Tema 33 (XXXV)

TEMARIO
Policía Nacional
TEMA 33
Delitos informáticos (ciberdelincuencia). Protección de datos. Especial consideración al derecho a la
intimidad. La prueba digital en el proceso penal.
ÍNDICE DEL TEMA:

1. DELITOS INFORMÁTICOS (CIBERDELINCUENCIA) ________________________________ 3
1.1. Encargados de perseguir los delitos informáticos ______________________________________ 3
1.1.1. Oficina de Coordinación Cibernética (OCC) _________________________________ 4
1.2. Términos relacionados con los delitos informáticos ____________________________________ 5
1.3. La ciberdelincuencia ____________________________________________________________ 8
1.3.1. Delito informático __________________________________________________________ 8
1.3.2. Convenio sobre ciberdelincuencia (Budapest, 23 noviembre 2001) ____________________ 9
1.4. Delitos informáticos regulados en el actual Código Penal ______________________________ 10
2. PROTECCIÓN DE DATOS _______________________________________________________ 21
2.1. Constitución española 1978______________________________________________________ 21
2.1.1. Derecho al honor, a la intimidad y a la propia imagen _____________________________ 22
2.1.2. Secreto de las comunicaciones ________________________________________________ 23
2.1.3. Informática _______________________________________________________________ 25
2.2. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(LOPD) y su Reglamento de desarrollo aprobado por RD 1720/2007 (RLOPD) _______________ 25
2.2.1. Disposiciones generales (título I) ______________________________________________ 25

2.2.2. Principios de la protección de datos (tít. II LOPD) ________________________________ 27

2.2.3. Derechos de las personas (título III LOPD) ______________________________________ 31
2.2.4. Ficheros de las fuerzas y cuerpos de seguridad (cap. I, título IV LOPD. Ficheros de titularidad
pública) 34
2.2.5. Agencia española de Protección de Datos (título VI LOPD) _________________________ 35
2.2.6. De las medidas de seguridad en el tratamiento de datos de carácter personal (título VIII
RLOPD) 38
2.2.7. Régimen sancionador en materia de protección de datos (cap. II, RD-Ley 5/2018) ______ 41
2.3. Reglamento (UE) 2016/679, del Parlamento europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general
de protección de datos) _____________________________________________________________ 44
2.3.1. Ámbito de aplicación _______________________________________________________ 44
2.3.2. Incorporación de nuevos derechos de los ciudadanos ______________________________ 45
2.3.3. Consentimiento ___________________________________________________________ 45
2.3.4. Responsabilidad activa ______________________________________________________ 46
2.3.5. Mecanismo de ventanilla única _______________________________________________ 46
2.4. Ficheros de exclusión del envío de comunicaciones comerciales _________________________ 46
2.4.1. Fichero del servicio de exclusión publicitaria, «Lista Robinson» _____________________ 47
2.5. Otras normas en las que se recogen preceptos relacionados con la protección de datos y delitos
informáticos _____________________________________________________________________ 47
3. LA PRUEBA DIGITAL EN EL PROCESO PENAL ____________________________________ 47
3.1. Autorización judicial ___________________________________________________________ 49
3.2. Grabación de comunicaciones orales ______________________________________________ 49
3.3. Videograbaciones realizadas por los miembros de las fuerzas y cuerpos de seguridad_________ 49
3.3.1. Procedimiento de instalación de videocámaras por parte de las FCS en lugares públicos __ 51
3.4. Videovigilancia como medio probatorio ____________________________________________ 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
1. DELITOS INFORMÁTICOS
(CIBERDELINCUENCIA)
Así como en la sociedad existen los delincuentes, en el mundo informático existen los
ciberdelincuentes, que en líneas generales son personas que realizan actividades delictivas en
internet, como robar información, acceder a redes privadas, cometer estafas, y todo lo que tiene que ver
con los delitos y la ilegalidad.
Por ello, es necesario, en primer lugar, profundizar en el término «informática» para poder hablar de
aquellas conductas que puedan considerarse ilícitas, penalmente hablando. Se habla de informática
cuando se alude al procesamiento de información mediante dispositivos electrónicos y sistemas
computacionales. Los sistemas informáticos son capaces de llevar a cabo unos algoritmos para poder
procesar la información, es decir, recibir la información, procesarla y trasmitir los resultados.
La RAE nos la define como «conjunto de conocimientos científicos y técnicas que hacen posible el
tratamiento automático de la información por medio de ordenadores». La informática o, más bien, el uso
de esta, es una actuación realizada por cualquier persona en el mundo y en cualquier momento, dando
lugar a una evolución de la misma de forma extraordinaria. Consecuentemente conlleva resultados
positivos, aunque, desgraciadamente, también negativos. Es con estos últimos, con los que se identifica la
temática de este bloque, ya que vamos a estudiar aquellas «acciones u omisiones, típicas, antijurídicas,
culpables y punibles» relacionadas con los delitos informáticos o con la ciberdelincuencia.
Debido a que la informática crece de forma extraordinaria, incluso, por delante de la propia legislación,
hay casos que no están ni siquiera regulados o recogidos como conductas punibles en el Código Penal
según la «teoría del delito». Simplemente quedarían como abusos informáticos y parte de la criminalidad
informática.
Los delitos informáticos son una serie de actividades ilícitas que se cometen mediante el uso de
ordenadores, sistemas informáticos, dispositivos electrónicos o de comunicación y que tienen por objeto
causar daños, lucrarse, provocar pérdidas, etc.
Cibercrimen, piratería, delincuencia o criminalidad informática, etc., son muchos de los términos y
acepciones utilizados para definir un concepto tan amplio como es el de la «ciberdelincuencia».
Podemos definir esta, como el conjunto de aquellas acciones cometidas a través de un bien o sistema
informático cuya consecuencia final recae en un hecho considerado como ilícito. En otras palabras, se
trata de una vertiente del crimen tradicional, que puede incluir delitos tradicionales como fraudes,
chantajes, robos, falsificaciones, malversación, etc., que utiliza las nuevas tecnologías para extenderse y
desarrollarse de manera exponencial. Debido a la continua evolución, esta ciberdelincuencia, se va
convirtiendo en sofisticada y cada vez más usual.
Con la informática no solo se cometen los delitos anteriormente mencionados, sino que puede haber
violaciones de derechos de autor, violaciones a la intimidad, a la propia imagen, delitos de pornografía
infantil, pedofilia, violación de secretos, etc. Es por ello que vamos a desarrollar, además de la definición
de cada tipo de delito, lo referente al derecho a la intimidad y protección de datos según la legislación
actual.
1.1. Encargados de perseguir los delitos informáticos

Según el art. 104 de la Constitución española, «Las fuerzas y cuerpos de seguridad, bajo la dependencia
del Gobierno, tendrán como misión proteger el libre ejercicio de los derechos y libertades y garantizar la
seguridad ciudadana». Es por ello que tanto el Cuerpo de Policía Nacional, Guardia Civil, policías
autonómicas y policías locales, se encargarán de proteger a los ciudadanos de los delitos informáticos o
crímenes cibernéticos que se puedan cometer a través de medios informáticos o más actualmente, a través
de internet.
En concreto, dentro del Cuerpo de Policía Nacional y bajo la dependencia de la Comisaría General
de Policía Judicial (organismo que se encarga de la persecución de los delitos más importantes o
www.elrincondelpolicia.com página 3 de 52

complicados de resolver que ocurran en cualquier lugar del territorio nacional), existe la Unidad de
Investigación Tecnológica (UIT). Esta Unidad, a su vez, está dividida en: la Brigada Central de
Investigación Tecnológica (BIT) y la Brigada Central de Seguridad Informática (BSI).
La UIT asume la investigación y persecución de las actividades delictivas que impliquen la utilización de
las tecnologías de la información y las comunicaciones (TIC) y el ciberdelito de ámbito nacional y
transnacional, relacionadas con el patrimonio, el consumo, la protección al menor, la pornografía infantil,
delitos contra la libertad sexual, contra el honor y la intimidad, redes sociales, fraudes, propiedad
intelectual e industrial y seguridad lógica. Actuará como Centro de Prevención y Respuesta E-Crime del
Cuerpo de Policía Nacional. De esta Unidad dependerán:
a) La Brigada Central de Investigación Tecnológica (BIT), destinada a responder a los
retos que plantean las nuevas formas de delincuencia, y a la que corresponde la investigación de
las actividades delictivas relacionadas con la protección de los menores, la intimidad, la
propiedad intelectual e industrial y los fraudes en el uso de las telecomunicaciones, ataques
cibernéticos, piratería, etc.
Esta Brigada se encarga de velar por la seguridad de los internautas y de los ciudadanos en
general, a través de «alertas tecnológicas» para informar a la sociedad a través de las redes
sociales o desde su propia web, de los timos, spam, hoax o bulos, etc. Por ejemplo, recepción en
SPAM de un email que nos pide comparecer ante la audiencia para un asunto de nuestro
interés, pagar por un anuncio, virus simulando ser actualización de Windows o recogida de un
paquete postal. También, por ejemplo, conciencia a la población de la importancia de la
protección de nuestros datos personales e intimidad.
b) La Brigada Central de Seguridad Informática (BSI), a la que corresponde la

investigación de las actividades delictivas que afecten a la seguridad lógica y a los fraudes.
Dentro del Cuerpo de la Guardia Civil, encontramos el Grupo de Delitos Telemáticos (GDT) que
fue creado para investigar, dentro de la Unidad Central Operativa de la Guardia Civil (UCO),
todos aquellos delitos que se cometen a través de Internet. Este es acompañado por la creación de los
Equipos de Investigación Tecnológica (EDITE,s) en cada una de las provincias de España.
El esfuerzo principal del GDT y de los EDITE,s ha sido, desde su creación, la investigación de la
delincuencia que se vale de las redes y sistemas de información para su comisión. También cabe destacar
los esfuerzos que realizan para fomentar un uso seguro de las nuevas tecnologías, consciente de que a la
larga este esfuerzo ayudará a minimizar el impacto de la delincuencia.
Actualmente es miembro y participa activamente en los Grupos de Trabajo de Interpol de Europa y
Latinoamérica, en el Foro internacional del G-7 para el cibercrimen, y en el Grupo de Europol.
1.1.1. Oficina de Coordinación Cibernética (OCC)
La Oficina de Coordinación Cibernética (OCC) es el órgano técnico de coordinación del Ministerio del
Interior en materia de ciberseguridad, creada por la Instrucción número 15/2014, de 19 de noviembre,
de la Secretaría de Estado de Seguridad. Es un dispositivo inédito hasta ahora en España, que depende
funcionalmente de la Secretaría de Estado de Seguridad y orgánicamente del Centro Nacional para la
Protección de las Infraestructuras Críticas, actualmente, Centro Nacional de Protección de
Infraestructuras y Ciberseguridad (CNPIC). La Oficina se estructurará en un grupo de análisis y
tratamiento de la información, otro de análisis de amenazas y vulnerabilidades y un tercer grupo de
monitorización del estado de la ciberseguridad.
La OCC debe garantizar las capacidades de coordinación técnica entre el CERT de Seguridad e
Industria (CERTSI) y los órganos subordinados de la Secretaría de Estado y las fuerzas y cuerpos de
seguridad del Estado en lo que respecta a las competencias propias del Ministerio del Interior en materia
de ciberseguridad. Por Acuerdo del Consejo Nacional de Ciberseguridad de 29 de mayo de 2015, el
CERTSI es el CERT Nacional competente en la prevención, mitigación y respuesta ante incidentes
cibernéticos en el ámbito de las empresas, los ciudadanos y los operadores de infraestructuras críticas.
Desde la OCC se mantendrá un estrecho contacto con las unidades tecnológicas, tanto del Cuerpo de
Policía Nacional como de la Guardia Civil, encargadas de luchar contra el delito y el terrorismo en el
ciberespacio y responsables de la persecución y puesta a disposición judicial de los delincuentes.

La «Estrategia de Seguridad Nacional» recoge una serie de líneas de acción cuyo desarrollo
corresponde al Ministerio de Asuntos Exteriores y de Cooperación como responsable de la acción exterior
del Estado. Así, este Ministerio es el órgano de la administración que promueve la colaboración
internacional para lograr un ciberespacio internacional seguro y fiable. Además, impulsa en el ámbito
multilateral el consenso con los demás países para que los Estados acuerden normas sobre protección de
infraestructuras críticas y desarrollen las capacidades necesarias para la protección de los servicios
esenciales.
El dispositivo de ciberseguridad se ha diseñado en base a los principios rectores de la «Estrategia de
Ciberseguridad Nacional» aprobada en diciembre de 2013; documento que desarrolla la «Estrategia de
Seguridad Nacional» en materia de protección del ciberespacio, con el fin de implantar de forma
coherente y estructurada, acciones de prevención, defensa, detección, respuesta y recuperación frente a
las ciberamenazas. Estos principios rectores son: liderazgo nacional y coordinación de esfuerzos;
responsabilidad compartida; proporcionalidad, racionalidad y eficacia y cooperación internacional.
1.2. Términos relacionados con los delitos informáticos

(1). Carding: es el uso ilegitimo de las tarjetas de crédito, o de sus números, pertenecientes a otras
personas. Se relaciona con las malas prácticas del hacking. Consiste en la obtención de los números
secretos de la tarjeta de crédito, a través de técnicas de phishing (suplantación de identidad), para
realizar compras a través Internet.
(2). Cebo (Luring): artimañas de los pedófilos online para atraer a niños a encuentros fuera de la red.
(3). Ciberacoso (corresponde en nuestra lengua a (cyber)harassment/harassing): suele emplearse
para referirse a actos concretos de acoso en el ciberespacio. Definido como «las amenazas u otro tipo
de comportamiento ofensivo con jóvenes o adultos, vía online o la publicación online de información
sobre una persona, para que otros lo vean».
La diferencia con el ciberbullying, estriba en que con el término «ciberacoso», se hace
referencia a las conductas individualizadas de acoso que pueden constituir, o no, parte de un
cyberbullying. Es por ello que el «ciberacoso» adopta formas muy variadas, entre las conductas más
habituales están las humillaciones frente a otros en la red, los mensajes amenazantes, la distribución
de fotos trucadas, o la suplantación de identidad. Sin embargo, estas no son las únicas formas de
acoso que se pueden ejercer a través de la red y además, todo apunta a que seguirán expandiéndose
en la medida que vayan evolucionando las TIC.
(4). Ciberbullying (acoso entre menores): acción mediante la cual un menor atormenta, hostiga,
amenaza, humilla o molesta a otro/a menor mediante el uso de Internet, teléfonos móviles,
videoconsolas online u otras tecnologías de la información.
(5). Child Grooming o acoso infantil a través de la red (también conocido como grooming,
internet grooming, cybergrooming): acción encaminada a establecer una relación y control
emocional sobre un menor, cuya finalidad última es la de obtener una satisfacción sexual mediante
imágenes eróticas o pornográficas del niño/a o incluso como preparación para un encuentro sexual
con este. Se lleva a cabo mediante el engaño de una persona adulta a un menor a través de
programas de conversación tipo messenger para obtener imágenes de contenido erótico del menor que
después utilizará para coaccionarle, bajo amenaza de difundir esas imágenes a sus conocidos, y
conseguir así más imágenes o incluso llegar materializar el abuso.
TIPOLOGÍA
DENOMINACIÓN VÍCTIMA RESPONSABLE
CIBERACOSO joven/adulto adulto/menor
CIBERBULLYING menor menor
GROOMING menor adulto
(6). Ciberterrorismo: aprovechamiento de las redes informáticas para obtener información, fomentar
o comentar actos de terrorismo.

(7). Flame: provocación mediante un mensaje incendiario enviado a un foro, lista de correo, cuyo
objetivo es provocar reacciones airadas de sus participantes. Suele contener insultos u ofensas y
puede estar dirigido a todos en general, a un grupo de usuarios o a alguien en particular.
(8). Hoax o bulo electrónico: del inglés, engaño o bulo. Se trata de bulos e historias inventadas, que
no son más que eso, mentiras solapadas en narraciones cuyo fin último es destapar el interés del
lector o destinatario. Dichas comunicaciones pueden tener como finalidad última: Conseguir dinero
o propagar un virus.
(9). Pharming: manipulación de la resolución de nombres de dominio producido por un código
malicioso, normalmente en forma de troyano, que se nos ha introducido en el ordenador mientras
realizábamos una descarga, y que permite que el usuario cuando introduce la dirección de una
página web, se le conduzca en realidad a otra falsa, que simula ser la deseada. Con esta técnica se
intenta obtener información confidencial de los usuarios, desde números de tarjetas de crédito hasta
contraseñas. De manera que si el usuario accede a la web de su banco para realizar operaciones
bancarias, en realidad accede a una web que simula ser la del banco, casi a la perfección, logrando
los delincuentes, obtener los códigos secretos del usuario, pudiendo materializar el fraude con los
mismos.
(10). Phishing: es la contracción de password harvesting fishing (cosecha y pesca de contraseñas). Las
técnicas denominadas phishing consisten en el envío de correos electrónicos, en los cuales el usuario
cree que el remitente se trata de una entidad reconocida y seria (usualmente bancos), en los que se
solicita al mismo que, por unos u otros motivos, debe actualizar o verificar sus datos de cliente a
través, normalmente, de un enlace a una página que simula ser de la entidad suplantada. Una vez el
usuario remite sus datos, los delincuentes o estafadores pueden proceder a operar con los mismos.
• Scam o phishing laboral: fraude similar al phishing, con el que comparte el objetivo de
obtener datos confidenciales de usuarios, para acceder a sus cuentas bancarias. Consiste en el
envío masivo de correos electrónicos o la publicación de anuncios en webs, en los que se ofrecen
supuestos empleos muy bien remunerados. Cuando el usuario acepta la oferta de trabajo, se le
solicita que facilite datos de sus cuentas bancarias, a través de un e-mail o accediendo a una web,
para ingresarle los supuestos beneficios.
• Smishing: es una variante del phishing, que utiliza los mensajes a teléfonos móviles, en lugar de
los correos electrónicos, para realizar el ataque. El resto del procedimiento es igual al del
phishing: el estafador suplanta la identidad de una entidad de confianza para solicitar al usuario
que facilite sus datos, a través de otro SMS o accediendo a una página web falseada, idéntica a la
de la entidad en cuestión.
• Spear phishing: tipo de phishing en el que, en lugar de realizar un envío masivo de correos
electrónicos, se envían correos con mayor grado de personalización, a destinatarios concretos,
consiguiendo que los mensajes resulten más creíbles que los del phishing tradicional. La intención
es robar propiedad intelectual, datos financieros, secretos comerciales o militares y otros datos
confidenciales.
• Vishing o voice phishing: fraude que persigue el mismo fin que el phishing, la obtención de
datos confidenciales de usuarios, pero a través de un medio distinto: la telefonía IP. Los ataques
de vishing se suelen producir siguiendo dos esquemas:
i. Envío de correos electrónicos, en los que se alerta a los usuarios sobre algún tema
relacionado con sus cuentas bancarias, con el fin de que estos llamen al número de
teléfono gratuito que se les facilita.
ii. Utilización de un programa que realice llamadas automáticas a números de teléfono de
una zona determinada.
En ambos casos, cuando se logra contactar telefónicamente con el usuario, un mensaje
automático le solicita el número de cuenta, contraseña, código de seguridad, etc.
(11). Phreaking: Penetrar ilícitamente sistemas telefónicos o de telecomunicaciones con el fin de obtener
beneficios o causar perjuicios a terceros.

(12). Ransomware: De entre todos los tipos de software maligno que circulan por Internet, este es uno
de los más problemáticos, por la tensión que genera en sus víctimas.
El ransomware (también conocido como rogueware o scareware) restringe el acceso al sistema y exige el
pago de un rescate para eliminar la restricción. Uno de los más conocidos, es el denominado police
ransomware programa malicioso que bloquea el ordenador de la víctima, acusándola de haber
visitado sitios web ilegales que contienen material sobre abusos infantiles o cualquier otra actividad
ilegal, haciéndose pasar por un organismo con funciones coercitivas y solicitando el pago de una
multa para desbloquear el ordenador o dispositivo.
(13). Sexting: (De Sex+texting) Envío de mensajes (que pueden incluir fotografías y/o vídeos) de contenido
erótico o pornográfico por medio de teléfonos móviles.
(14). Sextorsión: forma de explotación sexual en la cual se chantajea a una persona por medio de una
imagen de sí misma desnuda que ha compartido a través de Internet mediante sexting. La víctima es
posteriormente coaccionada para tener relaciones sexuales con el/la chantajista, para producir
pornografía u otras acciones.
(15). Skimming: es la clonación de tarjetas en cajeros automáticos. Su objetivo es capturar la
información codificada en la banda magnética utilizando dispositivos físicos o equipos para después
producir tarjetas clonadas con el fin de utilizarlas en forma fraudulenta.
(16). Slamming: término que se emplea para describir el cambio de compañía de telecomunicaciones
(telefonía, Internet, etc) sin la autorización del cliente. Consiste en darte de alta en contratos de luz o
gas sin tu consentimiento mediante técnicas fraudulentas.
(17). Spoofing: hace referencia al uso de técnicas de suplantación de identidad generalmente con usos
maliciosos o de investigación. Tipos:
• IP Spoofing: suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un
paquete TCP/IP por otra dirección IP a la cual se desea suplantar.
• ARP Spoofing: suplantación de identidad por falsificación de tabla ARP. (ARP son las siglas en
inglés de Address Resolution Protocol (Protocolo de resolución de direcciones).
• DNS Spoofing: Suplantación de identidad por nombre de dominio.
• Web Spoofing: Suplantación de una página web real.
• Mail Spoofing: Suplantación en correo electrónico de la dirección e-mail de otras personas o
entidades.
(18). Stalking o acecho: término usado para referirse al trastorno que tiene una persona que lo lleva a
espiar a su víctima. Principalmente el cyberstalking se da en redes sociales como Facebook, Instagram
o Twitter, donde la mayoría de personas dejan su información disponible para cualquier persona,
también por medio del correo electrónico o por servicios de mensajería instantánea como
WhatsApp. La persona que tiene este tipo de comportamiento es llamada stalker.
(19). Tramas de pump and dump (también conocidas como timos bursátiles): es un tipo de fraude
que consiste en difundir un rumor con el fin de inflar artificialmente el precio de acciones modestas,
a través de afirmaciones falsas o exageradas con el fin de venderlas desde sus propias cuentas a un
precio más alto habiéndolas comprado previamente a un precio muy inferior.
(20). Troll: mensaje u otra forma de participación que busca intencionadamente molestar a los usuarios o
lectores, creando controversia, provocar reacciones predecibles, especialmente por parte de usuarios
novatos, con fines diversos, desde el simple divertimento hasta interrumpir o desviar los temas de las
discusiones, o bien provocar flamewars, enfadando a sus participantes y enfrentándolos entre sí.
(21). Warez: Grupo de personas amantes de la piratería de software. Su meta es violar códigos de
seguridad (cracking) o generar, obtener o compartir números de registros de programas de cómputo,
para luego subirlos a internet y compartirlos con el mundo; usualmente son delitos o ilícitos
contra propiedad intelectual o derechos del autor.
1.3. La ciberdelincuencia
La ciberdelincuencia se define, con carácter general, como cualquier tipo de actividad ilegal en la que se
utilice Internet, una red privada o pública o un sistema informático doméstico.
Aunque muchas formas de ciberdelincuencia giran en torno a la obtención de información sensible para
usos no autorizados, otros ejemplos son la invasión de la intimidad del mayor número posible de usuarios
de ordenadores.
La ciberdelincuencia comprende cualquier acto criminal que utilice ordenadores y redes. Además, la
ciberdelincuencia también incluye delitos tradicionales realizados a través de Internet. Por ejemplo: los
delitos motivados por prejuicios, el telemarketing y fraude de Internet, la suplantación de identidad y el
robo de cuentas de tarjetas de crédito, se consideran ciberdelitos, cuando las actividades ilegales se llevan
a cabo utilizando un ordenador e Internet.
1.3.1. Delito informático
La primera dificultad a la hora de afrontar el análisis de los delitos informáticos es su conceptualización.

No resulta fácil considerar qué debe entenderse por delito informático y qué conductas pueden
considerarse incluidas en el mismo; de hecho, ni siquiera la doctrina encuentra un concepto unitario de
delito informático y las discrepancias en torno al mismo han llegado incluso a propiciar que algunos
autores admitan la imposibilidad de dar una definición del mismo y renuncien a ello. La doctrina ha
debatido durante años si nos encontramos ante una categoría que pueda denominarse «delito
informático» o si, por el contrario, se deben utilizar expresiones para definir la misma realidad que
carezcan de un matiz jurídico-positivo y que hagan alusión, más bien, a categorías criminológicas: así las
expresiones delincuencia informática o criminalidad informática.
Parte de este problema proviene de la vertiginosa velocidad con la que evolucionan las nuevas tecnologías
y el consiguiente constante cambio y desarrollo, también extremadamente rápido, de las conductas
delictivas vinculadas a las mismas.
Parece adecuado hacer un repaso, en términos generales, del modo en que se han ido implantando las
nuevas tecnologías y del modo en que, en consecuencia, ha ido apareciendo el nuevo elenco de conductas
lesivas de derechos vinculadas con la informática y la telemática. Consideramos útil para este fin el modo
sistemático en que fue definida esta evolución de las conductas delictivas (o merecedoras de serlo)
vinculadas con las TICs en el «Informe sobre la situación del crimen organizado en Europa» realizado
por el Consejo de Europa.
En primer lugar, la ingente acumulación de datos de carácter personal de la ciudadanía por parte de los
gobiernos, aun cuando no estaba masificado el uso de los ordenadores, hace que comiencen las
preocupaciones en torno al carácter reservado, la acumulación y el uso que podría hacerse de estos datos.
Nace así el concepto de privacidad y de derecho a la misma, que va más allá del tradicional de intimidad
y que regula la acumulación en las bases de datos, de carácter informático o no, de información sobre los
individuos y el uso que se hace de ella, así como la capacidad de decisión de cada ciudadano respecto a
qué datos referentes a su persona deben ser compartidos o públicos. Ya en los años 60 comienzan las
primeras discusiones en torno a esta cuestión, sobre todo en materia civil y administrativa, planteándose
el debate, en los años siguientes, también en términos penales. Durante la década de los 70, la difusión de
los ordenadores en el mundo empresarial supuso que la mayoría de las manifestaciones de la delincuencia
informática tuviesen relación con la delincuencia económica, siendo las más comunes el fraude
informático, la manipulación de datos, sabotajes informáticos, espionajes empresariales, etc. Hasta el
punto de que en este periodo eran estas nuevas modalidades de delincuencia económica las que
integraban el concepto de delito informático; o, al menos, estas eran las principales manifestaciones del
mismo. En los años 80, la generalización de los ordenadores personales entre la población trajo consigo,
al mismo tiempo, el surgimiento de la piratería del software de los mismos, dando comienzo así a las
primeras infracciones contra la propiedad intelectual que se generalizarían a finales de los años 90,
extendiéndose además de a dicho software, a productos como música o películas.
La expansión de Internet en la década de los 90 llevó aparejado el surgimiento de un nuevo método para
difundir contenidos ilegales o dañosos, tales como pornografía infantil o discursos racistas o xenófobos.
Serán justamente las conductas vinculadas a la difusión de contenidos ilícitos las que más pueden

aprovecharse de la enorme implantación que tiene la «red» a nivel mundial, así como de sus
características técnicas que dificultan su descubrimiento, persecución y prueba.
En este período también se consolida la dependencia que los gobiernos y organismos internacionales
tienen de los sistemas informáticos, tanto para su buen funcionamiento como para el almacenamiento de
datos importantes y/o secretos y ello pondrá en el punto de mira para la comisión de delitos que atenten
contra la seguridad del Estado, como la comisión de ataques terroristas a través de la red, a los sistemas
informáticos de estos entes. Hoy, con la expansión del uso de los sistemas informáticos y de la telemática
en todos los ámbitos, tanto públicos como privados, prácticamente cualquier delito (homicidio, tráfico de
drogas, delito de terrorismo, etc.) puede ver favorecida su comisión a través de la utilización de las nuevas
tecnologías de la información y de la comunicación.
Por tanto, podemos decir que delito informático es «cualquier acción antijurídica que utilice los
medios informáticos para cometer actos delictivos en cualquiera de sus fases». No son nuevos delitos sino
nuevas formas de llevar a cabo o ejecutar las figuras típicas tradicionales. La delincuencia más el uso de la
informática se denomina ciberdelincuencia.
1.3.2. Convenio sobre ciberdelincuencia (Budapest, 23 noviembre 2001)
El primer tratado que determina los delitos penales cometidos por medios informáticos, para combatir s
ciberdelitos y delitos cometidos en Internet, fue el Convenio de Budapest, en vigor desde el 1 de julio de
2004, elaborado por el Consejo de Europa en Estrasburgo con la participación activa de los «Estados
Observadores»: Canadá, Japón y China.
1.3.2.1. Definiciones (art. 1 Convenio sobre ciberdelincuencia)

(1). Por «sistema informático»: se entenderá, todo dispositivo aislado o conjunto de dispositivos
interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el
tratamiento automatizado de datos en ejecución de un programa.
(2). Por «datos informáticos»: se entenderá cualquier representación de hechos, información o
conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado
para que un sistema informático ejecute una función.
(3). Por «proveedor de servicios» se entenderá:
a) Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad
de comunicar por medio de un sistema informático.
b) Cualquier otra entidad que procese o almacene datos informáticos para dicho servicio
de comunicación o para los usuarios de ese servicio.
(4). Por «datos sobre el tráfico»: se entenderá cualesquiera datos informáticos relativos a una
comunicación por medio de un sistema informático, generados por un sistema informático como
elemento de la cadena de comunicación, que indiquen el origen, destino, ruta, hora, fecha,
tamaño y duración de la comunicación o el tipo de servicio subyacente.
1.3.2.2. Delitos
Dicho Convenio propone, en la sección 1 del capítulo II, derecho penal sustantivo, una clasificación de
los delitos que se encuentran relacionados con la informática, en cuatro grupos:
(1). Título 1. Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas
informáticos (art. 2-6).
(2). Título 2. Delitos informáticos (art. 7 y 8). Engloba los siguientes:
• Falsificación informática. Cuando se cometa de forma deliberada e ilegítima, la

introducción, alteración, borrado o supresión de datos informáticos que dé lugar a datos
no auténticos, con la intención de que sean tenidos en cuenta o utilizados a efectos
legales como si se tratara de datos auténticos, con independencia de que los datos sean o
no directamente legibles e inteligibles.

• Fraude informático. Actos deliberados e ilegítimos que causen un perjuicio patrimonial
a otra persona mediante:
a) Cualquier introducción, alteración, borrado o supresión de datos informáticos.
b) Cualquier interferencia en el funcionamiento de un sistema informático, con la
intención fraudulenta o delictiva de obtener ilegítimamente un beneficio
económico para uno mismo o para otra persona.
(3). Título 3. Delitos relacionados con el contenido, especialmente con pornografía infantil (art. 9).
Comisión deliberada e ilegítima de los siguientes actos:
a) Producción de pornografía infantil con vistas a su difusión por medio de un sistema
informático.
b) Oferta o puesta a disposición de pornografía infantil por medio de un sistema informático.
c) Difusión o transmisión de pornografía infantil por medio de un sistema informático.
d) Adquisición de pornografía infantil por medio de un sistema informático para uno mismo o
para otra persona.
e) Posesión de pornografía infantil en un sistema informático o en un medio de almacenamiento
de datos informáticos.
(4). Título 4. Delitos relacionados con las infracciones de la propiedad intelectual y derechos afines (art.
10).
Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como
delito en su derecho interno cualquier complicidad intencionada, así como cualquier tentativa de
comisión de alguno de estos delitos.
Cada Estado adoptará las medidas necesarias para exigir responsabilidad a las personas jurídicas cuando
comentan este tipo de delitos.
1.3.2.3. Otras disposiciones del convenio

Cada Parte designará un punto de contacto disponible las veinticuatro horas del día, siete días a la
semana (RED 24/7), con objeto de garantizar la prestación de ayuda inmediata para los fines de las
investigaciones o procedimientos relacionados con delitos vinculados a sistemas y datos informáticos, o
para la obtención de pruebas electrónicas de un delito. Dicha asistencia incluirá los actos tendentes a
facilitar las siguientes medidas o su adopción directa, cuando lo permitan la legislación y la práctica
internas.
1.4. Delitos informáticos regulados en el actual Código Penal

Es en el actual Código Penal donde se encuentran recogidas aquellas conductas punibles relacionadas con
el cibercrimen. Como apuntábamos al comienzo del tema, existen conductas que directamente son
consideradas como punibles al usar un soporte informático o material informático para causar el daño en
un bien jurídico (por ejemplo, aprovecharse de la red WIFI de un vecino protegida con clave
provocándole un perjuicio al mismo), y otras que son llevadas a cabo siendo la informática un «medio»
para el fin (por ejemplo, utilizar portales de anuncios en internet para estafar, haciendo creer que lo que
se vende es real, siendo, lógicamente un timo).
Podríamos pensar que existe un título en el propio Código que se dedicara a regular aquellas conductas
ilícitas relacionadas con la informática, pero no es así. Es decir, no existe en el Código Penal un título,
capítulo, sección, etc. que se denomine «de los delitos informáticos». Al igual que no todas las conductas
punibles recogidas en el Código van a poder ser cometidas a través de la informática. Es por ello que
vamos a «desgranarlo» para sacar y explicar aquellos artículos que regulan un delito que se puede
cometer como medio de la informática o directamente con ella.
Con la expresión «delito informático», se define a todo ilícito penal llevado a cabo a través de medios
informáticos y que está íntimamente ligado a los bienes jurídicos relacionados con las tecnologías de la
información o que tiene como fin estos bienes.
Según la Brigada de Investigación Tecnológica de la Policía Nacional, los delitos informáticos son:

(1). Amenazas. Realizadas por cualquier medio de comunicación (art. 169 y ss. CP).
• Artículo 169. Tipo básico: «El que amenazare a otro con causarle, a él, a su familia o a otras
personas con las que esté íntimamente vinculado, un mal que constituya delitos de homicidio,
lesiones, aborto, contra la libertad, torturas y contra la integridad moral, la libertad sexual, la
intimidad, el honor, el patrimonio y el orden socioeconómico, será castigado:
1.º Con la pena de prisión de uno a cinco años, si se hubiere hecho la amenaza
exigiendo una cantidad o imponiendo cualquier otra condición, aunque no
sea ilícita, y el culpable hubiere conseguido su propósito. De no conseguirlo, se
impondrá la pena de prisión de seis meses a tres años.
Las penas señaladas, se impondrán en su mitad superior si las amenazas se hicieren por
escrito, por teléfono o por cualquier medio de comunicación o de
reproducción, o en nombre de entidades o grupos reales o supuestos. El fundamento
de esta agravación responde a que los medios descritos poseen una mayor capacidad de
quebrar la libertad de obrar del sujeto pasivo. Se trata de dos criterios de agravación
recogidos en forma alternativa: en el primer caso se atiende a los medios utilizados, y en
el segundo, a la autoría de la amenaza. Es evidente que las entidades o grupos reales o
supuestos no tienen por qué ser ilícitos, pudiendo ser perfectamente asociaciones legales.
2.º Con la pena de prisión de seis meses a dos años, cuando la amenaza no haya sido
condicional».
En ambos casos, el delito de amenazas se consuma cuando el propósito del
agente de causar un mal llega a conocimiento del ofendido.
• Artículo 170. Tipo agravado: «1. Si las amenazas de un mal que constituyere delito fuesen
dirigidas a atemorizar a los habitantes de una población, grupo étnico, cultural o religioso, o
colectivo social o profesional, o a cualquier otro grupo de personas, y tuvieran la gravedad
necesaria para conseguirlo, se impondrán respectivamente las penas superiores en grado a las
previstas en el artículo anterior.
2. Serán castigados con la pena de prisión de seis meses a dos años, los que, con la misma
finalidad y gravedad, reclamen públicamente la comisión de acciones violentas por parte de
organizaciones o grupos terroristas».
Constituye un tipo agravado para todos los supuestos de amenazas, condicionales o
incondicionales, de males constitutivos de delito.
• Artículo 171. «1. Las amenazas de un mal que no constituya delito serán castigadas con
pena de prisión de tres meses a un año o multa de seis a 24 meses, atendidas la gravedad y
circunstancia del hecho, cuando la amenaza fuere condicional y la condición no consistiere en
una conducta debida. Si el culpable hubiere conseguido su propósito se le impondrá la pena en su
mitad superior.
2. Si alguien exigiere de otro una cantidad o recompensa bajo la amenaza de revelar o
difundir hechos referentes a su vida privada o relaciones familiares que no sean públicamente
conocidos y puedan afectar a su fama, crédito o interés, será castigado con la pena de prisión de
dos a cuatro años, si ha conseguido la entrega de todo o parte de lo exigido, y con la de cuatro
meses a dos años, si no lo consiguiere». Comúnmente conocido como «CHANTAJE». Se trata en
todo caso de una amenaza condicional de un mal no constitutivo de delito. Ahora bien, aquí no se
exige expresamente que la difusión o revelación sea ilícita, bastando que se trate de hechos
referentes a su vida privada, públicamente desconocidos y que pueden afectar a su fama, crédito o
interés.
«3. Si el hecho descrito en el apartado anterior consistiere en la amenaza de revelar o
denunciar la comisión de algún delito, el ministerio fiscal podrá, para facilitar el castigo de
la amenaza, abstenerse de acusar por el delito cuya revelación se hubiere amenazado, salvo que
este estuviere castigado con pena de prisión superior a dos años. En este último caso, el juez o
tribunal podrá rebajar la sanción en uno o dos grados». REGLA DE NATURALEZA
PROCESAL AMPARADA EN EL PRINCIPIO DE OPORTUNIDAD.
«4. El que de modo leve amenace a quien sea o haya sido su esposa, o mujer que esté o

haya estado ligada a él por una análoga relación de afectividad aun sin convivencia,
será castigado con la pena de prisión de seis meses a un año o de trabajos en beneficio de la
comunidad de treinta y uno a ochenta días y, en todo caso, privación del derecho a la tenencia y
porte de armas de un año y un día a tres años, así como, cuando el juez o tribunal lo estime
adecuado al interés del menor o persona con discapacidad necesitada de especial protección,
inhabilitación especial para el ejercicio de la patria potestad, tutela, curatela, guarda o acogimiento
hasta cinco años. Igual pena se impondrá al que de modo leve amenace a una persona
especialmente vulnerable que conviva con el autor.
5. El que de modo leve amenace con armas u otros instrumentos peligrosos a alguna
de las personas a las que se refiere el artículo 173.2, exceptuadas las contempladas en el apartado
anterior de este artículo, será castigado con la pena de prisión de tres meses a un año o trabajos en
beneficio de la comunidad de treinta y uno a ochenta días y, en todo caso, privación del derecho a
la tenencia y porte de armas de uno a tres años, así como, cuando el juez o tribunal lo estime
adecuado al interés del menor o persona con discapacidad necesitada de especial protección,
inhabilitación especial para el ejercicio de la patria potestad, tutela, curatela, guarda o acogimiento
por tiempo de seis meses a tres años (…).
7. Fuera de los casos anteriores, el que de modo leve amenace a otro será castigado con la
pena de multa de uno a tres meses. Este hecho solo será perseguible mediante denuncia de la
persona agraviada o de su representante legal».
• Artículo 172 ter. Acoso. «Será castigado con la pena de prisión de tres meses a dos años o multa
de seis a veinticuatro meses el que acose a una persona llevando a cabo de forma insistente y
reiterada, y sin estar legítimamente autorizado, alguna de las conductas siguientes y, de este modo,
altere gravemente el desarrollo de su vida cotidiana:
1.ª La vigile, la persiga o busque su cercanía física.
2.ª Establezca o intente establecer contacto con ella a través de cualquier medio de
comunicación, o por medio de terceras personas.
3.ª Mediante el uso indebido de sus datos personales, adquiera productos o mercancías, o
contrate servicios, o haga que terceras personas se pongan en contacto con ella.
4.ª Atente contra su libertad o contra su patrimonio, o contra la libertad o patrimonio de
otra persona próxima a ella.
Si se trata de una persona especialmente vulnerable por razón de su edad, enfermedad o situación,
se impondrá la pena de prisión de seis meses a dos años.
Cuando el ofendido fuere alguna de las personas a las que se refiere el apartado 2 del artículo 173,
se impondrá una pena de prisión de uno a dos años, o trabajos en beneficio de la comunidad de
sesenta a ciento veinte días. En este caso no será necesaria la denuncia a que se refiere el apartado
4 de este artículo».
(2). Pornografía infantil. Entre los delitos relativos a la prostitución al utilizar a menores o incapaces
con fines exhibicionistas o pornográficos.
• De los abusos y agresiones sexuales a menores de dieciséis años (cap. II bis, tít. VIII,
libro II CP): Artículo 183.ter. «1. El que a través de internet, del teléfono o de cualquier otra
tecnología de la información y la comunicación contacte con un menor de dieciséis años y
proponga concertar un encuentro con el mismo a fin de cometer cualquiera de los delitos abuso
o agresión sexual, siempre que tal propuesta se acompañe de actos materiales encaminados
al acercamiento, será castigado con la pena de uno a tres años de prisión o multa de doce a
veinticuatro meses, sin perjuicio de las penas correspondientes a los delitos en su caso cometidos.
2. El que a través de internet, del teléfono o de cualquier otra tecnología de la
información y la comunicación contacte con un menor de dieciséis años y realice actos
dirigidos a embaucarle para que le facilite material pornográfico o le muestre imágenes
pornográficas en las que se represente o aparezca un menor, será castigado con una pena de
prisión de seis meses a dos años».
El consentimiento libre del menor de dieciséis años excluirá la responsabilidad penal por estos
delitos, cuando el autor sea una persona próxima al menor por edad y grado de desarrollo o
madurez.

• De los delitos de exhibicionismo y provocación sexual:
• Artículo 185. El que ejecutare o hiciere ejecutar a otra persona actos de exhibición obscena
ante menores de edad o personas con discapacidad necesitadas de especial protección, será
castigado con la pena de prisión de seis meses a un año o multa de 12 a 24 meses.
• Artículo 186. El que, por cualquier medio directo, vendiere, difundiere o exhibiere material
pornográfico entre menores de edad o personas con discapacidad necesitadas de especial
protección, será castigado con la pena de prisión de seis meses a un año o multa de 12 a 24
meses.
• Delitos relativos a la prostitución y a la explotación sexual y corrupción de

menores:
• Artículo 188. «1. El que induzca, promueva, favorezca o facilite la prostitución de un menor de
edad o una persona con discapacidad necesitada de especial protección, o se lucre con ello, o
explote de algún otro modo a un menor o a una persona con discapacidad para estos fines, será
castigado con las penas de prisión de dos a cinco años y multa de doce a veinticuatro meses. Si
la víctima fuera menor de dieciséis años, se impondrá la pena de prisión de cuatro a ocho años
y multa de doce a veinticuatro meses».
«3. Se impondrán las penas superiores en grado a las previstas en los apartados anteriores, en
sus respectivos casos, cuando concurra alguna de las siguientes circunstancias:
a) Cuando la víctima sea especialmente vulnerable, por razón de su edad, enfermedad,
discapacidad o situación.
b) Cuando, para la ejecución del delito, el responsable se haya prevalido de una relación de
superioridad o parentesco, por ser ascendiente, descendiente o hermano, por naturaleza o
adopción, o afines, con la víctima.
c) Cuando, para la ejecución del delito, el responsable se hubiera prevalido de su condición de
autoridad, agente de esta o funcionario público. En este caso se impondrá, además, una
pena de inhabilitación absoluta de seis a doce años.
d) Cuando el culpable hubiere puesto en peligro, de forma dolosa o por imprudencia grave, la
vida o salud de la víctima.
e) Cuando los hechos se hubieren cometido por la actuación conjunta de dos o más personas.
f) Cuando el culpable perteneciere a una organización o asociación, incluso de carácter
transitorio, que se dedicare a la realización de tales actividades.
4. El que solicite, acepte u obtenga, a cambio de una remuneración o promesa, una relación
sexual con una persona menor de edad o una persona con discapacidad necesitada de especial
protección, será castigado con una pena de uno a cuatro años de prisión. Si el menor no
hubiera cumplido dieciséis años de edad, se impondrá una pena de dos a seis años de prisión.
5. Las penas señaladas se impondrán en sus respectivos casos sin perjuicio de las que
correspondan por las infracciones contra la libertad o indemnidad sexual cometidas sobre los
menores y personas con discapacidad necesitadas de especial protección».
• Artículo 189. «1. Será castigado con la pena de prisión de uno a cinco años:
a) El que captare o utilizare a menores de edad o a personas con discapacidad necesitadas de
especial protección con fines o en espectáculos exhibicionistas o pornográficos, tanto
públicos como privados, o para elaborar cualquier clase de material pornográfico,
cualquiera que sea su soporte, o financiare cualquiera de estas actividades o se lucrare con
ellas.
b) El que produjere, vendiere, distribuyere, exhibiere, ofreciere o facilitare la producción,
venta, difusión o exhibición por cualquier medio de pornografía infantil o en cuya
elaboración hayan sido utilizadas personas con discapacidad necesitadas de especial
protección, o lo poseyere para estos fines, aunque el material tuviere su origen en el
extranjero o fuere desconocido.
Se considera pornografía infantil o en cuya elaboración hayan sido utilizadas personas

con discapacidad necesitadas de especial protección:
a) Todo material que represente de manera visual a un menor o una persona con

discapacidad necesitada de especial protección participando en una conducta sexualmente
explícita, real o simulada.
b) Toda representación de los órganos sexuales de un menor o persona con discapacidad
necesitada de especial protección con fines principalmente sexuales.
c) Todo material que represente de forma visual a una persona que parezca ser un menor
participando en una conducta sexualmente explícita, real o simulada, o cualquier
representación de los órganos sexuales de una persona que parezca ser un menor, con fines
principalmente sexuales, salvo que la persona que parezca ser un menor resulte tener en
realidad dieciocho años o más en el momento de obtenerse las imágenes.
d) Imágenes realistas de un menor participando en una conducta sexualmente explícita o
imágenes realistas de los órganos sexuales de un menor, con fines principalmente sexuales.
2. Serán castigados con la pena de prisión de cinco a nueve años los que realicen los actos
previstos en el apartado 1 de este artículo cuando concurra alguna de las circunstancias
siguientes:
a) Cuando se utilice a menores de dieciséis años.
b) Cuando los hechos revistan un carácter particularmente degradante o vejatorio.
c) Cuando el material pornográfico represente a menores o a personas con discapacidad
necesitadas de especial protección que sean víctimas de violencia física o sexual.
d) Cuando el culpable hubiere puesto en peligro, de forma dolosa o por imprudencia grave, la
vida o salud de la víctima.
e) Cuando el material pornográfico fuera de notoria importancia.
f) Cuando el culpable perteneciere a una organización o asociación, incluso de carácter
transitorio, que se dedicare a la realización de tales actividades.
g) Cuando el responsable sea ascendiente, tutor, curador, guardador, maestro o cualquier otra
persona encargada, de hecho, aunque fuera provisionalmente, o de derecho, del menor o
persona con discapacidad necesitada de especial protección, o se trate de cualquier otro
miembro de su familia que conviva con él o de otra persona que haya actuado abusando de
su posición reconocida de confianza o autoridad.
h) Cuando concurra la agravante de reincidencia».
«5. El que para su propio uso adquiera o posea pornografía infantil o en cuya elaboración
se hubieran utilizado personas con discapacidad necesitadas de especial protección, será
castigado con la pena de tres meses a un año de prisión o con multa de seis meses a dos años.
La misma pena se impondrá a quien acceda a sabiendas a pornografía infantil o en cuya
elaboración se hubieran utilizado personas con discapacidad necesitadas de especial
protección, por medio de las tecnologías de la información y la comunicación.
6. El que tuviere bajo su potestad, tutela, guarda o acogimiento a un menor de edad o una
persona con discapacidad necesitada de especial protección y que, con conocimiento de su
estado de prostitución o corrupción, no haga lo posible para impedir su continuación en tal
estado, o no acuda a la autoridad competente para el mismo fin si carece de medios para la
custodia del menor o persona con discapacidad necesitada de especial protección, será
castigado con la pena de prisión de tres a seis meses o multa de seis a doce meses».
• Artículo 191. DELITOS SEMIPRIVADOS. «1. Para proceder por los delitos de agresiones,
acoso o abusos sexuales, será precisa denuncia de la persona agraviada, de su representante
legal o querella del Ministerio Fiscal, que actuará ponderando los legítimos intereses en
presencia. Cuando la víctima sea menor de edad, persona con discapacidad necesitada de
especial protección o una persona desvalida, bastará la denuncia del Ministerio Fiscal.
2. En estos delitos el perdón del ofendido o del representante legal no extingue la acción penal
ni la responsabilidad de esa clase».
(3). Ataques contra el derecho a la intimidad: delito de descubrimiento y revelación de secretos
mediante el apoderamiento y difusión de datos reservados registrados en ficheros o soportes
informáticos. (Artículos del 197 al 201 del Código Penal).
• Art. 197. «1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin
su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o

cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice
artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen,
o de cualquier otra señal de comunicación.
2. (…) El que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero,
datos reservados de carácter personal o familiar de otro, que se hallen registrados en
ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo
de archivo o registro público o privado, y quien, sin estar autorizado, acceda por cualquier
medio a los mismos y o los altere o utilice en perjuicio del titular de los datos o de un tercero.
Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros
los datos o hechos descubiertos o las imágenes captadas».
«7. Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses
el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o
grabaciones audiovisuales de aquella que hubiera obtenido con su anuencia en un domicilio o
en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación
menoscabe gravemente la intimidad personal de esa persona.
La pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el
cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad,
aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad
necesitada de especial protección, o los hechos se hubieran cometido con una finalidad
lucrativa».
Es el denominado delito de «sexting»; el primer requisito de este nuevo tipo penal
introducido por la LO 1/2015, es la falta de autorización de la persona afectada, en este caso la
víctima o sujeto pasivo del delito. El propio tipo establece que las imágenes o grabaciones
audiovisuales han sido obtenidas con el consentimiento de la propia víctima, lo que no da
derecho a libre difusión de dicho material por parte del sujeto activo. Se trata de un delito
perseguible a instancia de parte.
La difusión, revelación o cesión de esas imágenes o grabaciones audiovisuales a terceros puede
realizarse de diferentes maneras, y más hoy en día con la influencia de las redes sociales, a
través de internet, mediante mail, SMS y aplicaciones de mensajería instantánea tipo
WhatsApp, Skype y similares y los propios MMS, lo que no da derecho a la libre difusión de
dicho material por parte del sujeto activo.
• Art. 197.bis. «1. El que por cualquier medio o procedimiento, vulnerando las medidas de
seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a
otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en
contra de la voluntad de quien tenga el legítimo derecho a excluirlo.
2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar
debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se
produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones
electromagnéticas de los mismos».
• Art. 197.ter. «(…) El que, sin estar debidamente autorizado, produzca, adquiera para su uso,
importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de
alguno de los delitos anteriores:
a) Un programa informático, concebido o adaptado principalmente para cometer dichos
delitos; o
b) Una contraseña de ordenador, un código de acceso o datos similares que permitan
acceder a la totalidad o a una parte de un sistema de información».
• Art. 199. «1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su
oficio o sus relaciones laborales (…).
2. El profesional que, con incumplimiento de su obligación de sigilo o reserva,
divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro
años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por
tiempo de dos a seis años».
• Art. 200. «Lo dispuesto en este capítulo será aplicable al que descubriere, revelare o cediere

datos reservados de personas jurídicas, sin el consentimiento de sus representantes, salvo lo
dispuesto en otros preceptos de este Código».
(4). Delitos contra el honor: calumnias e injurias. Cuando se propaguen por cualquier medio de
eficacia semejante a la imprenta o la radiodifusión (art. 205 y ss. CP).
• Artículo 205. Es calumnia la imputación de un delito hecha con conocimiento de su falsedad
o temerario desprecio hacia la verdad.
El acusado por delito de calumnia quedará exento de toda pena probando el hecho criminal
que hubiere imputado (art. 207).
• Artículo 208. Es injuria la acción o expresión que lesionan la dignidad de otra persona,
menoscabando su fama o atentando contra su propia estimación.
• Artículo 211. La calumnia y la injuria se reputarán hechas con publicidad cuando se
propaguen por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia
semejante.
• Artículo 215. «1.Nadie será penado por calumnia o injuria sino en virtud de querella de la
persona ofendida por el delito o de su representante legal (DELITOS PRIVADOS). Se
procederá de oficio cuando la ofensa se dirija contra funcionario público, autoridad o agente de
la misma sobre hechos concernientes al ejercicio de sus cargos».
«3. El perdón del ofendido o de su representante legal, en su caso, extingue la acción penal sin
perjuicio de lo dispuesto en el segundo párrafo del número 5º del apartado 1 del artículo 130
de este Código». Establece este art. más concretamente que «el perdón habrá de ser otorgado
de forma expresa antes de que se haya dictado sentencia, a cuyo efecto el juez o tribunal
sentenciador deberá oír al ofendido por el delito antes de dictarla.
En los delitos contra menores o personas con discapacidad necesitadas de especial protección,
los jueces o tribunales, oído el Ministerio Fiscal, podrán rechazar la eficacia del perdón
otorgado por los representantes de aquéllos, ordenando la continuación del procedimiento, con
intervención del Ministerio Fiscal, o el cumplimiento de la condena.
Para rechazar el perdón a que se refiere el párrafo anterior, el juez o tribunal deberá oír
nuevamente al representante del menor o persona con discapacidad necesitada de especial
protección».
(5). Extorsión. Art. 243 CP. «El que, con ánimo de lucro, obligare a otro, con violencia o intimidación,
a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o del de un tercero, será
castigado con la pena de prisión de uno a cinco años, sin perjuicio de las que pudieran imponerse
por los actos de violencia física realizados».
(6). Fraudes informáticos. Delitos de estafa, administración desleal o apropiación indebida, a través
de la manipulación de datos o programas para la obtención de un lucro ilícito (art. 248 y ss. CP).
• Artículo 248. «1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante
para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio
o ajeno.
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o
artificio semejante, consigan una transferencia no consentida de cualquier activo
patrimonial en perjuicio de otro.
b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos
específicamente destinados a la comisión de las estafas previstas en este artículo.
c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes
en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular
o de un tercero».
• Artículo 252. «1. Serán punibles (…), los que teniendo facultades para administrar un
patrimonio ajeno, emanadas de la ley, encomendadas por la autoridad o asumidas mediante un
negocio jurídico, las infrinjan excediéndose en el ejercicio de las mismas y, de esa manera,
causen un perjuicio al patrimonio administrado».
• Artículo 253.1. «Serán castigados con las penas del art. 249 o, en su caso, del artículo 250,
salvo que ya estuvieran castigados con una pena más grave en otro precepto de este Código, los

que, en perjuicio de otro, se apropiaren para sí o para un tercero, de dinero, efectos, valores o
cualquier otra cosa mueble, que hubieran recibido en depósito, comisión, o custodia, o que les
hubieran sido confiados en virtud de cualquier otro título que produzca la obligación de
entregarlos o devolverlos, o negaren haberlos recibido».
• Artículo 256. «1. El que hiciere uso de cualquier equipo terminal de telecomunicación, sin
consentimiento de su titular, y causando a este un perjuicio económico, será castigado con la
pena de multa de tres a doce meses. 2. Si la cuantía del perjuicio causado no excediere de 400
euros, se impondrá una pena de multa de uno a tres meses».
(7). Sabotajes informáticos. Delito de daños mediante la destrucción o alteración de datos,
programas o documentos electrónicos contenidos en redes o sistemas informáticos. (Artículo 263 y
ss. CP).
• Artículo 264. «1. El que por cualquier medio, sin autorización y de manera grave
borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos,
programas informáticos o documentos electrónicos ajenos, cuando el resultado producido
fuera grave, será castigado con la pena de prisión de seis meses a tres años.
2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del
perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes
circunstancias:
1.ª Se hubiese cometido en el marco de una organización criminal.
2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de
sistemas informáticos.
3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos
esenciales o la provisión de bienes de primera necesidad.
4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se
hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión
Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará
infraestructura crítica un elemento, sistema o parte de este que sea esencial para el
mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y
el bienestar económico y social de la población cuya perturbación o destrucción tendría
un impacto significativo al no poder mantener sus funciones.
5.ª El delito se haya cometido utilizando algún programa informático o una contraseña de
ordenador o código de acceso.
Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en
grado.
3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su
mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos
personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la
confianza de un tercero».
• Artículo 264 bis. «1. Será castigado con la pena de prisión de seis meses a tres años el que, sin
estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de
un sistema informático ajeno:
a) Realizando alguna de las conductas a que se refiere el artículo anterior.
b) Introduciendo o transmitiendo datos, o
c) Destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático,
telemático o de almacenamiento de información electrónica».
(8). Infracciones a la propiedad intelectual a través de la protección de los derechos de autor,

especialmente la copia y distribución no autorizada de programas de ordenador y tenencia de
medios para suprimir los dispositivos utilizados para proteger dichos programas (art. 270 y ss. CP):
• Art. 270. «1. (…) El que, con ánimo de obtener un beneficio económico directo o
indirecto y en perjuicio de tercero, reproduzca, plagie, distribuya, comunique
públicamente o de cualquier otro modo explote económicamente, en todo o en parte, una obra
o prestación literaria, artística o científica, o su transformación, interpretación o ejecución
artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la
autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus

cesionarios.
2. La misma pena se impondrá a quien, en la prestación de servicios de la sociedad de
la información, con ánimo de obtener un beneficio económico directo o indirecto, y en
perjuicio de tercero, facilite de modo activo y no neutral y sin limitarse a un tratamiento
meramente técnico, el acceso o la localización en internet de obras o prestaciones objeto de
propiedad intelectual sin la autorización de los titulares de los correspondientes derechos o de
sus cesionarios, en particular ofreciendo listados ordenados y clasificados de enlaces a las obras
y contenidos referidos anteriormente, aunque dichos enlaces hubieran sido facilitados
inicialmente por los destinatarios de sus servicios».
«5. Serán castigados en sus respectivos casos, quienes:
a) Exporten o almacenen intencionadamente ejemplares de las obras, producciones o
ejecuciones a que se refieren los dos primeros apartados de este artículo, incluyendo
copias digitales de las mismas, sin la referida autorización, cuando estuvieran destinadas
a ser reproducidas, distribuidas o comunicadas públicamente.
b) Importen intencionadamente estos productos sin dicha autorización, cuando estuvieran
destinados a ser reproducidos, distribuidos o comunicados públicamente, tanto si estos
tienen un origen lícito como ilícito en su país de procedencia; no obstante, la
importación de los referidos productos de un Estado perteneciente a la Unión Europea
no será punible cuando aquellos se hayan adquirido directamente del titular de los
derechos en dicho Estado, o con su consentimiento.
c) Favorezcan o faciliten la realización de las conductas a que se refieren los apartados 1 y
2 de este artículo eliminando o modificando, sin autorización de los titulares de los
derechos de propiedad intelectual o de sus cesionarios, las medidas tecnológicas eficaces
incorporadas por estos con la finalidad de impedir o restringir su realización.
d) Con ánimo de obtener un beneficio económico directo o indirecto, con la finalidad de
facilitar a terceros el acceso a un ejemplar de una obra literaria, artística o científica, o a
su transformación, interpretación o ejecución artística, fijada en cualquier tipo de
soporte o comunicado a través de cualquier medio, y sin autorización de los titulares de
los derechos de propiedad intelectual o de sus cesionarios, eluda o facilite la elusión de
las medidas tecnológicas eficaces dispuestas para evitarlo.
6. Será castigado también, quien fabrique, importe, ponga en circulación o posea con una
finalidad comercial cualquier medio principalmente concebido, producido, adaptado o
realizado para facilitar la supresión no autorizada o la neutralización de cualquier dispositivo
técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras
obras, interpretaciones o ejecuciones en los términos previstos en los dos primeros apartados de
este artículo».
• Artículo 271. «Se impondrá la pena de prisión de dos a seis años, multa de dieciocho a treinta y
seis meses e inhabilitación especial para el ejercicio de la profesión relacionada con el delito
cometido, por un período de dos a cinco años, cuando se cometa el delito del artículo anterior
concurriendo alguna de las siguientes circunstancias:
a) Que el beneficio obtenido o que se hubiera podido obtener posea especial trascendencia
económica.
b) Que los hechos revistan especial gravedad, atendiendo el valor de los objetos producidos
ilícitamente, el número de obras, o de la transformación, ejecución o interpretación de
las mismas, ilícitamente reproducidas, distribuidas, comunicadas al público o puestas a
su disposición, o a la especial importancia de los perjuicios ocasionados.
c) Que el culpable perteneciere a una organización o asociación, incluso de carácter
transitorio, que tuviese como finalidad la realización de actividades infractoras de
derechos de propiedad intelectual.
d) Que se utilice a menores de 18 años para cometer estos delitos.
En cuanto a los delitos relativos al mercado y a los consumidores:
• Artículo 278. «1. El que, para descubrir un secreto de empresa se apoderare por cualquier
medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que
se refieran al mismo, o empleare algún programa informático o una contraseña de ordenador,

será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro
meses.
2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si
se difundieren, revelaren o cedieren a terceros los secretos descubiertos.
3. Lo dispuesto en el presente artículo se entenderá sin perjuicio de las penas que pudieran
corresponder por el apoderamiento o destrucción de los soportes informáticos.
• Artículo 279. «La difusión, revelación o cesión de un secreto de empresa llevada a cabo por
quien tuviere legal o contractualmente obligación de guardar reserva, se castigará con la pena
de prisión de dos a cuatro años y multa de doce a veinticuatro meses. Si el secreto se utilizara
en provecho propio, las penas se impondrán en su mitad inferior».
• Artículo 282. «Serán castigados con la pena de prisión de seis meses a un año o multa de 12 a
24 meses los fabricantes o comerciantes que, en sus ofertas o publicidad de productos o
servicios, hagan alegaciones falsas o manifiesten características inciertas sobre los mismos, de
modo que puedan causar un perjuicio grave y manifiesto a los consumidores, sin perjuicio de la
pena que corresponda aplicar por la comisión de otros delitos».
• Artículo 286. «1. Será castigado con las penas de prisión de seis meses a dos años y multa de
seis a 24 meses el que, sin consentimiento del prestador de servicios y con fines comerciales,
facilite el acceso inteligible a un servicio de radiodifusión sonora o televisiva, a servicios
interactivos prestados a distancia por vía electrónica, o suministre el acceso condicional a los
mismos, considerado como servicio independiente, mediante:
1.º La fabricación, importación, distribución, puesta a disposición por vía electrónica,
venta, alquiler, o posesión de cualquier equipo o programa informático, no autorizado
en otro Estado miembro de la Unión Europea, diseñado o adaptado para hacer posible
dicho acceso.
2.º La instalación, mantenimiento o sustitución de los equipos o programas informáticos
mencionados en el párrafo 1.º
2. Con idéntica pena será castigado quien, con ánimo de lucro, altere o duplique el número
identificativo de equipos de telecomunicaciones, o comercialice equipos que hayan sufrido
alteración fraudulenta.
3. A quien, sin ánimo de lucro, facilite a terceros el acceso descrito en el apartado 1, o por
medio de una comunicación pública, comercial o no, suministre información a una pluralidad
de personas sobre el modo de conseguir el acceso no autorizado a un servicio o el uso de un
dispositivo o programa, de los expresados en ese mismo apartado 1, incitando a lograrlos, se le
impondrá la pena de multa en él prevista.
4. A quien utilice los equipos o programas que permitan el acceso no autorizado a servicios de
acceso condicional o equipos de telecomunicación (…)».
• Artículo 286 bis. «1. El directivo, administrador, empleado o colaborador de una empresa
mercantil o de una sociedad que, por sí o por persona interpuesta, reciba, solicite o acepte un
beneficio o ventaja no justificados de cualquier naturaleza, para sí o para un tercero, como
contraprestación para favorecer indebidamente a otro en la adquisición o venta de mercancías,
o en la contratación de servicios o en las relaciones comerciales, será castigado con la pena de
prisión de seis meses a cuatro años, inhabilitación especial para el ejercicio de industria o
comercio por tiempo de uno a seis años y multa del tanto al triplo del valor del beneficio o
ventaja. 2.Con las mismas penas será castigado quien, por sí o por persona interpuesta,
prometa, ofrezca o conceda a directivos, administradores, empleados o colaboradores de una
empresa mercantil o de una sociedad, un beneficio o ventaja no justificados, de cualquier
naturaleza, para ellos o para terceros, como contraprestación para que le favorezca
indebidamente a él o a un tercero frente a otros en la adquisición o venta de mercancías,
contratación de servicios o en las relaciones comerciales».
«4. Lo dispuesto en este artículo será aplicable, en sus respectivos casos, a los directivos,
administradores, empleados o colaboradores de una entidad deportiva, cualquiera que sea la
forma jurídica de esta, así como a los deportistas, árbitros o jueces, respecto de aquellas
conductas que tengan por finalidad predeterminar o alterar de manera deliberada y

fraudulenta el resultado de una prueba, encuentro o competición deportiva de especial
relevancia económica o deportiva».
(9). Falsedades. Concepto de documento como todo soporte material que exprese o incorpore datos.
Extensión de la falsificación de moneda a las tarjetas de débito y crédito. Fabricación o tenencia de
programas de ordenador para la comisión de delitos de falsedad (art. 386 y ss. CP).
• Art. 386. «1. Será castigado con la pena de prisión de ocho a doce años y multa del tanto al
décuplo del valor aparente de la moneda:
1.º El que altere la moneda o fabrique moneda falsa.
2.º El que introduzca en el país o exporte moneda falsa o alterada.
3.º El que transporte, expenda o distribuya moneda falsa o alterada con conocimiento de su
falsedad.
2. Si la moneda falsa fuera puesta en circulación se impondrá la pena en su mitad superior.
«3. El que habiendo recibido de buena fe moneda falsa la expenda o distribuya después de
constarle su falsedad (…)».
• Artículo 389. «El que falsificare o expendiere, en connivencia con el falsificador, sellos de
correos o efectos timbrados, o los introdujera en España conociendo su falsedad (…).
El adquirente de buena fe de sellos de correos o efectos timbrados que, conociendo
su falsedad, los distribuyera o utilizara (…)».
• Artículo 390. «1. Será castigado con las penas de prisión de tres a seis años, multa de seis a
veinticuatro meses e inhabilitación especial por tiempo de dos a seis años, la autoridad o
funcionario público que, en el ejercicio de sus funciones, cometa falsedad:
1.º Alterando un documento en alguno de sus elementos o requisitos de carácter esencial.
2.º Simulando un documento en todo o en parte, de manera que induzca a error sobre su
autenticidad.
3.º Suponiendo en un acto la intervención de personas que no la han tenido, o atribuyendo a
las que han intervenido en él declaraciones o manifestaciones diferentes de las que hubieran
hecho.
4.º Faltando a la verdad en la narración de los hechos».
• Artículo 393. «El que, a sabiendas de su falsedad, presentare en juicio o, para perjudicar a otro,
hiciere uso de un documento falso de los comprendidos en los artículos precedentes, será
castigado con la pena inferior en grado a la señalada a los falsificadores».
• Artículo 394. «1. La autoridad o funcionario público encargado de los servicios de

telecomunicación que supusiere o falsificare un despacho telegráfico u otro propio de dichos
servicios, incurrirá en la pena de prisión de seis meses a tres años e inhabilitación especial por
tiempo de dos a seis años.
2. El que, a sabiendas de su falsedad, hiciere uso del despacho falso para perjudicar a otro, será
castigado con la pena inferior en grado a la señalada a los falsificadores.
• Artículo 399 bis. «1. El que altere, copie, reproduzca o de cualquier otro modo falsifique
tarjetas de crédito o débito o cheques de viaje, será castigado con la pena de prisión de cuatro a
ocho años. Se impondrá la pena en su mitad superior cuando los efectos falsificados afecten a
una generalidad de personas o cuando los hechos se cometan en el marco de una organización
criminal dedicada a estas actividades (…).
2. La tenencia de tarjetas de crédito o débito o cheques de viaje falsificados destinados a la
distribución o tráfico será castigada con la pena señalada a la falsificación.
3. El que sin haber intervenido en la falsificación usare, en perjuicio de otro y a sabiendas de la
falsedad, tarjetas de crédito o débito o cheques de viaje falsificados será castigado con la pena
de prisión de dos a cinco años».
• Artículo 400. «La fabricación, recepción, obtención o tenencia de útiles, materiales,

instrumentos, sustancias, datos y programas informáticos, aparatos, elementos de seguridad, u
otros medios específicamente destinados a la comisión de los delitos descritos en los Capítulos

anteriores, se castigarán con la pena señalada en cada caso para los autores».
• Artículo 536. Interceptación de telecomunicaciones por funcionario público. «La autoridad,

funcionario público o agente de estos que, mediando causa por delito, interceptare las
telecomunicaciones o utilizare artificios técnicos de escuchas, transmisión, grabación o
reproducción del sonido, de la imagen o de cualquier otra señal de comunicación, con
violación de las garantías constitucionales o legales, incurrirá en la pena de inhabilitación
especial para empleo o cargo público de dos a seis años.
Si divulgare o revelare la información obtenida, se impondrán las penas de inhabilitación
especial, en su mitad superior y, además, la de multa de seis a dieciocho meses».
2. PROTECCIÓN DE DATOS
Vivimos en la «Sociedad de la Información». Constantemente y a cada momento se tratan millones de
datos personales con o sin nuestro consentimiento. Nuestra información personal es esencial para que
funcionen muchos de los servicios de los que disponemos ya que, para pertenecer a una red social, poder
ir a un centro deportivo, viajar, hospedarse, recibir atención sanitaria, etc. es necesario que el que nos
ofrece el servicio disponga de nuestra información o datos personales. La posesión de esta puede estar
motivada por varios factores, el principal y más necesario puede ser la protección personal de cada
ciudadano, pero también se utilizan, por ejemplo, para datos estadísticos, espionajes, etc. En
consecuencia, toda esta información revela aspectos de nuestra personalidad tales como tendencias de
compra, gustos, qué hacemos, historial clínico, cómo somos, a dónde vamos, fotos, vídeos, etc.
El derecho fundamental a la protección de datos es la capacidad que tiene el ciudadano para disponer y
decidir sobre todas las informaciones que se refieran a él. Es un derecho reconocido en la Constitución
española y el Derecho europeo y protegido por la Ley Orgánica de Protección de Datos (LOPD) 15/1999
de 13 de diciembre y su Reglamento de desarrollo aprobado por RD 1720/2007, de 21 de diciembre y a
nivel europeo por el Reglamento (UE) 2016/679, de 27 de abril.
2.1. Constitución española 1978

Es el art. 20 de nuestra CE, el que establece que se ha de proteger y por tanto que se reconocen los
derechos:
a) «A expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra,
el escrito o cualquier otro medio de reproducción.
b) A la producción y creación literaria, artística, científica y técnica.
c) A la libertad de cátedra.
d) A comunicar o recibir libremente información veraz por cualquier medio de difusión.
La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el
ejercicio de estas libertades.
El ejercicio de estos derechos no puede restringirse mediante ningún tipo de censura previa.
La ley regulará la organización y el control parlamentario de los medios de comunicación social
dependientes del Estado o de cualquier ente público y garantizará el acceso a dichos medios de los grupos
sociales y políticos significativos, respetando el pluralismo de la sociedad y de las diversas lenguas de
España.
Estas libertades tienen su límite en el respeto a los derechos reconocidos en el título I CE, en los
preceptos de las leyes que lo desarrollen y, especialmente, en el derecho al honor, a la intimidad, a la
propia imagen y a la protección de la juventud y de la infancia.
Solo podrá acordarse el secuestro de publicaciones, grabaciones y otros medios de información en
virtud de resolución judicial».
De gran importancia es lo referente a la limitación, ya que, no solo tenemos la posibilidad de ejercer
estos derechos, sino que tenemos que respetar y establecer unos límites para no sobrepasar la barrera y
«dañar» los de otras personas. En concreto, respetando el honor y especialmente la intimidad, así como la
propia imagen, la juventud y la infancia, que vamos a desarrollar a continuación.

Artículo 18 CE. «1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la
propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del
titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y
telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y
familiar de los ciudadanos y el pleno ejercicio de sus derechos».
2.1.1. Derecho al honor, a la intimidad y a la propia imagen
El primer párrafo de este precepto, cuenta ya con un contenido complejo, pues en él se protegen, en
primer lugar, el derecho al honor, en segundo lugar, el derecho a la intimidad, tanto personal como
familiar, y en tercer lugar el derecho a la propia imagen, derechos como veremos con rasgos comunes,
pero también con aspectos que permiten distinguir tres derechos diferenciados. En definitiva, y tal y como
ha señalado la STC 14/2003, son tres derechos autónomos y sustantivos, aunque estrechamente
vinculados entre sí, en tanto que derechos de la personalidad, derivados de la dignidad humana y
dirigidos a la protección del patrimonio moral de las personas.
a) El derecho al honor es el que ha gozado de protección por parte de nuestro ordenamiento de
manera tradicional, al configurar uno de los derechos clásicos de la personalidad y ha sido objeto
de una larga interpretación jurisprudencial, fruto de la cual se distinguen un aspecto inmanente y
otro trascendente del honor: el primero consiste en la estima que cada persona tiene de sí misma;
el segundo, por su parte, radica en el reconocimiento de los demás de nuestra dignidad (STS de
23 de marzo de 1987); se vincula así, pues, con la fama, con la opinión social.
Desde el punto de vista personal, por su parte, la afectación al honor habrá de valorarse teniendo
en cuenta la relevancia pública del personaje, su afectación a la vida profesional o a la privada, y
las circunstancias concretas en la que se produce (en un momento de acaloramiento o con
frialdad...) así como su repercusión exterior. Aunque el derecho en principio es un derecho de las
personas individualmente consideradas, cabe poner de relieve cómo el Tribunal Constitucional
reconoció el derecho a un pueblo o etnia, como es el caso del pueblo judío. Por otra parte,
también se admite que puedan ser titulares de este derecho, personas jurídico-privadas; negando
sin embargo, el carácter de derecho fundamental a personas jurídico-públicas.
b) El derecho a la intimidad se vincula a la esfera más reservada de las personas, al ámbito que
estas siempre preservan de las miradas ajenas, aquel que desea mantenerse oculto a los demás
por pertenecer a su esfera más privada, vinculada con la dignidad y el libre desarrollo de la
personalidad (art. 10.1 CE). De esta forma el derecho a un núcleo inaccesible de intimidad se
reconoce incluso a las personas más expuestas al público. La intimidad, de acuerdo con el propio
precepto constitucional, se reconoce no solo al individuo aisladamente considerado, sino también
al núcleo familiar.
Partiendo de estas premisas, conviene hacer algunas puntualizaciones: por una parte, al igual que
sucede con el honor, la extensión del derecho a la intimidad, se ve condicionada por el carácter
de la persona o el aspecto concreto de su vida que se ve afectado, de acuerdo también con las
circunstancias particulares del caso. Por otra, el Tribunal Constitucional ha interpretado en
alguna ocasión, que el alcance de la intimidad viene marcado por el propio afectado, no obstante
esta afirmación habrá que ponerla en relación con lo anterior pues, de lo contrario, el alcance del
derecho pondría en riesgo, por ejemplo, la libertad de información.
La referencia anterior no debe hacer creer que las únicas injerencias a la intimidad provienen de
excesos en las libertades de expresión o información, al contrario, la protección de este derecho
se muestra imprescindible también en el ámbito laboral, donde habrá que deslindar aquel
control idóneo, necesario y equilibrado de la actividad laboral, de aquellos otros que supongan
una injerencia en la intimidad de los trabajadores afectados injustificada o desproporcionada; o
en otros casos en los que existe una relación especial de sujeción, como acontece en el ámbito
penitenciario.

En los últimos años ha cobrado una gran importancia la necesidad de protección de la intimidad
frente a determinados controles de carácter general, como son los que implican la utilización de
la videovigilancia por parte de las fuerzas y cuerpos de seguridad, desarrollada por la Ley
Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las
fuerzas y cuerpos de seguridad en lugares públicos.
Es preciso añadir finalmente, que en determinados supuestos, la intimidad cederá frente a otros
bienes jurídicamente protegibles como sucede, por ejemplo, en los supuestos de investigación de
la paternidad o la maternidad o de controles fiscales, siempre que estén justificados y resulten
proporcionales sobre la base de otros derechos u otros bienes jurídicamente protegidos de interés
general, como son los derechos de los hijos (art. 39 CE) o la garantía de una proporcionalidad
impositiva (art. 31CE).
c) El derecho a la propia imagen salvaguarda la proyección exterior de dicha imagen como
medio de evitar injerencias no deseadas, de velar por una determinada imagen externa o de
preservar nuestra imagen pública. Este derecho está íntimamente condicionado por la actividad
del sujeto, no solo en el sentido de que las personas con una actividad pública verán más
expuesta su imagen, sino también en el sentido de que la imagen podrá preservarse cuando se
desvincule del ámbito laboral propio.
Estos tres derechos podrán verse afectados, por tanto, de manera independiente, pero también, con
frecuencia, de forma conjunta, dada su evidente proximidad.
Estos derechos tienen su más inmediato riesgo, en el ejercicio de las libertades de expresión e información,
lo que llevará a que el ejercicio en la ponderación de bienes entre los derechos del artículo 18 y 20
constituyan un ejercicio habitual por parte de los operadores del derecho.
2.1.2. Secreto de las comunicaciones
En una sociedad tecnológicamente avanzada como la actual, el secreto de las comunicaciones constituye
no solo una garantía de la libertad individual, sino un instrumento de desarrollo cultural, científico y
tecnológico colectivo.
La protección del derecho de las comunicaciones tiene una entidad propia, diferenciada de su vinculación
con el derecho a la intimidad, ya que las comunicaciones deberán resultar protegidas con independencia
de su contenido, esto es, ya se trate de comunicaciones de carácter íntimo o de otro género. En efecto,
según ha destacado la doctrina y la jurisprudencia, el art. 18.3 CE tiene un contenido puramente
formal, protegiendo tanto de las intromisiones de los poderes públicos como de los particulares.
Aunque en el art. 18.3 CE se mencionan solo las comunicaciones postales, telegráficas o telefónicas, dado
el carácter abierto de su enunciado, cabe entender comprendidas también otro tipo de comunicaciones
más actuales, como pueda ser el correo electrónico, chats u otros medios de comunicación, siempre que se
efectúen mediante algún artificio instrumental o técnico, pues la presencia de un elemento ajeno a
aquellos entre los que media el proceso de comunicación es indispensable para configurar el ilícito
constitucional del precepto; en consecuencia, el levantamiento del secreto por uno de los intervinientes no
se consideraría violación del art. 18.3 CE, sino, en su caso, vulneración del derecho a la intimidad.
Puede ser titular de este derecho, cualquier persona física o jurídica, ya sea nacional o extranjera.
En el Código Penal tienen cabida la tipificación de la interceptación de comunicaciones por parte
de particulares, personas físicas (art. 197) o jurídicas (art. 197 quinquies), citándose expresamente no
solo las postales y las telefónicas, sino también el correo electrónico.
Mención aparte merece la intervención efectuada por autoridad o funcionario público, fuera de los casos
permitidos por la ley y sin mediar causa por delito (art. 198 CP) o, incluso la autoridad, funcionario
público o agente de estos, que mediando causa por delito, interceptare las telecomunicaciones o utilizare
artificios técnicos de escuchas, transmisión, grabación o reproducción del sonido, de la imagen o de
cualquier otra señal de comunicación, con violación de las garantías constitucionales o legales, variando la
pena dependiendo de si ha divulgado o no la información obtenida (art. 536 Código penal).
La protección de este tipo de comunicaciones supone que no podrá interferirse o intervenirse la
comunicación de cualquier persona, salvo resolución judicial y con las garantías previstas. Sin embargo,

en virtud del medio de comunicación elegido se presentan distintos matices.
En el caso de las comunicaciones postales, se garantiza el secreto de la comunicación, así como de
cualquier dato relativo al envío. Ahora bien, se entiende que la garantía de inviolabilidad se extenderá a
los paquetes postales que sean susceptibles de contener algo relativo a la intimidad de las personas, pero
no a aquellos que contengan mercancías. Este matiz se generaliza a partir de la STC núm. 281/2006, que
señala que el 18.3 de la CE no protege el secreto postal, sino el secreto de las comunicaciones postales, de
forma que, dentro del ámbito de este derecho fundamental no se incluyen todos los intercambios
realizados mediante servicio postal, sino solo los que supongan una forma concreta de comunicación.
El fundamento de esta excepción a la inviolabilidad es que el remitente acepta que el contenido del
paquete sea conocido por cualquiera (caso del paquete abierto o del paquete cuyo contenido puede
apreciarse por el simple examen exterior) o que el paquete sea abierto por las autoridades para el control
de su contenido (caso de la «etiqueta verde»), lo que implica inequívoca renuncia a hacer valer el derecho
al secreto de las comunicaciones.
La excepción respecto de los paquetes abiertos y de aquellos cuyo contenido puede conocerse con
precisión por el simple examen exterior se explica por sí sola. Más problemática es la cuestión de la
«etiqueta verde», distintivo que debe adherirse a ciertos envíos postales y cuya función es identificarlos
como sujetos a control aduanero. Su uso, por tanto, se ciñe a envíos postales que han de traspasar
fronteras estatales y no se extiende a los envíos que se realicen dentro del territorio del Estado.
En todo caso, cabe distinguir entre:
(1). Correspondencia. Como regla general, no está sujeta a control aduanero. Los envíos de
correspondencia que, por razón de su contenido, sí deban pasar el control de aduanas han de
identificarse mediante la etiqueta verde.
(2). Paquetes reducidos. Están sujetos siempre a control aduanero y deben llevar, por tanto, en todo
caso, la etiqueta verde.
(3). Paquetes postales. Están sujetos a control aduanero, pero no llevan etiqueta verde sino que se
exige que vayan acompañados de declaración de aduanas. En realidad, la etiqueta verde no es
otra cosa que un modelo simplificado o reducido de declaración de aduanas.
Los operadores postales deberán garantizar el secreto de las comunicaciones postales en la forma prevista
en la Ley 43/2010, de 30 de diciembre, del servicio postal universal, de los derechos de los usuarios y del
mercado postal y en su reglamento de desarrollo, aprobado por Real Decreto 1829/1999, de 3 de
diciembre, teniendo en cuenta que quedan derogados cuantos preceptos de esta norma contradigan lo
dispuesto en el Real Decreto 1298/2006, de 10 de noviembre, por el que se regula el acceso a la red
postal pública y se determina el procedimiento de resolución de conflictos entre operadores postales,
según establece su disposición derogatoria única.
En el ámbito penal, las garantías de la intervención se realizarán, conforme a lo establecido en el capítulo
III, del título VIII de la LeCrim, relativo a «la detención y apertura de la correspondencia escrita y
telegráfica».
El ordenamiento también prevé asimismo un supuesto de intervención de carácter civil, el relativo a la
intervención de las comunicaciones del concursado para salvaguardar la masa concursal, con garantía del
secreto de los contenidos que sean ajenos al interés del concurso, tal y como establece el art. 1.1 de la Ley
Orgánica 8/2003, de 9 de julio, para la reforma concursal.
La mayor incidencia del derecho garantizado por el art. 18.3 CE, la encontramos en las comunicaciones
telefónicas, donde se plantean distintos grados de posible vulneración del secreto de las comunicaciones:
intervención, grabación o recuento; es decir se admite la vulneración del derecho no solo cuando se
accede a lo comunicado, sino también cuando se conoce con quién o con qué número se comunica, e
incluso la duración de la comunicación, según ha puesto de relieve el TEDH o nuestro Tribunal
Constitucional, el cual, no obstante ha destacado «la menor intensidad de la injerencia» cuando no se
accede al contenido de la comunicación.
La regulación legal de las interceptaciones telefónicas la encontramos en el capítulo IV del título VIII de
la LeCrim., introducido por la LO 13/2015, de 5 de octubre, de modificación de la Ley de
Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas
de investigación tecnológica, y rubricado: «Disposiciones comunes a la interceptación de las

comunicaciones telefónicas y telemáticas, la captación y grabación de comunicaciones orales
mediante la utilización de dispositivos electrónicos, la utilización de dispositivos técnicos de seguimiento,
localización y captación de la imagen, el registro de dispositivos de almacenamiento masivo de
información y los registros remotos sobre equipos informáticos».
El Real Decreto 424/2005, de 15 de abril, que aprueba el Reglamento sobre las condiciones para la
prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los
usuarios, regula en el capítulo II del título V, los aspectos relativos a la interceptación legal de las
comunicaciones, estableciendo, en particular, las obligaciones que se imponen a las empresas de
telecomunicación en relación con las intervenciones telefónicas, así como las exigencias en orden a afectar
mínimamente a la intimidad y a la obligación de confidencialidad por parte de los que llevan a cabo las
citadas intervenciones.
2.1.3. Informática
Es nuestra Constitución una de las primeras en introducir la protección de los datos frente al uso de la
informática, dado que es precisamente en los años de su redacción cuando comienzan a apreciarse los
peligros que puede entrañar el archivo y uso ilimitado de los datos informáticos.
En concreto, la STC 94/1988 señaló que nos encontramos ante un derecho fundamental a la protección
de datos por el que se garantiza a la persona el control sobre sus datos personales y su uso y destino, para
evitar el tráfico ilícito de los mismos o que sea lesivo para la dignidad y los derechos de los afectados; de
esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para
oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su
obtención.
Este derecho se halla estrechamente vinculado con la libertad ideológica, pues evidentemente el
almacenamiento y la utilización de datos informáticos puede suponer un riesgo para aquella,
especialmente en lo que se refiere a determinados «datos sensibles», entre los que se pueden encontrar los
de carácter ideológico o religioso.
2.2. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección

de Datos de Carácter Personal (LOPD) y su Reglamento de
desarrollo aprobado por RD 1720/2007 (RLOPD)
2.2.1. Disposiciones generales (título I)
2.2.1.1. Objeto y ámbito de aplicación.

La LOPD tiene por objeto garantizar y proteger, en lo relativo al tratamiento de los datos personales, las
libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e
intimidad personal y familiar.
En cuanto al ámbito de aplicación, será de aplicación la LOPD a los datos de carácter personal
registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior
de estos datos por los sectores público y privado:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un
establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación
la legislación española en aplicación de normas de Derecho Internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y
utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se
utilicen únicamente con fines de tránsito.
Sin embargo, no será de aplicación este régimen de protección de los datos:
a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente

personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de
delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará
previamente la existencia del mismo, sus características generales y su finalidad a la Agencia
española de Protección de Datos.
Establece asimismo el Reglamento de desarrollo de la LOPD, en relación con el ámbito objetivo de
aplicación, que no será aplicable lo dispuesto en este reglamento:
• A los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a
incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes
únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la
dirección postal o electrónica, teléfono y número de fax profesionales.
• A los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de
comerciantes, industriales o navieros.
• A los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por
razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos
que contengan datos de este con la finalidad de notificar el fallecimiento, aportando acreditación
suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.
Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por la
LOPD los siguientes tratamientos de datos personales:
a) Los ficheros regulados por la legislación de régimen electoral.
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o
autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales
de calificación a que se refiere la legislación del régimen del personal de las fuerzas armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por
las fuerzas y cuerpos de seguridad, de conformidad con la legislación sobre la materia.
2.2.1.2. Definiciones (art. 3 LOPD)

Se entenderá por:
a) Datos de carácter personal: cualquier información concerniente a personas físicas
identificadas o identificables; definición que se ve ampliada en el RLOPD, al establecer que se
trata de cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier
otro tipo. Dentro de este concepto tan amplio, podemos encontrar las siguientes definiciones que
establece el RLOPD en su art. 5:
• Persona identificable, considerada como «toda persona cuya identidad pueda
determinarse, directa o indirectamente, mediante cualquier información referida a su
identidad física, fisiológica, psíquica, económica, cultural o social». Una persona física
no se considerará identificable si dicha identificación requiere plazos o actividades
desproporcionados.
• Datos de carácter personal relacionados con la salud, son «las informaciones
concernientes a la salud pasada, presente y futura, física o mental, de un individuo». En
particular, se consideran datos relacionados con la salud de las personas, los referidos a
su porcentaje de discapacidad y a su información genética.
b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma
o modalidad de su creación, almacenamiento, organización y acceso. Estos ficheros pueden ser
de titularidad:
• Pública. Ficheros de los que sean responsables los órganos constitucionales, las
Administraciones públicas territoriales, así como las entidades u organismos vinculados o
dependientes de las mismas y las corporaciones de derecho público, siempre que su finalidad
sea el ejercicio de potestades de derecho público.
• Privada. Ficheros de los que sean responsables las personas, empresas o entidades de derecho

privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de
sus recursos económicos.
c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o
no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o
privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
Esta decisión la podrá tomar solo o conjuntamente con otros.
e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a
que se refiere el apartado c).
f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la
información que se obtenga no pueda asociarse a persona identificada o identificable.
g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o
cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta
del responsable del tratamiento. Todo ello como consecuencia de la existencia de una relación
jurídica que le vincula con el mismo, delimitando el ámbito de su actuación para la prestación de
un servicio.
h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca,
específica e informada, mediante la que el interesado consienta el tratamiento de datos
personales que le conciernen.
i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta
del interesado.
j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por
cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el
abono de una contraprestación. Tienen la consideración de fuentes de acceso público,
exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos de profesionales que
contengan únicamente los datos de nombre, título, profesión, actividad, grado académico,
dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de
acceso público los diarios y boletines oficiales y los medios de comunicación.
2.2.2. Principios de la protección de datos (tít. II LOPD)
2.2.2.1. Calidad de los datos

Los datos de carácter personal:
Solo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean
adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas
y legítimas para las que se hayan obtenido.
Deberán ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos,
desleales o ilícitos.
No podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido
recogidos. No se considerará incompatible el tratamiento posterior de estos con fines históricos,
estadísticos o científicos.
Serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Si
los datos resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de
oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades de los
afectados para ejercer su derecho de rectificación y cancelación.
Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual

hubieran sido recabados o registrados. No obstante, podrán conservarse durante el tiempo en que pueda
exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de
un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.
No serán conservados en forma que permita la identificación del interesado durante un período superior
al necesario para los fines en base a los cuales hubieran sido recabados o registrados, es decir, solo podrán
ser conservados previa disociación de los mismos.
Serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente
cancelados.
2.2.2.2. Derecho de información en la recogida de los datos

Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo
expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la
recogida de estos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice
en el tratamiento de datos, medios situados en territorio español, deberá designar, salvo que tales medios
se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran
emprenderse contra el propio responsable del tratamiento.
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma
claramente legible, las advertencias referidas.
No será necesaria la información a que se refieren las letras b), c) y d) anteriores, si el contenido de ella se
deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que
se recaban.
Cuando los datos de carácter personal no hayan sido recabados del interesado, este deberá ser
informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante,
dentro de los 3 meses siguientes al momento del registro de los datos, salvo que ya hubiera sido
informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo
previsto en las letras a), d) y e) anteriores.
No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea,
cuando el tratamiento tenga fines históricos estadísticos o científicos, o cuando la información al
interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia española de
Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados,
a la antigüedad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes
accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en
cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del
responsable del tratamiento así como de los derechos que le asisten.
2.2.2.3. Consentimiento del afectado

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado,
salvo que la ley disponga otra cosa.
No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las
funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a
las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean
necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad
proteger un interés vital del interesado, o cuando los datos figuren en fuentes accesibles al público y su

tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero
o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades
fundamentales del interesado.
El consentimiento otorgado por el afectado podrá ser revocado cuando exista causa justificada para
ello y no se le atribuyan efectos retroactivos.
El afectado podrá revocar su consentimiento a través de un medio sencillo, gratuito y que no implique
ingreso alguno para el responsable del fichero o tratamiento. En particular, se considerará ajustado al
reglamento el procedimiento en el que tal negativa pueda efectuarse, entre otros, mediante un envío
prefranqueado al responsable del tratamiento o la llamada a un número telefónico gratuito o a los
servicios de atención al público que el mismo hubiera establecido.
No se considerarán conformes a lo dispuesto en la LOPD, los supuestos en que el responsable establezca
como medio para que el interesado pueda manifestar su negativa al tratamiento, el envío de cartas
certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que implique una
tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste adicional al
interesado.
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de
carácter personal, y siempre que una ley no disponga lo contrario, este podrá oponerse a su tratamiento
cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto,
el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
2.2.2.3.1. Consentimiento para el tratamiento de datos de menores de edad
Podrá procederse al tratamiento de los datos de los mayores de 14 años con su consentimiento, salvo
en aquellos casos en los que la ley exija para su prestación la asistencia de los titulares de la patria potestad
o tutela. En el caso de los menores de 14 años se requerirá el consentimiento de los padres o tutores.
En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás
miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad
profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el
consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y
dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista.
Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos
deberá expresarse en un lenguaje que sea fácilmente comprensible por aquellos, con expresa indicación
de lo dispuesto en este artículo.
Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que
se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en
su caso, por los padres, tutores o representantes legales.
2.2.2.4. Datos especialmente protegidos

De acuerdo con lo establecido en el art. 16.2 CE, «nadie podrá ser obligado a declarar sobre su ideología,
religión o creencias».
Cuando en relación con estos datos se proceda a recabar el consentimiento, se advertirá al interesado
acerca de su derecho a no prestarlo.
Solo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los
datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan
los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas
y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica,
religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la
cesión de dichos datos precisará siempre el previo consentimiento del afectado.
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual, solo
podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga
una ley o el afectado consienta expresamente.

Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter
personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida
sexual.
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas solo
podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos
en las respectivas normas reguladoras.
No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de
carácter personal relativos a afiliación sindical, religión, creencias, origen racial, salud y vida sexual,
cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la
prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre
que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por
otra persona sujeta asimismo a una obligación equivalente de secreto.
También podrán ser objeto de tratamiento estos datos, cuando el tratamiento sea necesario para
salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado
esté física o jurídicamente incapacitado para dar su consentimiento.
2.2.2.5. Datos relativos a la salud

Las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes, podrán
proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos
acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o
autonómica sobre sanidad.
2.2.2.6. Seguridad de los datos

El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar las medidas de
índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la
acción humana o del medio físico o natural.
No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen,
con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y
programas.
2.2.2.7. Deber de secreto

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter
personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso,
con el responsable del mismo.
2.2.2.8. Comunicación de datos

Los datos de carácter personal objeto del tratamiento solo podrán ser comunicados a un tercero para el
cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario
con el previo consentimiento del interesado.
El consentimiento exigido en el apartado anterior no será preciso:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo
desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento
con ficheros de terceros. En este caso la comunicación solo será legítima en cuanto se limite a la
finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el
Ministerio Fiscal o los jueces o tribunales o el Tribunal de Cuentas, en el ejercicio de las
funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación

tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del
Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento
posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar
una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en
los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando
la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos
cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de
revocable.
Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la
comunicación, a la observancia de las disposiciones de la LOPD.
Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los
apartados anteriores.
2.2.2.8.1. Acceso a los datos por cuenta de terceros
No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea
necesario para la prestación de un servicio al responsable del tratamiento.
La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá
constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido,
estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a
las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que
figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad de los datos, que el encargado del
tratamiento está obligado a implementar.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o
devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste
algún dato de carácter personal objeto del tratamiento. No procederá la destrucción de los datos cuando
exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de
los mismos garantizando el responsable del fichero dicha conservación.
El encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran
derivarse responsabilidades de su relación con el responsable del tratamiento.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los
utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del
tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
2.2.3. Derechos de las personas (título III LOPD)
2.2.3.1. Impugnación de valoraciones

Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que
les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar
determinados aspectos de su personalidad.
El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una
valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter
personal que ofrezca una definición de sus características o personalidad.
En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los
criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en
que consistió el acto. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento

de datos, únicamente podrá tener valor probatorio a petición del afectado.
2.2.3.2. Derecho de consulta al Registro General de Protección de Datos

Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de
Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la
identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita.
2.2.3.3. Derechos de acceso, rectificación, cancelación y oposición (ARCO)

Los derechos ARCO son personalísimos y se ejercitarán:
a) Por el afectado, acreditando su identidad.
b) Cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le
imposibilite el ejercicio personal de estos derechos, podrán ejercitarse por su representante legal,
en cuyo caso será necesario que acredite tal condición.
c) A través de representante voluntario, expresamente designado para el ejercicio del derecho. En
ese caso, deberá constar claramente acreditada la identidad del representado, mediante la
aportación de copia del DNI o documento equivalente, y la representación conferida por aquel.
Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado y no
se acreditase que la misma actúa en representación de aquel.
Los derechos de acceso, rectificación, cancelación y oposición son derechos independientes, de tal
forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio
de otro. Con la entrada en vigor del Reglamento (UE) 2016/679, del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, se añaden los derechos de: portabilidad, supresión
(«olvido») y limitación de los datos, por lo que, de forma genérica se habla de derechos ARCO-
POL. (Ver apartado 2.3.2)
El responsable del fichero o tratamiento deberá atender la solicitud de acceso, rectificación, cancelación u
oposición ejercida por el afectado aun cuando el mismo no hubiese utilizado el procedimiento establecido
específicamente al efecto por aquel, siempre que el interesado haya utilizado un medio que permita
acreditar el envío y la recepción de la solicitud, y que esta contenga los elementos requeridos.
2.2.3.3.1. Derecho de acceso
El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter
personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que
se prevén hacer de los mismos.
En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento, información
relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos
sometidos a tratamiento.
La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización en
pantalla, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, o fotocopia,
certificada o no, remitida por correo, telecopia, correo electrónico u otros sistemas de comunicaciones
electrónicas o cualquier otro sistema, en forma legible e inteligible, sin utilizar claves o códigos que
requieran el uso de dispositivos mecánicos específicos.
El derecho de acceso solo podrá ser ejercitado a intervalos no inferiores a 12 meses, salvo que el
interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.
El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de 1 mes a
contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la
petición de acceso, el interesado podrá interponer la reclamación para ejercer sus derechos.
En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente
comunicárselo en el mismo plazo.

Si la solicitud fuera estimada y el responsable no acompañase a su comunicación la información a la que
se refiere el art. 27.1 del RLOPD, el acceso se hará efectivo durante los 10 días siguientes a
dicha comunicación.
Dicha información comprenderá todos los datos de base del afectado, los resultantes de cualquier
elaboración o proceso informático, así como la información disponible sobre el origen de los datos, los
cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se
almacenaron los datos.
2.2.3.3.2. Derecho de rectificación y cancelación
El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser
inexactos o incompletos.
El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser
inadecuados o excesivos, sin perjuicio del deber de bloqueo correspondiente.
El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o
cancelación del interesado en el plazo de 10 días.
Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a
lo dispuesto en la LOPD y, en particular, cuando tales datos resulten inexactos o incompletos.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las
Administraciones públicas, jueces y tribunales, para la atención de las posibles responsabilidades nacidas
del tratamiento, durante el plazo de prescripción de estas. Cumplido el citado plazo deberá procederse a
la supresión.
Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del
tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el
caso de que se mantenga el tratamiento por este último, que deberá también proceder a la rectificación o
cancelación en el mismo plazo de diez días.
Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones
aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del
tratamiento y el interesado.
2.2.3.3.3. Derecho de oposición
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de
carácter personal o se cese en el mismo en los siguientes supuestos:
a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la
concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo
justifique, siempre que una ley no disponga lo contrario.
b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad
y prospección comercial, en los términos previstos en el art. 51 del reglamento LOPD,
cualquiera que sea la empresa responsable de su creación.
c) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y
basada únicamente en un tratamiento automatizado de sus datos de carácter personal, en los
términos previstos en el art. 36 del reglamento.
El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de 10 días a
contar desde la recepción de la solicitud.
2.2.3.4. Tutela de los derechos

Las actuaciones contrarias a lo dispuesto en la LOPD pueden ser objeto de reclamación por los
interesados ante la Agencia española de Protección de Datos, en la forma que reglamentariamente se
determine.
El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso,

rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia española de Protección de
Datos o, en su caso, del organismo competente de cada comunidad autónoma, que deberá asegurarse de
la procedencia o improcedencia de la denegación.
El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de 6 meses.
Contra las resoluciones de la Agencia española de Protección de Datos procederá recurso
contencioso-administrativo.
2.2.3.5. Derecho a indemnización

Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la LOPD por el
responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán
derecho a ser indemnizados.
Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la
legislación reguladora del régimen de responsabilidad de las Administraciones públicas.
En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción
ordinaria.
2.2.4. Ficheros de las fuerzas y cuerpos de seguridad (cap. I, título IV LOPD. Ficheros de
titularidad pública)
Los ficheros creados por las fuerzas y cuerpos de seguridad que contengan datos de carácter personal que,
por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos
al régimen general de la LOPD.
La recogida y tratamiento para fines policiales de datos de carácter personal por las fuerzas y cuerpos de
seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de
datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la
represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto,
que deberán clasificarse por categorías en función de su grado de fiabilidad.
La recogida y tratamiento por las fuerzas y cuerpos de seguridad de los datos que revelen la ideología,
afiliación sindical, religión y creencias así como los que hagan referencia al origen racial, a la salud y a la
vida sexual, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para
los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación
administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados
que corresponden a los órganos jurisdiccionales.
Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las
averiguaciones que motivaron su almacenamiento.
A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados,
la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la
resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de
responsabilidad.
2.2.4.1. Excepciones a los derechos de acceso, rectificación y cancelación.

Los responsables de los ficheros que contengan los datos a que se refiere el punto anterior, podrán
denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para
la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las
necesidades de las investigaciones que se estén realizando.
Los responsables de los ficheros de la Hacienda pública podrán, igualmente, denegar el ejercicio de los
derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas
tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado
esté siendo objeto de actuaciones inspectoras.
El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los

apartados anteriores podrá ponerlo en conocimiento del director de la Agencia española de Protección de
Datos o del organismo competente de cada comunidad autónoma en el caso de ficheros mantenidos por
cuerpos de Policía propios de estas, o por las Administraciones tributarias autonómicas, quienes deberán
asegurarse de la procedencia o improcedencia de la denegación.
2.2.5. Agencia española de Protección de Datos (título VI LOPD)
2.2.5.1. Naturaleza y régimen jurídico

La Agencia española de Protección de Datos (AEPD) es un ente de derecho público, con personalidad
jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las
Administraciones públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la LOPD y en un
estatuto propio, que será aprobado por el Gobierno.
En el ejercicio de sus funciones públicas, y en defecto de lo que disponga la LOPD y sus disposiciones de
desarrollo, la Agencia española de Protección de Datos actuará de conformidad con la Ley 39/2015, de 1
de octubre, del Procedimiento Administrativo Común de las Administraciones públicas. En sus
adquisiciones patrimoniales y contratación estará sujeta al derecho privado.
Los puestos de trabajo de los órganos y servicios que integren la Agencia española de Protección de Datos
serán desempeñados por funcionarios de las Administraciones públicas y por personal contratado al
efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal está
obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su
función.
La Agencia española de Protección de Datos contará, para el cumplimiento de sus fines, con los siguientes
bienes y medios económicos:
a) Las asignaciones que se establezcan anualmente con cargo a los presupuestos generales del
Estado.
b) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.
c) Cualesquiera otros que legalmente puedan serle atribuidos.
La Agencia española de Protección de Datos elaborará y aprobará con carácter anual el correspondiente
anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado, con la debida
independencia, en los presupuestos generales del Estado.
2.2.5.2. El director de la AEPD

El director de la Agencia española de Protección de Datos, dirige la Agencia y ostenta su representación.
Será nombrado, de entre quienes componen el consejo consultivo, mediante real decreto, por un período
de cuatro años.
Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en el
desempeño de aquellas. En todo caso, el director deberá oír al consejo consultivo en aquellas propuestas
que este le realice en el ejercicio de sus funciones.
El director de la Agencia española de Protección de Datos solo cesará antes de la expiración del período
de los cuatro años, a petición propia o por separación acordada por el Gobierno, previa instrucción de
expediente, en el que necesariamente serán oídos los restantes miembros del consejo consultivo, por
incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función,
incompatibilidad o condena por delito doloso.
El director de la Agencia española de Protección de Datos tendrá la consideración de alto cargo y
quedará en la situación de servicios especiales si, con anterioridad, estuviera desempeñando una función
pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal,
pasará asimismo a la situación administrativa de servicios especiales.
2.2.5.3. Funciones de la AEPD

Son funciones de la Agencia española de Protección de Datos:

a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación,
en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y
cancelación de datos.
b) Emitir las autorizaciones previstas en la ley o en sus disposiciones reglamentarias.
c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas
para adecuar los tratamientos a los principios de la LOPD.
d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.
e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los
datos de carácter personal.
f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de estos, la
adopción de las medidas necesarias para la adecuación del tratamiento de datos a las
disposiciones de la LOPD y, en su caso, ordenar la cesación de los tratamientos y la cancelación
de los ficheros, cuando no se ajuste a sus disposiciones.
g) Ejercer la potestad sancionadora en los términos previstos por el título VII de la LOPD, referido
a las infracciones y sanciones.
h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen la
LOPD.
i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el
desempeño de sus funciones.
j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo
efecto publicará periódicamente una relación de dichos ficheros con la información adicional
que el director de la Agencia determine.
k) Redactar una memoria anual y remitirla al Ministerio de Justicia.
l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos
internacionales de datos, así como desempeñar las funciones de cooperación internacional en
materia de protección de datos personales.
m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública
establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las
instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos
con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el art. 46.
n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Las resoluciones de la Agencia española de Protección de Datos se harán públicas, una vez hayan sido
notificadas a los interesados. La publicación se realizará preferentemente a través de medios informáticos
o telemáticos.
2.2.5.4. Consejo consultivo de la AEPD

El director de la Agencia española de Protección de Datos estará asesorado por un consejo consultivo
compuesto por los siguientes miembros:
a) Un diputado, propuesto por el Congreso de los Diputados.
b) Un senador, propuesto por el Senado.
c) Un representante de la Administración central, designado por el Gobierno.
d) Un representante de la Administración local, propuesto por la Federación Española de
Municipios y Provincias (FEMP).
e) Un miembro de la Real Academia de la Historia, propuesto por la misma.
f) Un experto en la materia, propuesto por el Consejo Superior de Universidades.
g) Un representante de los usuarios y consumidores, seleccionado del modo que se prevea
reglamentariamente.

h) Un representante de cada comunidad autónoma que haya creado una Agencia de Protección de
Datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la
respectiva comunidad autónoma.
i) Un representante del sector de ficheros privados, para cuya propuesta se seguirá el
procedimiento que se regule reglamentariamente.
El funcionamiento del consejo consultivo se regirá por las normas reglamentarias que al efecto se
establezcan.
2.2.5.5. El Registro General de Protección de Datos

El Registro General de Protección de Datos es un órgano integrado en la Agencia española de Protección
de Datos.
Serán objeto de inscripción en el Registro General de Protección de Datos:
a) Los ficheros de que sean titulares las Administraciones públicas.
b) Los ficheros de titularidad privada.
c) Las autorizaciones a que se refiere la LOPD.
d) Los códigos tipo a que se refiere el art. 32 LOPD, códigos tipo que establezcan las condiciones
de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad
del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la
información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de
las personas con pleno respeto a los principios y disposiciones de la LOPD y sus normas de
desarrollo.
e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de
información, acceso, rectificación, cancelación y oposición.
Establece el Reglamento de desarrollo de la LOPD en el capítulo II de su título V, el procedimiento de
notificación e inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el
Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación,
reclamaciones y demás extremos pertinentes.
2.2.5.6. Inspección en materia de protección de datos

Con la entrada en vigor del Real Decreto-Ley 5/2018, de 27 de julio, de medidas urgentes
para la adaptación del Derecho español a la normativa de la Unión Europea en materia
de protección de datos, se da respuesta a la necesidad de «adaptar» de forma temporal (hasta que
entre en vigor la nueva ley orgánica de protección de datos que está en trámites parlamentarios), lo
establecido por el Reglamento (UE) 2016/679 y la remisión que este hace a los ordenamientos nacionales,
para el desarrollo de determinado contenido.
Con la entrada en vigor de los art. 1 y 2 del RD Ley 5/2018, se deroga el art. 40 de la LOPD, que hacía
referencia a «la potestad de inspección», quedando regulado, de la siguiente manera:
La actividad de investigación de la Agencia Española de Protección de Datos se llevará a cabo por los
funcionarios de la Agencia o por funcionarios ajenos a ella habilitados expresamente por su Director.
En los casos de actuaciones conjuntas de investigación conforme a lo dispuesto en el art. 62 del
Reglamento (UE) 2016/679, el personal de las autoridades de control de otros Estados miembros de UE
que colabore con la Agencia ejercerá sus facultades con arreglo a lo previsto en la normativa española y
bajo la orientación y en presencia del personal de ésta.
Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la
autoridad en el ejercicio de sus funciones, y estarán obligados a guardar secreto sobre las
informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él.
Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el
cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos
y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo
los tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de
tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.

Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de
conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización
judicial previa. Cuando se trate de órganos judiciales u Oficinas Judiciales el ejercicio de las facultades de
inspección se efectuará a través y por mediación del Consejo General del Poder Judicial.
2.2.5.7. Órganos correspondientes de las comunidades autónomas

Las funciones de la Agencia española de Protección de Datos reguladas en el art. 37 LOPD, a excepción
de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las
transferencias internacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas
competencias, serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o
gestionados por las comunidades autónomas y por la Administración local de su ámbito territorial, por los
órganos correspondientes de cada comunidad, que tendrán la consideración de autoridades de
control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido.
Las comunidades autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio
de las competencias que se les reconoce sobre los mismos.
El director de la Agencia española de Protección de Datos podrá convocar regularmente a los órganos
correspondientes de las comunidades autónomas a efectos de cooperación institucional y coordinación de
criterios o procedimientos de actuación. El director de la AEPD y los órganos correspondientes de las
comunidades autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento
de sus funciones.
2.2.5.7.1. Ficheros de las comunidades autónomas en materia de su exclusiva competencia
Cuando el director de la Agencia española de Protección de Datos constate que el mantenimiento o uso
de un determinado fichero de las comunidades autónomas contraviene algún precepto de la LOPD en
materia de su exclusiva competencia, podrá requerir a la Administración correspondiente que se adopten
las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento.
Si la Admón. pública correspondiente no cumpliera el requerimiento formulado, el director de la Agencia
española de Protección de Datos podrá impugnar la resolución adoptada por aquella Administración.
2.2.6. De las medidas de seguridad en el tratamiento de datos de carácter personal

(título VIII RLOPD)
2.2.6.1. Niveles de seguridad y su aplicación.

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico,
medio y alto.
Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de
seguridad calificadas de nivel básico. Deberán implantarse, además de las medidas de seguridad
de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de
carácter personal:
a) Los relativos a la comisión de infracciones administrativas o penales.
b) Aquellos cuyo funcionamiento se rija por el art. 29 de la LOPD, referente a la prestación de
servicios de información sobre solvencia patrimonial y crédito.
c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el
ejercicio de sus potestades tributarias.
d) Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con
la prestación de servicios financieros.
e) Aquellos de los que sean responsables las entidades gestoras y servicios comunes de la Seguridad
Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que
sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la
Seguridad Social.
f) Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición
de las características o de la personalidad de los ciudadanos y que permitan evaluar
determinados aspectos de la personalidad o del comportamiento de los mismos.

Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los
siguientes ficheros o tratamientos de datos de carácter personal:
a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial,
salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las
personas afectadas.
c) Aquellos que contengan datos derivados de actos de violencia de género.
A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones
electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los
datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel
básico y medio, la medida de seguridad de nivel alto contenida en el art. 103, registro de
accesos.
En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen
racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel
básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades
de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan
aquellos datos sin guardar relación con su finalidad.
También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o
tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad
o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del
cumplimiento de deberes públicos.
Las medidas incluidas en cada uno de los niveles descritos tienen la condición de mínimos exigibles,
sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de
aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero.
2.2.6.2. Medidas de seguridad aplicables a ficheros y tratamientos automatizados
MS NIVEL BÁSICO MS NIVEL MEDIO MS NIVEL ALTO
Gestión y distribución de soportes (art.

101). Sistemas de etiquetado comprensibles y
con significado que permitan a los usuarios
con acceso autorizado a los citados soportes y
Responsable de seguridad (art. 95). En documentos identificar su contenido, y que
Funciones y obligaciones del personal
ningún caso esta designación supone una dificulten la identificación para el resto de
(art.. 89): claramente definidas y
exoneración de la responsabilidad que personas.
documentadas en el documento de
corresponde al responsable del fichero o al La distribución de los soportes que contengan
seguridad.
encargado del tratamiento de acuerdo con este datos de carácter personal se realizará
reglamento. cifrando dichos datos o bien utilizando
otro mecanismo que garantice que dicha
información no sea accesible o manipulada
durante su transporte.
Auditoría (art. 96). A partir del nivel medio los
sistemas de información e instalaciones de
tratamiento y almacenamiento de datos se Copias de respaldo y recuperación (art.
Registro de incidencias (art. 90): someterán, al menos cada dos años, a una 102). Deberá conservarse una copia de
procedimiento de notificación y gestión de auditoría interna o externa que verifique el respaldo de los datos y de los procedimientos
las incidencias que afecten a los datos de cumplimiento del presente título. de recuperación de los mismos en un lugar
carácter personal y registro del tipo de Con carácter extraordinario deberá realizarse diferente de aquel en que se encuentren
incidencia, momento en que se ha dicha auditoría siempre que se realicen los equipos informáticos que los tratan,
producido, o en su caso, detectado, persona modificaciones sustanciales en el sistema de que deberá cumplir en todo caso las medidas
que notifica, a quién se le comunica, efectos información que puedan repercutir en el de seguridad exigidas en este título, o
que se hubieran derivado de la misma y cumplimiento de las medidas de seguridad utilizando elementos que garanticen la
medidas correctoras aplicadas. implantadas con el objeto de verificar la integridad y recuperación de la información,
adaptación, adecuación y eficacia de las mismas. de forma que sea posible su recuperación.
Esta auditoría inicia el cómputo de dos años
señalado.
Control de acceso (art. 91). Los

usuarios tendrán acceso únicamente a
aquellos recursos que precisen para el
Registro de accesos (art. 103). De cada
desarrollo de sus funciones.
intento de acceso se guardarán, como mínimo,
El responsable del fichero se encargará de
la identificación del usuario, la fecha y hora en
que exista una relación actualizada de
que se realizó, el fichero accedido, el tipo de
usuarios y perfiles de usuarios, y los accesos
acceso y si ha sido autorizado o denegado.
autorizados para cada uno de ellos.
El período mínimo de conservación de
Gestión de soportes y documentos
Gestión de soportes y documentos (art. los datos registrados será de dos años.
(art. 92): Los soportes y documentos
97). sistema de registro de entrada y salida de El responsable de seguridad se encargará de
deberán permitir identificar el tipo de
soportes que permita, directa o indirectamente, revisar al menos una vez al mes la información
información que contienen, ser
conocer el tipo de documento o soporte, la fecha de control registrada y elaborará un informe
inventariados y solo deberán ser accesibles
y hora, el emisor, el número de documentos o de las revisiones realizadas y los problemas
por el personal autorizado para ello.
soportes incluidos en el envío o recepción, el tipo detectados.
La salida de soportes y documentos
de información que contienen, la forma de envío
que contengan datos de carácter personal,
y la persona responsable de la recepción que
incluidos los comprendidos y/o anejos a un
deberá estar debidamente autorizada.
correo electrónico, fuera de los locales bajo
Identificación y autenticación (art. 98).
el control del responsable del fichero o
El responsable del fichero o tratamiento
tratamiento deberá ser autorizada por el
establecerá un mecanismo que limite la
responsable del fichero. Telecomunicaciones (art. 104). La
posibilidad de intentar reiteradamente el acceso
En el traslado de la documentación se transmisión de datos de carácter personal a
no autorizado al sistema de información.
adoptarán las medidas dirigidas a evitar la través de redes públicas o redes inalámbricas
sustracción, pérdida o acceso indebido a la de comunicaciones electrónicas se realizará
información durante su transporte. cifrando dichos datos o bien utilizando
Siempre que vaya a desecharse cualquier cualquier otro mecanismo que garantice que la
documento o soporte que contenga datos de información no sea inteligible ni manipulada
carácter personal deberá procederse a su por terceros.
destrucción o borrado, mediante la
adopción de medidas dirigidas a evitar el
acceso a la información contenida en el
mismo o su recuperación posterior.
Identificación y autenticación de los

Control de acceso físico (art. 99).
usuarios (art. 93). El documento de
Exclusivamente el personal autorizado en el
seguridad establecerá la periodicidad, que
documento de seguridad podrá tener acceso a los
en ningún caso será superior a un año, con
lugares donde se hallen instalados los equipos
la que tienen que ser cambiadas las
físicos que den soporte a los sistemas de
contraseñas que, mientras estén vigentes,
información.
se almacenarán de forma ininteligible.
Registro de incidencias (art. 100). En el
Copias de respaldo y recuperación
registro regulado en el art. 90 deberán
(art. 94): procedimientos de actuación para
consignarse, además, los procedimientos
la realización como mínimo semanal de
realizados de recuperación de los datos,
copias de respaldo, salvo que en dicho
indicando la persona que ejecutó el proceso, los
período no se hubiera producido ninguna
datos restaurados y, en su caso, qué datos ha sido
actualización de los datos.
necesario grabar manualmente en el proceso de
recuperación.
2.2.6.3. Medidas de seguridad aplicables a ficheros y tratamientos no automatizados
MS NIVEL BÁSICO MS NIVEL MEDIO MS NIVEL ALTO
A los ficheros no automatizados les será de aplicación lo

dispuesto en los capítulos I y II del presente título en lo
Almacenamiento de la
relativo a:
información (art. 111). Los
a) Alcance.
b) Niveles de seguridad. armarios, archivadores u otros
c) Encargado del tratamiento. elementos en los que se almacenen los
d) Prestaciones de servicios sin acceso a datos personales. ficheros no automatizados con datos de
e) Delegación de autorizaciones. carácter personal deberán encontrarse
Responsable de en áreas en las que el acceso esté
f) Régimen de trabajo fuera de los locales del responsable seguridad (art. protegido con puertas de acceso
del fichero o encargado del tratamiento. 109). dotadas de sistemas de apertura
g) Copias de trabajo de documentos.
h) Documento de seguridad. mediante llave u otro dispositivo
Asimismo, se les aplicará las medidas de seguridad de equivalente. Dichas áreas deberán
nivel básico para ficheros automatizados, en lo relativo a: permanecer cerradas cuando no sea
a) Funciones y obligaciones del personal. preciso el acceso a los documentos
b) Registro de incidencias. incluidos en el fichero.
c) Control de acceso.
d) Gestión de soportes.
Criterios de archivo (art. 106). El archivo de los soportes o
documentos se realizará de acuerdo con los criterios
previstos en su respectiva legislación. Estos criterios Auditoría (art. Copia o reproducción (art. 112):
deberán garantizar la correcta conservación de los 110).
únicamente realizada bajo el control
documentos, la localización y consulta de la información y del personal autorizado.
posibilitar el ejercicio de los derechos de oposición al
tratamiento, acceso, rectificación y cancelación.
Acceso a la documentación (art.

Dispositivos de almacenamiento (art. 107):
113): limitado exclusivamente al
mecanismos que obstaculicen su apertura. Cuando las
personal autorizado. Se establecerán
características físicas de aquellos no permitan adoptar esta
mecanismos que permitan identificar
medida, el responsable del fichero o tratamiento adoptará
los accesos realizados en el caso de
medidas que impidan el acceso de personas no
documentos que puedan ser utilizados
autorizadas.
por múltiples usuarios.
Custodia de los soportes (art. 108). Mientras la
documentación con datos de carácter personal no se
encuentre archivada en los dispositivos de Traslado de documentación (art.
almacenamiento establecidos en el artículo anterior, por 114). Siempre que se proceda al
estar en proceso de revisión o tramitación, ya sea previo o traslado físico de la documentación
posterior a su archivo, la persona que se encuentre al contenida en un fichero, deberán
cargo de la misma deberá custodiarla e impedir en todo adoptarse medidas dirigidas a impedir
momento que pueda ser accedida por persona no el acceso o manipulación de la
autorizada. información objeto de traslado.
2.2.7. Régimen sancionador en materia de protección de datos (cap. II, RD-Ley 5/2018)
2.2.7.1. Responsables y tipos de infracciones

Con la entrada en vigor del capítulo II del RD Ley 5/2018, se derogan los artículos 43 a 49, a excepción
del art. 46 de la LOPD, que hacía referencia a las «infracciones y sanciones» quedando regulado, de la
siguiente manera.
Están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y la normativa

española de protección de datos (art. 3 RD Ley 5/2018):
a) Los responsables de los tratamientos.
b) Los encargados de los tratamientos.
c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el
territorio de la Unión Europea.
d) Las entidades de certificación.
e) Las entidades acreditadas de supervisión de los códigos de conducta.
No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia.Las

infracciones se calificarán como leves, graves o muy graves (art. 44 LOPD).
Constituyen infracciones las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los
apartados 4, 5 y 6 de su artículo 83.
ART. 83.4 ART. 83.5 ART. 83.6
Las infracciones de las disposiciones Las infracciones de las disposiciones El incumplimiento de las resoluciones
siguientes se sancionarán, de acuerdo con siguientes se sancionarán, de acuerdo de la autoridad de control a tenor del
el apartado 2, con multas con el apartado 2, con multas artículo 58, apartado 2, se sancionará
administrativas de 10 000 000 EUR administrativas de 20 000 000 EUR de acuerdo con el apartado 2 del
como máximo o, tratándose de una como máximo o, tratándose de una presente artículo con multas
empresa, de una cuantía empresa, de una cuantía administrativas de 20 000 000
equivalente al 2 % como máximo equivalente al 4 % como máximo EUR como máximo o, tratándose de
del volumen de negocio total anual del volumen de negocio total anual una empresa, de una cuantía
global del ejercicio financiero anterior, global del ejercicio financiero anterior, equivalente al 4 % como
optándose por la de mayor cuantía: optándose por la de mayor cuantía: máximo del volumen de negocio
total anual global del ejercicio
a) las obligaciones del responsable y del a) los principios básicos para el financiero anterior, optándose por la
encargado a tenor de los artículos 8, 11, 25 tratamiento, incluidas las condiciones de mayor cuantía.
a 39, 42 y 43; para el consentimiento a tenor de los
artículos 5, 6, 7 y 9;
b) las obligaciones de los organismos de b) los derechos de los interesados a tenor
certificación a tenor de los artículos 42 y de los artículos 12 a 22;
43; c) las transferencias de datos personales a
un destinatario en un tercer país o una
c) las obligaciones de la autoridad de organización internacional a tenor de los
control a tenor del artículo 41, apartado 4. artículos 44 a 49;

d) toda obligación en virtud del Derecho
de los Estados miembros que se adopte
con arreglo al capítulo IX;
e) el incumplimiento de una resolución o
de una limitación temporal o definitiva
del tratamiento o la suspensión de los
flujos de datos por parte de la autoridad
de control con arreglo al artículo 58,
apartado 2, o el no facilitar acceso en
incumplimiento del art. 58, apartado 1.
INFRACCIONES DE LAS ADMINISTRACIONES PÚBLICAS
Cuando las infracciones a que se refiere el art. 44 fuesen cometidas en ficheros de titularidad pública, o en relación con
tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución
estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se
notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.
El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las
sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas.
Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se
refieren los apartados anteriores.
El director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de
los apartados anteriores.
PRESCRIPCIÓN (artículo 5 y 6 RD Ley 5/2018)
Las infracciones previstas en el art. 83.6 del Reglamento (UE) Las sanciones por un importe superior a 300 000 euros
2016/679 prescribirán a los 3 años. prescriben a los 3 años.
Las infracciones previstas en el art. 83.5 del Reglamento (UE) Las sanciones por importe comprendido entre 40 001 y 300
2016/679 prescribirán a los 3años. 000 euros prescriben a los 2 años.
Las infracciones previstas en el art. 83.4 Reglamento (UE) Las sanciones por importe igual o inferior a 40 000 euros,
2016/679 prescribirán a los 2 años. prescriben en el plazo de 1 año.
Interrumpirá la prescripción la iniciación, con conocimiento El plazo de prescripción de las sanciones comenzará a contarse
del interesado, del procedimiento sancionador, reiniciándose el desde el día siguiente a aquel en que sea ejecutable la
plazo de prescripción si el expediente sancionador estuviere resolución por la que se impone la sanción o haya transcurrido
paralizado durante más de seis meses por causas no imputables el plazo para recurrirla.
al presunto infractor.
La prescripción se interrumpirá por la iniciación, con
Cuando la Agencia Española de Protección de Datos ostente la conocimiento del interesado, del procedimiento de ejecución,
condición de autoridad de control principal y deba seguirse el volviendo a transcurrir el plazo si el mismo está paralizado
procedimiento previsto en el artículo 60 del Reglamento (UE) durante más de seis meses por causa no imputable al infractor.
2016/679 interrumpirá la prescripción el conocimiento formal
por el interesado del proyecto de acuerdo de inicio que sea
sometido a las autoridades de control interesadas.
2.2.7.2. Procedimiento en caso de posible vulneración de la normativa de protección

de datos (cap. III, RD Ley 5/2018)
Las disposiciones de este capítulo serán de aplicación a los procedimientos tramitados por la Agencia
Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida
su solicitud de ejercicio de los derechos reconocidos en los arts. 15 a 22 del Reglamento (UE) 2016/679.
2.2.7.2.1. Forma de iniciación del procedimiento y duración.
a) Cuando el procedimiento se refiera a la falta de atención de una solicitud de ejercicio de
los derechos establecidos en los arts. 15 a 22 del Reglamento (UE) 2016/679, se
iniciará por acuerdo de admisión a trámite. Para resolver el plazo será de 6 meses a contar
desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite.
Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.
b) Cuando el procedimiento tenga por objeto la determinación de la posible existencia
de una infracción del Reglamento (UE) 2016/679 y la normativa española de protección
de datos, se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como
consecuencia de reclamación. El procedimiento tendrá una duración máxima de 9 meses a
contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.
Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones.
Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de
Protección de Datos, con carácter previo, esta decidirá sobre su admisión a trámite.
c) El procedimiento podrá también tramitarse como consecuencia de la comunicación a la
Agencia Española de Protección de Datos por parte de la autoridad de control de

otro Estado miembro de la Unión Europea de la reclamación formulada ante la
misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad
de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los arts.
56 y 60 del Reglamento (UE) 2016/679:
- Si el procedimiento se refiere a la falta de atención de una solicitud de ejercicio de los
derechos establecidos en los arts. 15 a 22 del Reglamento (UE) 2016/679.
- Si el procedimiento tiene por objeto la determinación de la posible existencia de una
infracción de lo dispuesto en el Reglamento (UE) 2016/679.
El procedimiento tendrá una duración máxima de 9 meses a contar desde la fecha del
acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se
producirá su caducidad, y en consecuencia, el archivo de actuaciones.
Los plazos de tramitación, así como los plazos de admisión a trámite (art. 9) y los de las actuaciones
previas de investigación (art. 11), quedarán automáticamente suspendidos cuando deba recabarse
información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de
la UE o de una o varias autoridades de control de los Estados miembros, por el tiempo que medie entre la
solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.
2.2.7.2.2. Admisión a trámite de las reclamaciones
Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación, esta
deberá evaluar su admisibilidad a trámite.
- Inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos de
carácter personal, carezcan de fundamento, sean abusivas o no aporten indicios racionales de la existencia
de una infracción.
- Podrá inadmitir la reclamación cuando el responsable del tratamiento, previa advertencia formulada
por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible
incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:
a) Que no se haya causado perjuicio al afectado.
b) Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.
Antes de resolver sobre la admisión a trámite de la reclamación:
- La Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección
de datos para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación en el
plazo de 1 mes.
- La Agencia Española de Protección de Datos podrá remitir la misma al responsable o
encargado del tratamiento cuando no se hubiera designado un delegado de protección de
datos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación también en el
plazo de 1 mes.
La admisión o inadmisión a trámite, deberá notificarse al reclamante en el plazo de tres meses.
Si, transcurrido este plazo, no se produjera dicha notificación, se entenderá que prosigue la tramitación.
2.2.7.2.3. Determinación del alcance territorial
Salvo en los supuestos a los que se refiere el art.8.3 del RD Ley 5/2018, la Agencia Española de
Protección de Datos deberá determinar el carácter nacional o transfronterizo del procedimiento a seguir.
Si la Agencia considera que no tiene la condición de autoridad para la tramitación del procedimiento
remitirá, sin más trámite, la reclamación formulada a la Autoridad de control principal.
2.2.7.2.4. Actuaciones previas de investigación
Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación
si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de
investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la
tramitación del procedimiento. Las actuaciones previas se someterán a lo dispuesto en el capítulo I y no
podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión
a trámite o de la fecha del acuerdo por el que se decida su iniciación

2.2.7.2.5. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora
Corresponde al Director de la Agencia Española de Protección de Datos, cuando así proceda, dictar
acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarán
los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción
que hubiera podido cometerse y su posible sanción.
Si la Agencia Española de Protección de Datos ostente la condición de autoridad de control principalà
procedimiento previsto en el art. 60 del Reglamento (UE) 2016/679.
2.2.7.2.6. Medidas provisionales
Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el
ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar
motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho
fundamental a la protección de datos.
Si la continuación del tratamiento de los datos de carácter personal, un menoscabo grave del derecho a la
protección de datos de carácter personal, podrá ordenar a los responsables o encargados de los
tratamientos el bloqueo de los datos y la cesación de su tratamiento y, caso de incumplirse por estos
dichos mandatos, proceder a su inmovilización.
Si se presenta una reclamación referida a la falta de atención en plazo de los derechos establecidos en los
arts. 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección de Datos podrá acordar
en cualquier momento, (incluso antes de la iniciación del procedimiento) mediante resolución motivada y
previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado,
prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.
2.2.7.2.7. Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras
leyes
Lo dispuesto será de aplicación a los procedimientos que la Agencia Española de Protección de Datos
hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.
2.3. Reglamento (UE) 2016/679, del Parlamento europeo y del

Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (Reglamento general de protección
de datos)
En el ámbito europeo, el Reglamento general de protección de datos entró en vigor el 25 de mayo de
2016, a los veinte días de su publicación en el Diario Oficial de la Unión Europea. A pesar de su entrada
en vigor, este reglamento general no comenzó a aplicarse hasta dos años después, el 25 de mayo de
2018, fecha a partir de la cual, es obligatorio en todos sus elementos y directamente aplicable.
Este periodo de dos años que se otorgó hasta la aplicación del reglamento, tenía como objetivo permitir
que los Estados miembros de la Unión Europea, las instituciones europeas y también las organizaciones
que tratan datos, vayan preparándose y adaptándose para el momento en que el mismo sea aplicable.
2.3.1. Ámbito de aplicación
A estos efectos, el reglamento se aplicará, como hasta ahora, a responsables o encargados de

tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y
encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de
bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y
seguimiento de su comportamiento.
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, dichas organizaciones deberán
nombrar un representante en la Unión Europea, que actuará como punto de contacto de las

autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las
acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la
Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus
datos personales.
En todo caso, esta novedad supone una garantía adicional a los ciudadanos europeos.
2.3.2. Incorporación de nuevos derechos de los ciudadanos
En cuanto a las herramientas de control que poseen los ciudadanos con respecto a sus datos personales, el
reglamento general introduce nuevos elementos, como son el derecho de supresión («derecho al
olvido»), derecho a la limitación y el derecho a la portabilidad, que mejoran la capacidad de
decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a
solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando,
entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se
haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
El derecho a la limitación del tratamiento, supone que el interesado tendrá derecho a obtener una
limitación del tratamiento de sus datos siempre que el interesado haya ejercido los derechos de
rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud,
cuando el tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a
ello o si los datos ya no son necesarios para el tratamiento, que también determinaría su borrado, pero el
interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de
reclamaciones.
Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus
datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos
datos en un formato que le permita su traslado a otro responsable. Cuando ello sea
técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable
designado por el interesado.
2.3.3. Consentimiento
Una de las bases fundamentales para tratar datos personales es el consentimiento. El reglamento exige
que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para cumplir
con esta última característica del consentimiento, el reglamento requiere que haya una declaración de los
interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede
deducirse del silencio o de la inacción de los ciudadanos.
Las empresas deberían revisar cómo obtienen y registran el consentimiento actualmente, pues lo que
conocemos como «consentimiento tácito», aceptado bajo la actual normativa, dejará de serlo cuando el
reglamento sea de aplicación.
Además de los requisitos anteriores, el reglamento también prevé que el consentimiento haya de ser
explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un
requisito todavía más estricto, ya que el consentimiento no podrá entenderse como concedido
implícitamente mediante algún tipo de acción positiva.
Hay que advertir que el consentimiento tiene que ser verificable y que quienes recaben datos personales
tienen que poder demostrar que el afectado les otorgó su consentimiento.
2.3.3.1. Consentimiento de los menores

El reglamento general establece que la edad en la que los menores pueden prestar por sí mismos
su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la
sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa
edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13
años. En el caso de España, como ya hemos podido ver, ese límite continúa en 14 años. Por
debajo de esa edad, es necesario el consentimiento de padres o tutores.

En el caso de las empresas que recaben datos personales de menores, es importante advertir que el
consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que
los menores puedan entender.
2.3.4. Responsabilidad activa
Uno de los aspectos importantes del reglamento es que se basa en la prevención por parte de las
organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas
tienen que adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los
principios, derechos y garantías que el reglamento establece. El reglamento entiende como insuficiente la
estrategia de actuar solo cuando ya se ha producido una infracción, puesto que dicha infracción puede
causar daños a los interesados, que pueden ser muy difíciles de reparar. Con el fin de prevenir las
infracciones, el reglamento prevé determinadas medidas a tener en cuenta:
(1). Protección de datos desde el diseño.
(2). Protección de datos por defecto.
(3). Medidas de seguridad.
(4). Mantenimiento de un registro de tratamientos.
(5). Realización de evaluaciones de impacto sobre la protección de datos.
(6). Nombramiento de un delegado de protección de datos o DPO.
(7). Notificación de violaciones de la seguridad de los datos.
(8). Promoción de códigos de conducta y esquemas de certificación.
A este respecto, el reglamento general supone un mayor compromiso por parte de las organizaciones, ya
sean públicas o privadas, con la protección de datos.
En todos los casos, el reglamento prevé que la obligación de estas medidas, o el modo en que se vayan a
aplicar, va a depender de factores tales como el tipo de tratamiento, los costes de implantación de las
medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.
Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus
tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.
2.3.5. Mecanismo de ventanilla única
El mecanismo de ventanilla única es un sistema pensado para que los responsables establecidos en
varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten
significativamente a ciudadanos en varios Estados de la UE, tengan una única autoridad de
protección de datos como interlocutora. Esto implica que cada autoridad de protección de datos
europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a
partir de la aplicación del reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso
habrá que abrir un procedimiento de cooperación entre todas las autoridades afectadas,
buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse
al Comité Europeo de Protección de Datos, organismo de la Unión integrado por los directores de
todas las autoridades de protección de datos de la Unión (creado por este reglamento), el cual resolverá la
controversia o discrepancia mediante decisiones vinculantes para las autoridades implicadas.
La ventanilla única, en todo caso, no afectará a empresas que solo estén en un Estado miembro y que
realicen tratamientos que afecten únicamente a interesados en ese Estado.
Las normas sobre la autoridad de control principal y el mecanismo de ventanilla única, no deben
aplicarse cuando el tratamiento sea realizado por autoridades públicas u organismos privados en interés
público. En tales casos, la única autoridad de control competente, debe ser la autoridad de control del
Estado miembro en el que estén establecidos la autoridad pública o el organismo privado.
2.4. Ficheros de exclusión del envío de comunicaciones

comerciales
Los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán
conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que
eviten el envío de publicidad.

Será posible la creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de
tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones
comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad.
A tal efecto, los citados ficheros podrán contener los mínimos datos imprescindibles para identificar al
afectado.
Cuando el afectado manifieste ante un concreto responsable, su negativa u oposición a que sus datos sean
tratados con fines de publicidad o prospección comercial, aquel deberá ser informado de la existencia de
los ficheros comunes de exclusión generales o sectoriales, así como de la identidad de su responsable, su
domicilio y la finalidad del tratamiento.
El afectado podrá solicitar su exclusión respecto de un fichero o tratamiento concreto o su inclusión en
ficheros comunes de excluidos de carácter general o sectorial.
Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección
comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin
de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición
o negativa a ese tratamiento.
2.4.1. Fichero del servicio de exclusión publicitaria, «Lista Robinson»
Es un servicio de exclusión publicitaria gestionado por la Asociación española de Economía Digital

(en adelante, Adigital), que introdujo, hace más de 14 años, cuando las comunicaciones comerciales de
este tipo se realizaban casi exclusivamente por correo postal, el denominado servicio de «Listas
Robinson», destinado a restringir la publicidad no deseada que reciben los ciudadanos a través de este
medio de comunicación.
Con motivo de la aprobación del RLOPD, que regula los ficheros de exclusión, Adigital decidió
actualizar el servicio de Lista Robinson con el fin de adaptarlo al nuevo entorno normativo, económico y
social, promoviendo la reforma del Código de Autorregulación mediante la aprobación en mayo de 2008,
del Reglamento del Servicio de Lista Robinson.
Asimismo, se desarrolla el derecho de los interesados a inscribirse en el fichero de Lista Robinson con
objeto de no recibir comunicaciones comerciales no deseadas con carácter publicitario a través del medio
de comunicación que elijan, siempre y cuando, la información que faciliten al servicio coincida,
exactamente, en todos sus caracteres y símbolos con aquella que se vaya a tratar para la realización de la
campaña publicitaria.
2.5. Otras normas en las que se recogen preceptos relacionados

con la protección de datos y delitos informáticos
a) Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio
electrónico (LSSI-CE).
b) Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LGT).
c) Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la
Ley de Propiedad Intelectual (LPI).
d) Ley 59/2003, de 19 de diciembre, de firma electrónica.
3. LA PRUEBA DIGITAL EN EL PROCESO PENAL

Como prueba digital nos estamos refiriendo a aquellos vídeos, imágenes, etc. realizados con soportes o
medios informáticos que puedan reflejar hechos o infracciones de naturaleza penal. A ningún juez de
instrucción, de lo penal o magistrado de tribunales penales les resulta extraño la aportación al proceso de
imágenes y filmaciones en cualquier soporte (analógico o digital) como medios de prueba, ya sea la
filmación realizada por miembros de las fuerzas y cuerpos de seguridad, por cámaras de seguridad de
edificios, de vigilancia de tráfico, o realizadas por particulares o por medios de comunicación. En muchas
ocasiones, dichos medios son la prueba más directa y clara de los hechos instruidos o enjuiciados, y por
tanto, el ataque y defensa de estos medios, será objeto de intenso debate en el proceso por las partes.
En este imparable proceso de digitalización en el que de manera irreversible e inmediata nos

encontramos, y sobre todo tras las últimas reformas de, entre otras, las Leyes de Enjuiciamiento Civil y de
Enjuiciamiento Criminal (pretendiendo la incorporación del llamado expediente electrónico y regulando
detalladamente las medidas de investigación criminal limitativas de los derechos reconocidos en el art.
18 de la Constitución), adquiere especial relevancia el tratamiento en nuestro ordenamiento jurídico de
los soportes electrónicos y su valor probatorio.
En la nueva regulación de la LeCrim, se confiere sustantividad propia a otras formas de comunicación
telemática que han carecido de tratamiento normativo en la ley procesal. El nuevo texto autoriza la
intervención y registro de las comunicaciones de cualquier clase que se realicen a través del
teléfono o de cualquier otro medio o sistema de comunicación telemática, lógica o virtual. Pero somete la
interceptación de todas ellas –en su propia y diferenciada instrumentalidad– a los principios generales que
el texto proclama. Se pretende con ello que sea el propio juez, ponderando la gravedad del hecho que
está siendo objeto de investigación, el que determine el alcance de la injerencia del Estado en las
comunicaciones particulares. La resolución habilitante, por tanto, deberá precisar el ámbito objetivo y
subjetivo de la medida. Es decir, tendrá que motivar, a la luz de aquellos principios, si el sacrificio de las
comunicaciones telefónicas no es suficiente y si la investigación exige, además, la interceptación de los
SMS, MMS o cualquier otra forma de comunicación telemática de carácter bidireccional.
La reforma establece un plazo de tres meses como duración máxima inicial de la
intervención, plazo que es susceptible de ampliación y prórroga por periodos sucesivos de igual o
inferior duración hasta el plazo máximo de dieciocho meses. «Se busca así un equilibrio entre la
necesidad de valerse de estas diligencias para la investigación de los delitos más graves para la sociedad y
la importancia de definir unos límites cronológicos que no prolonguen de forma innecesaria la
interferencia de los poderes públicos en la privacidad de los ciudadanos».
Las comunicaciones habituales a través de redes sociales, correos electrónicos o teléfonos móviles
ocasionan diariamente numerosos conflictos probatorios que están dando lugar a una jurisprudencia no
del todo uniforme. No obstante, lo cierto es que progresivamente el derecho y la jurisprudencia, van
aclarando y desarrollando criterios de interpretación cada vez más precisos, en consonancia también con
la normativa europea más reciente, de la que es ejemplo el Reglamento (UE) nº 910/2014, de 23 de julio,
relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el
mercado interior –que deroga la Directiva 1999/93/CE que en nuestro ordenamiento fue traspuesta
mediante la vigente Ley 59/2003, de 19 de diciembre, de firma electrónica-. También la jurisprudencia
aporta cada vez con mayor frecuencia novedosas interpretaciones y, en este sentido, es un ejemplo el
contenido de la reciente sentencia de 12 de enero de 2016, del Tribunal Europeo de Derechos Humanos,
sobre las comunicaciones electrónicas en el ámbito laboral.
La Ley de Enjuiciamiento Criminal había quedado especialmente desfasada en lo relativo a las medidas
de investigación. Los cambios que se han producido en las comunicaciones desde que se promulgó la
norma en el siglo XIX se suplían hasta ahora con la jurisprudencia del Tribunal Supremo y del Tribunal
Constitucional; pero su regulación legislativa ya resultaba inaplazable. De hecho, el Tribunal
Constitucional ha apuntado en varias ocasiones la necesidad urgente de una regulación que aborde las
intromisiones en la privacidad del investigado en el proceso penal.
Por ello, el art. 579 LeCrim se complementará con una nueva redacción del título VIII del libro II de
dicha norma en el que se incluyen las nuevas tecnologías.
A este respecto, la Ley Orgánica 13/2015 ha modificado la rúbrica del título VIII del libro II de la
LeCrim, quedando redactada como «De las medidas de investigación limitativas de los
derechos reconocidos en el artículo 18 de la Constitución». De este modo, se han agrupado los
diferentes artículos y se han añadido otros en nuevos capítulos como son:
- Capítulo I: «De la entrada y registro en lugar cerrado». (arts. 545 a 572).
- Capítulo II: «Del registro de libros y papeles» (arts. 573 a 578).
- Capítulo III: «De la detención y apertura de la correspondencia escrita y telegráfica» (arts. 579 a
588).
- Capítulo IV: «Disposiciones comunes a la interceptación de las comunicaciones telefónicas y
telemáticas, la captación y grabación de comunicaciones orales mediante la utilización de
dispositivos electrónicos, la utilización de dispositivos técnicos de seguimiento, localización y
captación de la imagen, el registro de dispositivos de almacenamiento masivo de información y los
registros remotos sobre equipos informáticos» (arts. 588.bis.a) a 588.bis.k)).

- Capítulo V: «Iinterceptación de las comunicaciones telefónicas y telemáticas» (arts. 588.ter.a) a
588.ter.m).
- Capítulo VI: «Captación y grabación de comunicaciones orales e imágenes mediante la utilización
de dispositivos electrónicos» (arts. 588.quater.a) a 588.quater.e).
- Capítulo VII: «Utilización de dispositivos técnicos de captación de la imagen, de seguimiento y de
localización» (arts. 588.quinquies.a) a 588.quinquies.c)).
- Capítulo VIII: «Registro de dispositivos de almacenamiento masivo de información» (arts.
588.sexies a) a 588.sexies.c))
- Capítulo IX: «Registros remotos sobre equipos informáticos» (arts. 588.septies.a) a 588.septies.c)).
- Capítulo X: «Medidas de aseguramiento» (arts. 588.octies).
3.1. Autorización judicial

La regla general es que para acordar una medida de intervención o registro de las comunicaciones de
cualquier clase que se realice, a través del teléfono o de cualquier otro medio o sistema de comunicación
telemática, lógica o virtual, se requerirá autorización judicial. El juez accederá siguiendo los principios de
especialidad, excepcionalidad, idoneidad, necesidad y proporcionalidad de la medida.
La autorización podrá ser concedida cuando la investigación tenga por objeto alguno de los delitos
siguientes: los castigados con una pena máxima de, al menos, tres años de prisión, los cometidos en el
seno de un grupo u organización criminal, los de terrorismo y los cometidos a través de instrumentos
informáticos o de cualquier otra tecnología de la información o la telecomunicación.
3.2. Grabación de comunicaciones orales

La experiencia demuestra que, en la investigación de determinados delitos, la captación y grabación de
comunicaciones orales abiertas, mediante el empleo de dispositivos electrónicos, puede resultar
indispensable. Se trata de una materia hasta ahora ausente de la regulación del proceso penal y cuyo
alcance se aborda con sujeción a dos ideas clave. La primera, la exigencia de que sea el juez de
instrucción el que legitime el acto de injerencia; la segunda, la necesidad de que los principios rectores de
especialidad, excepcionalidad, idoneidad, necesidad y proporcionalidad actúen como elementos de
justificación de la medida. Esta medida solo podrá acordarse para encuentros concretos que vaya a
mantener el investigado, debiéndose identificar con precisión el lugar o dependencias sometidos a
vigilancia. Por tanto, no caben autorizaciones de captación y grabación de conversaciones orales de
carácter general o indiscriminadas, y, en consecuencia, el dispositivo de escucha y, en su caso, las cámaras
a él asociadas, deberán desactivarse tan pronto finalice la conversación cuya captación fue permitida,
como se desprende del artículo 588 quater c LeCrim.
En ningún caso, la captación y grabación de las conversaciones privadas y de la imagen podrán incluir las
entrevistas que mantenga la persona investigada, detenida o en prisión con quienes estén legalmente
obligados a mantener el secreto profesional, salvo que estos estén también encausados por los hechos
investigados.
La reforma aborda también la regulación de la utilización de dispositivos técnicos de seguimiento y
localización. La incidencia que en la intimidad de cualquier persona puede tener el conocimiento por los
poderes públicos de su ubicación espacial, hace que la autorización para su práctica se atribuya al juez de
instrucción. En el mismo capítulo se habilita la grabación de la imagen en espacio público sin necesidad
de autorización judicial, en la medida en que no se produce afectación a ninguno de los derechos
fundamentales del art. 18 CE.
3.3. Videograbaciones realizadas por los miembros de las fuerzas y

cuerpos de seguridad
La videovigilancia permite la captación, y en su caso la grabación, de información personal en forma de
imágenes. Cuando su uso afecta a personas identificadas o identificables esta información constituye un
dato de carácter personal a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de los datos de carácter personal (LOPD).
La aplicación de la LOPD a estos sistemas plantea cierto grado de dificultad en todos los ámbitos. Por
una parte, el responsable debe ser capaz de identificar si el uso que hace de las videocámaras se encuentra

sujeto a la ley. Por otra, resulta complejo informar al titular de los datos y hacerlo con criterios
homogéneos, comprensibles y fácilmente identificables.
Este tipo de grabaciones ha merecido un tratamiento especial, tanto legislativo (parcialmente) como
jurisprudencial. Es la fuente más usual de video-grabaciones aportadas al proceso penal, por lo que
merece este tratamiento especial, en el que hemos de hacer una diferenciación capital, que es la que
discrimina la actividad de las fuerzas y cuerpos seguridad, video-grabando con fines genéricos de
prevención del delito y para garantizar la seguridad ciudadana, de la video-grabación de hechos de
naturaleza delictiva con fines de investigación criminal.
Nos encontramos ante un medio de investigación criminal que es de primer orden, en cuanto a la eficacia
probatoria que tiene para formar la convicción de un juez o tribunal, sobre la existencia del hecho y sobre
la identidad de sus autores o partícipes, y de hecho lo ha sido o está siendo en fenómenos delictivos como
los desórdenes públicos, delincuencia juvenil de fin de semana, terrorismo y sus distintas dimensiones
como la llamada kale borroka, estafas y delitos contra la propiedad en entidades bancarias, delitos contra la
propiedad y otros en centros de trabajo, etc.
Es fácil vaticinar un incremento en la instalación de sistemas de seguridad de video-grabación,
consecuencia de la sensación de inseguridad pública que existe, sobre todo en determinadas zonas del
Estado, lo que unido al desarrollo incesante de canales televisivos, la mayor presencia de informadores de
los medios de comunicación social provistos de medios de video-grabación, y la popularización y masiva
venta de aparatos de video-grabación portables en cualquier momento, lleva a considerar que la
captación de un hecho de naturaleza penal por un sistema de video-grabación está llamado a
incrementarse notablemente en el futuro. Así mismo sería deseable que el mecanismo de investigación por
captación de imágenes, utilizado con absoluta pulcritud jurídica, tuviese una mayor implantación en la
práctica policial y judicial dada la eficacia probatoria que tiene para el esclarecimiento de los hechos.
A diferencia de la videovigilancia desarrollada por las fuerzas y cuerpos de seguridad, que cuenta con
legislación específica que la regula (Ley Orgánica 4/1997 de 4 de agosto, por la que se regula la
utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos y RD 596/1999,
de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de esta ley), la regulación
existente actualmente en el ámbito privado, se ciñe a la Ley 5/2014, de 4 de abril, de Seguridad Privada y
a la Ley 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
Hace mención a los servicios de videovigilancia, el art. 42 de la Ley de Seguridad Privada 5/2014,
estableciendo que: «1. Los servicios de videovigilancia consisten en el ejercicio de la vigilancia a través de
sistemas de cámaras o videocámaras, fijas o móviles, capaces de captar y grabar imágenes y sonidos,
incluido cualquier medio técnico o sistema que permita los mismos tratamientos que estas.
Cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes
objeto de protección o impedir accesos no autorizados, serán prestados necesariamente por vigilantes de
seguridad o, en su caso, por guardas rurales».
No tendrán la consideración de servicio de videovigilancia la utilización de cámaras o
videocámaras cuyo objeto principal sea la comprobación del estado de instalaciones o bienes, el control
de accesos a aparcamientos y garajes, o las actividades que se desarrollan desde los centros de control y
otros puntos, zonas o áreas de las autopistas de peaje. Estas funciones podrán realizarse por personal
distinto del de seguridad privada.
2. No se podrán utilizar cámaras o videocámaras con fines de seguridad privada para tomar
imágenes y sonidos de vías y espacios públicos o de acceso público, salvo en los supuestos y en los
términos y condiciones previstos en su normativa específica, previa autorización administrativa por el
órgano competente en cada caso. Su utilización en el interior de los domicilios requerirá el
consentimiento del titular.
3. Las cámaras de videovigilancia que formen parte de medidas de seguridad obligatorias o de sistemas de
recepción, verificación y, en su caso, respuesta y transmisión de alarmas, no requerirán autorización
administrativa para su instalación, empleo o utilización.
4. Las grabaciones realizadas por los sistemas de videovigilancia no podrán destinarse a un uso
distinto del de su finalidad. Cuando las mismas se encuentren relacionadas con hechos delictivos o
que afecten a la seguridad ciudadana, se aportarán, de propia iniciativa o a su requerimiento, a las fuerzas
y cuerpos de seguridad competentes, respetando los criterios de conservación y custodia de las mismas

para su válida aportación como evidencia o prueba en investigaciones policiales o judiciales.
5. La monitorización, grabación, tratamiento y registro de imágenes y sonidos por parte de los sistemas de
videovigilancia estará sometida a lo previsto en la normativa en materia de protección de datos de
carácter personal, y especialmente a los principios de proporcionalidad, idoneidad e intervención
mínima». Por todo ello, y con la finalidad de adecuar estos tratamientos a la Ley Orgánica 15/1999, se
dictó la Instrucción 1/2006, de 8 de noviembre, de la Agencia española de Protección de Datos, sobre el
tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
«6. En lo no previsto en la presente ley y en sus normas de desarrollo, se aplicará lo dispuesto en la
normativa sobre videovigilancia por parte de las fuerzas y cuerpos de seguridad».
A este respecto, la Ley 4/2015 de 30 de marzo, de protección de la seguridad ciudadana señala, en su
artículo 22, que: «la autoridad gubernativa y, en su caso, las fuerzas y cuerpos de seguridad
podrán proceder a la grabación de personas, lugares u objetos mediante cámaras de videovigilancia fijas o
móviles, legalmente autorizadas de acuerdo con la legislación vigente en la materia».
3.3.1. Procedimiento de instalación de videocámaras por parte de las FCS en lugares
públicos
3.3.1.1. Autorización de las instalaciones fijas (art. 3 LO 4/1997)

Las instalaciones fijas de videocámaras por las fuerzas y cuerpos de Seguridad del Estado y de las
Corporaciones Locales serán autorizadas por el delegado del Gobierno en la comunidad autónoma de
que se trate, previo informe de una comisión cuya presidencia corresponderá al presidente del Tribunal
Superior de Justicia de la misma comunidad.
No podrá autorizarse la instalación fija de videocámaras cuando el informe de la Comisión prevista
estime que dicha instalación supondría una vulneración de los criterios de autorización, como son:
asegurar la protección de los edificios e instalaciones públicas y de sus accesos; salvaguardar las
instalaciones útiles para la defensa nacional; constatar infracciones a la seguridad ciudadana y prevenir la
causación de daños a las personas y bienes (art. 4).
La resolución por la que se acuerde la autorización deberá ser motivada y referida en cada caso al
lugar público concreto que ha de ser objeto de observación por las videocámaras. Dicha resolución
contendrá también todas las limitaciones o condiciones de uso necesarias, en particular la prohibición de
tomar sonidos, excepto cuando concurra un riesgo concreto y preciso, así como las referentes a la
cualificación de las personas encargadas de la explotación del sistema de tratamiento de imágenes y
sonidos y las medidas a adoptar para garantizar el respeto de las disposiciones legales vigentes. Asimismo,
deberá precisar genéricamente el ámbito físico susceptible de ser grabado, el tipo de cámara, sus
especificaciones técnicas y la duración de la autorización, que tendrá una vigencia máxima de un
año, a cuyo término habrá de solicitarse su renovación.
La autorización tendrá en todo caso carácter revocable.
3.3.1.2. Autorización de videocámaras móviles (art. 5 LO 4/1997)
En las vías o lugares públicos donde se haya autorizado la instalación de videocámaras fijas, podrán
utilizarse simultáneamente otras de carácter móvil para el mejor cumplimiento de los fines previstos en
esta Ley, quedando, en todo caso, supeditada la toma, que ha de ser conjunta, de imagen y sonido, a la
concurrencia de un peligro concreto y demás requisitos exigidos.
También podrán utilizarse en los restantes lugares públicos videocámaras móviles. La autorización de
dicho uso corresponderá al máximo responsable provincial de las fuerzas y cuerpos de seguridad quien
atenderá a la naturaleza de los eventuales hechos susceptibles de filmación, adecuando la utilización del
medio a los principios previstos en el artículo 6.
La resolución motivada que se dicte autorizando el uso de videocámaras móviles se pondrá en
conocimiento de la comisión, en el plazo máximo de setenta y dos horas, la cual podrá recabar el soporte
físico de la grabación a efectos de emitir el correspondiente informe.
En casos excepcionales de urgencia máxima o de imposibilidad de obtener a tiempo la autorización
indicada en razón del momento de producción de los hechos o de las circunstancias concurrentes, se
podrán obtener imágenes y sonidos con videocámaras móviles, dando cuenta, en el plazo de setenta y dos

horas, mediante un informe motivado, al máximo responsable provincial de las fuerzas y cuerpos de
seguridad y a la comisión aludida.
En el supuesto de que los informes de la comisión previstos fueran negativos, la autoridad encargada de la
custodia de la grabación procederá a su destrucción inmediata.
La comisión será informada quincenalmente de la utilización que se haga de videocámaras móviles y
podrá recabar en todo momento el soporte de las correspondientes grabaciones y emitir un informe al
respecto.
3.3.1.2.1. Principios de utilización de las videocámaras
La utilización de videocámaras estará presidida por el principio de proporcionalidad, en su doble
versión de idoneidad y de intervención mínima.
o La idoneidad determina que solo podrá emplearse la videocámara cuando resulte adecuado, en una
situación concreta, para el mantenimiento de la seguridad ciudadana, de conformidad con lo
dispuesto en esta Ley.
o La intervención mínima exige la ponderación, en cada caso, entre la finalidad pretendida y la
posible afectación por la utilización de la videocámara al derecho al honor, a la propia imagen y a la
intimidad de las personas.
La utilización de videocámaras exigirá la existencia de un razonable riesgo para la seguridad ciudadana,
en el caso de las fijas, o de un peligro concreto, en el caso de las móviles.
3.3.1.3. Aspectos procedimentales (art. 7 LO 4/1997)
Realizada la filmación de acuerdo con los requisitos establecidos en la ley, si la grabación captara la
comisión de hechos que pudieran ser constitutivos de ilícitos penales, las fuerzas y cuerpos de seguridad
pondrán la cinta o soporte original de las imágenes y sonidos en su integridad a disposición judicial, con la
mayor inmediatez posible y, en todo caso, en el plazo máximo de setenta y dos horas desde su
grabación. De no poder redactarse el atestado en tal plazo, se relatarán verbalmente los hechos a la
autoridad judicial, o al Ministerio Fiscal, junto con la entrega de la grabación.
Si la grabación captara hechos que pudieran ser constitutivos de infracciones administrativas relacionadas
con la seguridad ciudadana, se remitirán al órgano competente, igualmente de inmediato, para el inicio
del oportuno procedimiento sancionador.
3.4. Videovigilancia como medio probatorio

Con todo lo expuesto, tenemos un derecho a probar nuestras afirmaciones con los medios probatorios
admitidos en derecho, respetando las reglas procesales sobre la aportación, práctica y valoración; ahora
bien, estamos en un mundo, en el que nos hallamos cada vez más sujetos a las llamadas «nuevas
tecnologías» (TIC), que se centran en tres áreas interrelacionadas: la informática, el vídeo y las
telecomunicaciones, y cuyo desarrollo afecta a más de un área. Esto supone la introducción en el mundo
del derecho, de nuevas fuentes de prueba a través de nuevos soportes y signos, distintos de la escritura
plasmada en un documento de papel.
A este fin, recoge el artículo 26 del Código Penal, lo que considera nuestro legislador como «documento»:
«todo soporte material que exprese o incorpore datos, hechos o narraciones con eficacia probatoria o
cualquier otro tipo de relevancia jurídica».
Establece asimismo el artículo 743.1 de la LeCrim, que «el desarrollo de las sesiones del juicio oral se
registrará en soporte apto para la grabación y reproducción del sonido y de la imagen. El Letrado de la
Administración de Justicia (LAJ) deberá custodiar el documento electrónico que sirva de soporte a la
grabación. Las partes podrán pedir, a su costa, copia de las grabaciones originales».
También la Ley de Enjuiciamiento Civil regula los medios de prueba de que se podrá hacer uso en juicio,
enumerando su artículo 299 los distintos medios probatorios admitidos en derecho, entre los cuales y
según indica su apartado segundo: «los medios de reproducción de la palabra, el sonido y la imagen, así
como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones
matemáticas llevadas a cabo con fines contables o de otra clase, relevantes para el proceso».

Tema 33 (XXXV)

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Tema 33 (XXXV)

Enviado por

Direitos autorais:

Formatos disponíveis

TEMARIO

ÍNDICE DEL TEMA:

2.2.2. Principios de la protección de datos (tít. II LOPD) ________________________________ 27

1.1. Encargados de perseguir los delitos informáticos

b) La Brigada Central de Seguridad Informática (BSI), a la que corresponde la

1.1.1. Oficina de Coordinación Cibernética (OCC)

1.2. Términos relacionados con los delitos informáticos

1.3.1. Delito informático

La primera dificultad a la hora de afrontar el análisis de los delitos informáticos es su conceptualización.

1.3.2. Convenio sobre ciberdelincuencia (Budapest, 23 noviembre 2001)

1.3.2.1. Definiciones (art. 1 Convenio sobre ciberdelincuencia)

• Falsificación informática. Cuando se cometa de forma deliberada e ilegítima, la

1.3.2.3. Otras disposiciones del convenio

1.4. Delitos informáticos regulados en el actual Código Penal

• Delitos relativos a la prostitución y a la explotación sexual y corrupción de

Se considera pornografía infantil o en cuya elaboración hayan sido utilizadas personas

(8). Infracciones a la propiedad intelectual a través de la protección de los derechos de autor,

• Artículo 394. «1. La autoridad o funcionario público encargado de los servicios de

• Artículo 400. «La fabricación, recepción, obtención o tenencia de útiles, materiales,

• Artículo 536. Interceptación de telecomunicaciones por funcionario público. «La autoridad,

2.1. Constitución española 1978

2.1.1. Derecho al honor, a la intimidad y a la propia imagen

2.1.2. Secreto de las comunicaciones

2.2. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección

2.2.1.1. Objeto y ámbito de aplicación.

2.2.1.2. Definiciones (art. 3 LOPD)

2.2.2. Principios de la protección de datos (tít. II LOPD)

2.2.2.1. Calidad de los datos

2.2.2.2. Derecho de información en la recogida de los datos

2.2.2.3. Consentimiento del afectado

2.2.2.4. Datos especialmente protegidos

2.2.2.5. Datos relativos a la salud

2.2.2.6. Seguridad de los datos

2.2.2.7. Deber de secreto

2.2.2.8. Comunicación de datos

2.2.3. Derechos de las personas (título III LOPD)

2.2.3.1. Impugnación de valoraciones

2.2.3.2. Derecho de consulta al Registro General de Protección de Datos

2.2.3.3. Derechos de acceso, rectificación, cancelación y oposición (ARCO)

2.2.3.4. Tutela de los derechos

2.2.3.5. Derecho a indemnización

2.2.4.1. Excepciones a los derechos de acceso, rectificación y cancelación.

2.2.5. Agencia española de Protección de Datos (título VI LOPD)

2.2.5.1. Naturaleza y régimen jurídico

2.2.5.2. El director de la AEPD

2.2.5.3. Funciones de la AEPD

2.2.5.4. Consejo consultivo de la AEPD

2.2.5.5. El Registro General de Protección de Datos

2.2.5.6. Inspección en materia de protección de datos

2.2.5.7. Órganos correspondientes de las comunidades autónomas

2.2.6. De las medidas de seguridad en el tratamiento de datos de carácter personal

2.2.6.1. Niveles de seguridad y su aplicación.

2.2.6.2. Medidas de seguridad aplicables a ficheros y tratamientos automatizados

MS NIVEL BÁSICO MS NIVEL MEDIO MS NIVEL ALTO

Gestión y distribución de soportes (art.

Control de acceso (art. 91). Los

Identificación y autenticación de los

2.2.6.3. Medidas de seguridad aplicables a ficheros y tratamientos no automatizados

MS NIVEL BÁSICO MS NIVEL MEDIO MS NIVEL ALTO

A los ficheros no automatizados les será de aplicación lo

Acceso a la documentación (art.

2.2.7.1. Responsables y tipos de infracciones

Están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y la normativa