fundamentales en la realidad digital. La transformación digital de nuestra
sociedad es ya una realidad en nuestro desarrollo presente y futuro tanto a nivel social
como económico. En este contexto, países de nuestro entorno ya han aprobado normativa
que refuerza los derechos digitales de la ciudadanía.
Los constituyentes de 1978 ya intuyeron el enorme impacto que los avances
tecnológicos provocarían en nuestra sociedad y, en particular, en el disfrute de los
derechos fundamentales. Una deseable futura reforma de la Constitución debería incluir
entre sus prioridades la actualización de la Constitución a la era digital y, específicamente,
elevar a rango constitucional una nueva generación de derechos digitales. Pero, en tanto
no se acometa este reto, el legislador debe abordar el reconocimiento de un sistema de
garantía de los derechos digitales que, inequívocamente, encuentra su anclaje en el
mandato impuesto por el apartado cuarto del artículo 18 de la Constitución Española y
que, en algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional
y europea.

 

V

Destruccion de documentos certificado 5
Esta ley orgánica consta de noventa y siete artículos estructurados en diez títulos,
veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición
derogatoria y dieciséis disposiciones finales.
El Título I, relativo a las disposiciones generales, comienza regulando el objeto de la
ley orgánica, que es, conforme a lo que se ha indicado, doble. Así, en primer lugar, se
pretende lograr la adaptación del ordenamiento jurídico español al Reglamento
(UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento
general de protección de datos, y completar sus disposiciones. A su vez, establece que el
derecho fundamental de las personas físicas a la protección de datos personales,
amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido
en el Reglamento (UE) 2016/679 y en esta ley orgánica. Las comunidades autónomas
ostentan competencias de desarrollo normativo y ejecución del derecho fundamental a la
protección de datos personales en su ámbito de actividad y a las autoridades autonómicas
de protección de datos que se creen les corresponde contribuir a garantizar este derecho
fundamental de la ciudadanía. En segundo lugar, es también objeto de la ley garantizar los
derechos digitales de la ciudadanía, al amparo de lo dispuesto en el artículo 18.4 de la
Constitución.

Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues,
tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas
vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar
el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a
las instrucciones del fallecido. También excluye del ámbito de aplicación los tratamientos
que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que
transponga la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria
cuarta la aplicación a estos tratamientos de la Ley Orgánica 15/1999, de 13 de diciembre,
hasta que se apruebe la citada normativa.
En el Título II, «Principios de protección de datos», se establece que a efectos del
Reglamento (UE) 2016/679 no serán imputables al responsable del tratamiento, siempre
que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen
sin dilación, la inexactitud de los datos obtenidos directamente del afectado, cuando
hubiera recibido los datos de otro responsable en virtud del ejercicio por el afectado del
derecho a la portabilidad, o cuando el responsable los obtuviese del mediador o
intermediario cuando las normas aplicables al sector de actividad al que pertenezca el
responsable del tratamiento establezcan la posibilidad de intervención de un intermediario
o mediador o cuando los datos hubiesen sido obtenidos de un registro público. También se
recoge expresamente el deber de confidencialidad, el tratamiento de datos amparado por
la ley, las categorías especiales de datos y el tratamiento de datos de naturaleza penal, se
alude específicamente al consentimiento, que ha de proceder de una declaración o de una
clara acción afirmativa del afectado, excluyendo lo que se conocía como «consentimiento
tácito», se indica que el consentimiento del afectado para una pluralidad de finalidades
será preciso que conste de manera específica e inequívoca que se otorga para todas ellas,
y se mantiene en catorce años la edad a partir de la cual el menor puede prestar su
consentimiento.
Se regulan asimismo las posibles habilitaciones legales para el tratamiento fundadas
en el cumplimiento de una obligación legal exigible al responsable, en los términos
previstos en el Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho
de la Unión Europea o una ley, que podrá determinar las condiciones generales del
tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan
como consecuencia del cumplimiento de la obligación legal, Este es el caso, por ejemplo,
de las bases de datos reguladas por ley y gestionadas por autoridades públicas que
responden a objetivos específicos de control de riesgos y solvencia, supervisión e
inspección del tipo de la Central de Información de Riesgos del Banco de España regulada
por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero,
o de los datos, documentos e informaciones de carácter reservado que obren en poder de
la Dirección General de Seguros y Fondos de Pensiones de conformidad con lo previsto
en la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades
aseguradoras y reaseguradoras.
Se podrán igualmente imponer condiciones especiales al tratamiento, tales como la
adopción de medidas adicionales de seguridad u otras, cuando ello derive del ejercicio de
potestades públicas o del cumplimiento de una obligación legal y solo podrá considerarse
fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al responsable, en los términos previstos en el reglamento
europeo, cuando derive de una competencia atribuida por la ley. Y se mantiene la
prohibición de consentir tratamientos con la finalidad principal de almacenar información
identificativa de determinadas categorías de datos especialmente protegidos, lo que no
impide que los mismos puedan ser objeto de tratamiento en los demás supuestos previstos
en el Reglamento (UE) 2016/679. Así, por ejemplo, la prestación del consentimiento no
dará cobertura a la creación de «listas negras» de sindicalistas, si bien los datos de
afiliación sindical podrán ser tratados por el empresario para hacer posible el ejercicio de
los derechos de los trabajadores al amparo del artículo 9.2.b) del Reglamento
(UE) 2016/679 o por los propios sindicatos en los términos del artículo 9.2.d) de la misma
norma europea.

También en relación con el tratamiento de categorías especiales de datos, el
artículo 9.2 consagra el principio de reserva de ley para su habilitación en los supuestos
previstos en el Reglamento (UE) 2016/679. Dicha previsión no sólo alcanza a las
disposiciones que pudieran adoptarse en el futuro, sino que permite dejar a salvo las
distintas habilitaciones legales actualmente existentes, tal y como se indica
específicamente, respecto de la legislación sanitaria y aseguradora, en la disposición
adicional decimoséptima. El Reglamento general de protección de datos no afecta a dichas
habilitaciones, que siguen plenamente vigentes, permitiendo incluso llevar a cabo una
interpretación extensiva de las mismas, como sucede, en particular, en cuanto al alcance
del consentimiento del afectado o el uso de sus datos sin consentimiento en el ámbito de
la investigación biomédica. A tal efecto, el apartado 2 de la Disposición adicional
decimoséptima introduce una serie de previsiones encaminadas a garantizar el adecuado
desarrollo de la investigación en materia de salud, y en particular la biomédica, ponderando
los indudables beneficios que la misma aporta a la sociedad con las debidas garantías del
derecho fundamental a la protección de datos.
El Título III, dedicado a los derechos de las personas, adapta al Derecho español el
principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho
de los afectados a ser informados acerca del tratamiento y recoge la denominada
«información por capas» ya generalmente aceptada en ámbitos como el de la
videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales
como las «cookies»), facilitando al afectado la información básica, si bien, indicándole una
dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la
restante información.
Se hace uso en este Título de la habilitación permitida por el considerando 8 del
Reglamento (UE) 2016/679 para complementar su régimen, garantizando la adecuada
estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de
acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y
derecho a la portabilidad.
En el Título IV se recogen «Disposiciones aplicables a tratamientos concretos»,
incorporando una serie de supuestos que en ningún caso debe considerarse exhaustiva
de todos los tratamientos lícitos. Dentro de ellos cabe apreciar, en primer lugar, aquellos
respecto de los que el legislador establece una presunción «iuris tantum» de prevalencia
del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos,
lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente
las condiciones previstas en el texto, si bien en este caso el responsable deberá llevar a
cabo la ponderación legalmente exigible, al no presumirse la prevalencia de su interés
legítimo. Junto a estos supuestos se recogen otros, tales como la videovigilancia, los
ficheros de exclusión publicitaria o los sistemas de denuncias internas en que la licitud del
tratamiento proviene de la existencia de un interés público, en los términos establecidos en
el artículo 6.1.e) del Reglamento (UE) 2016/679. Finalmente, se hace referencia en este
Título a la licitud de otros tratamientos regulados en el Capítulo IX del reglamento, como
los relacionados con la función estadística o con fines de archivo de interés general. En
todo caso, el hecho de que el legislador se refiera a la licitud de los tratamientos no enerva
la obligación de los responsables de adoptar todas las medidas de responsabilidad activa
establecidas en el Capítulo IV del reglamento europeo y en el Título V de esta ley orgánica.
El Título V se refiere al responsable y al encargado del tratamiento. Es preciso tener
en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la
evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro
que descansa en el principio de responsabilidad activa, lo que exige una previa valoración
por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el
tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas
que procedan. Con el fin de aclarar estas novedades, la ley orgánica mantiene la misma
denominación del Capítulo IV del Reglamento, dividiendo el articulado en cuatro capítulos
dedicados, respectivamente, a las medidas generales de responsabilidad activa, al
régimen del encargado del tratamiento, a la figura del delegado de protección de datos y a

Destruccion documentos digitales 1

los mecanismos de autorregulación y certificación. La figura del delegado de protección de
datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo
recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio
o voluntario, estar o no integrado en la organización del responsable o encargado y ser
tanto una persona física como una persona jurídica. La designación del delegado de
protección de datos ha de comunicarse a la autoridad de protección de datos competente.
La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada
de los delegados de protección de datos, accesible por cualquier persona. Los
conocimientos en la materia se podrán acreditar mediante esquemas de certificación.
Asimismo, no podrá ser removido, salvo en los supuestos de dolo o negligencia grave. Es
de destacar que el delegado de protección de datos permite configurar un medio para la
resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la
reclamación que no sea atendida por el responsable o encargado del tratamiento.
El Título VI, relativo a las transferencias internacionales de datos, procede a la
adaptación de lo previsto en el Reglamento (UE) 2016/679 y se refiere a las especialidades
relacionadas con los procedimientos a través de los cuales las autoridades de protección
de datos pueden aprobar modelos contractuales o normas corporativas vinculantes,
supuestos de autorización de una determinada transferencia, o información previa.
El Título VII se dedica a las autoridades de protección de datos, que siguiendo el
mandato del Reglamento (UE) 2016/679 se han de establecer por ley nacional.
Manteniendo el esquema que se venía recogiendo en sus antecedentes normativos, la ley
orgánica regula el régimen de la Agencia Española de Protección de Datos y refleja la
existencia de las autoridades autonómicas de protección de datos y la necesaria
cooperación entre las autoridades de control. La Agencia Española de Protección de Datos
se configura como una autoridad administrativa independiente con arreglo a la Ley
40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el
Gobierno a través del Ministerio de Justicia.
El Título VIII regula el «Procedimientos en caso de posible vulneración de la normativa
de protección de datos». El Reglamento (UE) 2016/679 establece un sistema novedoso y
complejo, evolucionando hacia un modelo de «ventanilla única» en el que existe una
autoridad de control principal y otras autoridades interesadas. También se establece un
procedimiento de cooperación entre autoridades de los Estados miembros y, en caso de
discrepancia, se prevé la decisión vinculante del Comité Europeo de Protección de Datos.
En consecuencia, con carácter previo a la tramitación de cualquier procedimiento, será
preciso determinar si el tratamiento tiene o no carácter transfronterizo y, en caso de tenerlo,
qué autoridad de protección de datos ha de considerarse principal.
La regulación se limita a delimitar el régimen jurídico; la iniciación de los procedimientos,
siendo posible que la Agencia Española de Protección de Datos remita la reclamación al
delegado de protección de datos o a los órganos o entidades que tengan a su cargo la
resolución extrajudicial de conflictos conforme a lo establecido en un código de conducta;
la inadmisión de las reclamaciones; las actuaciones previas de investigación; las medidas
provisionales, entre las que destaca la orden de bloqueo de los datos; y el plazo de
tramitación de los procedimientos y, en su caso, su suspensión. Las especialidades del
procedimiento se remiten al desarrollo reglamentario.
El Título IX, que contempla el régimen sancionador, parte de que el Reglamento
(UE) 2016/679 establece un sistema de sanciones o actuaciones correctivas que permite
un amplio margen de apreciación. En este marco, la ley orgánica procede a describir las
conductas típicas, estableciendo la distinción entre infracciones muy graves, graves y
leves, tomando en consideración la diferenciación que el Reglamento general de protección
de datos establece al fijar la cuantía de las sanciones. La categorización de las infracciones
se introduce a los solos efectos de determinar los plazos de prescripción, teniendo la
descripción de las conductas típicas como único objeto la enumeración de manera
ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos
dentro de los tipos generales establecidos en la norma europea. La ley orgánica regula los
supuestos de interrupción de la prescripción partiendo de la exigencia constitucional del

conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la
problemática derivada de los procedimientos establecidos en el reglamento europeo, en
función de si el procedimiento se tramita exclusivamente por la Agencia Española de
Protección de Datos o si se acude al procedimiento coordinado del artículo 60 del
Reglamento general de protección de datos.
El Reglamento (UE) 2016/679 establece amplios márgenes para la determinación de
la cuantía de las sanciones. La ley orgánica aprovecha la cláusula residual del artículo 83.2
de la norma europea, referida a los factores agravantes o atenuantes, para aclarar que
entre los elementos a tener en cuenta podrán incluirse los que ya aparecían en el
artículo 45.4 y 5 de la Ley Orgánica 15/1999, y que son conocidos por los operadores
jurídicos.
Finalmente, el Título X de esta ley acomete la tarea de reconocer y garantizar un
elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la
Constitución. En particular, son objeto de regulación los derechos y libertades predicables
al entorno de Internet como la neutralidad de la Red y el acceso universal o los derechos
a la seguridad y educación digital así como los derechos al olvido, a la portabilidad y al
testamento digital. Ocupa un lugar relevante el reconocimiento del derecho a la
desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos
digitales en el ámbito laboral y la protección de los menores en Internet. Finalmente,
resulta destacable la garantía de la libertad de expresión y el derecho a la aclaración de
informaciones en medios de comunicación digitales.
Las disposiciones adicionales se refieren a cuestiones como las medidas de seguridad
en el ámbito del sector público, protección de datos y transparencia y acceso a la
información pública, cómputo de plazos, autorización judicial en materia de transferencias
internacionales de datos, la protección frente a prácticas abusivas que pudieran desarrollar
ciertos operadores, o los tratamientos de datos de salud, entre otras.
De conformidad con la disposición adicional decimocuarta, la normativa relativa a las
excepciones y limitaciones en el ejercicio de los derechos que hubiese entrado en vigor
con anterioridad a la fecha de aplicación del reglamento europeo y en particular los
artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal, seguirá vigente en tanto no sea expresamente modificada, sustituida
o derogada. La pervivencia de esta normativa supone la continuidad de las excepciones y
limitaciones que en ella se contienen hasta que se produzca su reforma o abrogación, si
bien referida a los derechos tal y como se regulan en el Reglamento (UE) 2016/679 y en
esta ley orgánica. Así, por ejemplo, en virtud de la referida disposición adicional, las
Administraciones tributarias responsables de los ficheros de datos con trascendencia
tributaria a que se refiere el artículo 95 de la Ley 58/2003, de 17 de diciembre, General
Tributaria, podrán, en relación con dichos datos, denegar el ejercicio de los derechos a que
se refieren los artículos 15 a 22 del Reglamento (UE) 2016/679, cuando el mismo
obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las
obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de
actuaciones inspectoras.
Las disposiciones transitorias están dedicadas, entre otras cuestiones, al estatuto de
la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos
o los tratamientos sometidos a la Directiva (UE) 2016/680. Se recoge una disposición
derogatoria y, a continuación, figuran las disposiciones finales sobre los preceptos con
carácter de ley ordinaria, el título competencial y la entrada en vigor.
Asimismo, se introducen las modificaciones necesarias de la Ley 1/2000, de 7 de
enero, de Enjuiciamiento Civil y la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción
Contencioso-administrativa, la Ley Orgánica, 6/1985, de 1 de julio, del Poder Judicial, la
Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen
gobierno, la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, la
Ley 14/1986, de 25 de abril, General de Sanidad, la Ley 41/2002, de 14 de noviembre,
básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia

de información y documentación clínica y la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas.
Finalmente, y en relación con la garantía de los derechos digitales, también se
introducen modificaciones en la Ley Orgánica 2/2006, de 3 de mayo, de Educación, la Ley
Orgánica 6/2001, de 21 de diciembre, de Universidades, así como en el Texto Refundido
de la Ley del Estatuto de los Trabajadores y en el Texto Refundido de la Ley del Estatuto
Básico del Empleado Público