REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 27 de abril de 2016

Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos
datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

27 Abril 2016: Se aprubea el reglamento.

25 Mayo 2016: Entra en vigor.
25 Mayo 2018: Se aplica.

FORMADO POR 99 ARTICULOS.

CAPITULO I: DISPOSICIONES GENERALES

Articulo 1 :Objeto.
Articulo 2: Ambito de aplicación material.
Articulo 3: Ambito territorial.
Articulo 4: Definiciones.

CAPITULO II: PRINCIPIOS

Articulo 7: Condiciones para el consentimiento.
Articulo 8: Condiciones para el consentimiento del niñol en relación con los servicios de la sociedad de la información.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales.
Título I. Disposiciones generales.
Artículo 1. Objeto de la ley.
Artículo 2. Ámbito de aplicación de los títulos I a IX y de los artículos 89 a 94.
Artículo 3. Datos de las personas fallecidas.

Título II. Principios de protección de datos.

Artículo 6. Tratamiento basado en el consentimiento del afectado.
Artículo 7. Consentimiento de los menores de edad.
 CAPÍTULO I

Disposiciones generals
Artículo 1 Objeto

1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que
respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales
datos.

2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular,
su derecho a la protección de los datos personales.

3. La libre circulación de los datos personales en la Unión NO podrá ser restringida ni prohibida por motivos
relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

Artículo 2 Ámbito de aplicación material

1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así
como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un
fichero.

2. El presente Reglamento no se aplica al tratamiento de datos personales:

a. en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la

Unión
b. por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito
de aplicación del capítulo 2 del título V del TUE;

TRATADO DE LA UE DE 7 FEBRERO DE 1992 FIRMADO EN MAASTRICHT

TÍTULO V. DISPOSICIONES GENERALES RELATIVAS A LA ACCIÓN EXTERIOR DE LA UNIÓN Y DISPOSICIONES ESPECÍFICAS RELATIVAS
A LA POLÍTICA EXTERIOR Y DE SEGURIDAD COMÚN

CAPÍTULO 2 DISPOSICIONES ESPECÍFICAS SOBRE LA POLÍTICA EXTERIOR Y DE SEGURIDAD COMÚN

Seccion 1. DISPOSICIONES COMUNES
Seccion 2. DISPOSICIONES SOBRE LA POLITICA COMUN DE SEGURIDAD Y DEFENSA.

c. efectuado por una persona física en el ejercicio de actividades exclusivamente personales o

domésticas;
d. por parte de las autoridades competentes con fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de
protección frente a amenazas a la seguridad pública y su prevención.

3. El Reglamento (CE) n.o 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de
las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos
de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y
normas del presente Reglamento de conformidad con su artículo 98.
Artículo 98 Revisión de otros actos jurídicos de la Unión en materia de protección de datos
La Comisión presentará, si procede, propuestas legislativas para modificar otros actos jurídicos de la Unión en materia
de protección de datos personales, a fin de garantizar la protección uniforme y coherente de las personas físicas en
relación con el tratamiento. Se tratará en particular de las normas relativas a la protección de las personas físicas en lo
que respecta al tratamiento por parte de las instituciones, órganos, y organismos de la Unión y a la libre circulación de
tales datos.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular
sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus
artículos 12 a 15.

Artículo 12 Mera transmisión

1. Los Estados miembros garantizarán que, en el caso de un servicio de la sociedad de la información que consista en transmitir en
una red de comunicaciones, datos facilitados por el destinatario del servicio o en facilitar acceso a una red de comunicaciones, no se
pueda considerar al prestador de servicios de este tipo responsable de los datos transmitidos, a condición de que el prestador de
servicios:
a) no haya originado él mismo la transmisión;
b) no seleccione al destinatario de la transmisión; y
c) no seleccione ni modifique los datos transmitidos.
2. Las actividades de transmisión y concesión de acceso enumeradas en el apartado 1 engloban el almacenamiento automático,
provisional y transitorio de los datos transmitidos siempre que dicho almacenamiento sirva exclusivamente para ejecutar la
transmisión en la red de comunicaciones y que su duración no supere el tiempo razonablemente necesario para dicha transmisión.
3. El presente artículo no afectará a la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas
jurídicos de los Estados miembros, exija al prestador de servicios que ponga fin a una infracción o que la impida.

Artículo 13 Memoria tampón (Caching)

1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la información consistente en transmitir
por una red de comunicaciones datos facilitados por el destinatario del servicio, el prestador del servicio no pueda ser considerado
responsable del almacenamiento automático, provisional y temporal de esta información, realizado con la única finalidad de hacer
más eficaz la transmisión ulterior de la información a otros destinatarios del servicio, a petición de éstos, a condición de que:
a) el prestador de servicios no modifique la información;
b) el prestador de servicios cumpla las condiciones de acceso a la información;
c) el prestador de servicios cumpla las normas relativas a la actualización de la información, especificadas de manera ampliamente
reconocida y utilizada por el sector;
d) el prestador de servicios no interfiera en la utilización lícita de tecnología ampliamente reconocida y utilizada por el sector, con el
fin de obtener datos sobre la utilización de la información; y
e) el prestador de servicios actúe con prontitud para retirar la información que haya almacenado, o hacer que el acceso a ella será
imposible, en cuanto tenga conocimiento efectivo del hecho de que la información ha sido retirada del lugar de la red en que se
encontraba inicialmente, de que se ha imposibilitado el acceso a dicha información o de que un tribunal o una autoridad
administrativa ha ordenado retirarla o impedir que se acceda a ella.
2. El presente artículo no afectará a la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas
jurídicos de los Estados miembros, exija al prestador de servicios poner fin a una infracción o impedirla.

Artículo 14 Alojamiento de datos

1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la información consistente en almacenar
datos facilitados por el destinatario del servicio, el prestador de servicios no pueda ser considerado responsable de los datos
almacenados a petición del destinatario, a condición de que:
a) el prestador de servicios no tenga conocimiento efectivo de que la actividad a la información es ilícita y, en lo que se refiere a una
acción por daños y perjuicios, no tenga conocimiento de hechos o circunstancias por los que la actividad o la información revele su
carácter ilícito, o de que,
b) en cuanto tenga conocimiento de estos puntos, el prestador de servicios actúe con prontitud para retirar los datos o hacer que el
acceso a ellos sea imposible.
2. El apartado 1 no se aplicará cuando el destinatario del servicio actúe bajo la autoridad o control del prestador de servicios.
3. El presente artículo no afectará la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas
jurídicos de los Estados miembros, exijan al prestador de servicios de poner fin a una infracción o impedirla, ni a la posibilidad de que
los Estados miembros establezcan procedimientos por los que se rija la retirada de datos o impida el acceso a ellos.
Artículo 15 Inexistencia de obligación general de supervisión
1. Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o
almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas,
respecto de los servicios contemplados en los artículos 12, 13 y 14.
2. Los Estados miembros podrán establecer obligaciones tendentes a que los prestadores de servicios de la sociedad de la
información comuniquen con prontitud a las autoridades públicas competentes los presuntos datos ilícitos o las actividades ilícitas
llevadas a cabo por destinatarios de su servicio o la obligación de comunicar a las autoridades competentes, a solicitud de éstas,
información que les permita identificar a los destinatarios de su servicio con los que hayan celebrado acuerdos de almacenamiento.

Artículo 3 Ámbito territorial

1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un

establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento
tenga lugar en la Unión o no.
2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión
por parte de un responsable o encargado NO establecido en la Unión, cuando las actividades de tratamiento
estén relacionadas con:

a. la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les

requiere su pago, o
b. el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que NO esté
establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en
virtud del Derecho internacional público.

Artículo 4 Definiciones

A efectos del presente Reglamento se entenderá por:

1. «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»);
se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2. «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos
de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por
transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación,
supresión o destrucción;

3. «limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar
su tratamiento en el futuro;

4. «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar
datos personales para evaluar determinados aspectos personales de una persona física, en particular para
analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias
personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;
5. «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un
interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y
esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se
atribuyan a una persona física identificada o identificable;

6. «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya
sea centralizado, descentralizado o repartido de forma funcional o geográfica;

7. «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u
otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la
Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento
o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados
miembros;
8. «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro
organismo que trate datos personales por cuenta del responsable del tratamiento;

9. «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen
datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades
públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con
el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas
será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

10. «tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del
responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos
personales bajo la autoridad directa del responsable o del encargado;

11. «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la
que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de
datos personales que le conciernen;

12. «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la
destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de
otra forma, o la comunicación o acceso no autorizados a dichos datos;

13. «datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona
física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en
particular del análisis de una muestra biológica de tal persona;

14. «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las
características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación
única de dicha persona, como imágenes faciales o datos dactiloscópicos;

15. «datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física,
incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

16. «establecimiento principal»:

a. en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado

miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los
fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y
este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el
establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;
 b. en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado
miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento
del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el
contexto de las actividades de un estableci- miento del encargado en la medida en que el
encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;

17. «representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito
por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al
encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

Artículo 27 Representantes de responsables o encargados del tratamiento no establecidos en la Unión.

1. Cuando sea de aplicación el artículo 3, apartado 2, el responsable o el encargado del tratamiento designará
por escrito un representante en la Unión.
2. La obligación establecida en el apartado 1 del presente artículo no será aplicable:

a) al tratamiento que sea ocasional, que no incluyan el manejo a gran escala de categorías especiales de datos
indicadas en el artículo 9, apartado 1, o de datos personales relativos a condenas e infracciones penales a
que se refiere el artículo 10, y que sea improbable que entrañe un riesgo para los derechos y libertades de
las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o
b) a las autoridades u organismos públicos. 4.5.2016 L 119/48 Diario Oficial de la Unión Europea ES

3. El representante estará establecido en uno de los Estados miembros en que estén los interesados cuyos datos
personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo
controlado.
4. El responsable o el encargado del tratamiento encomendará al representante que atienda, junto al
responsable o al encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de los
interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo
dispuesto en el presente Reglamento.
5. La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin
perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.

Artículo 9 Tratamiento de categorías especiales de datos personales.

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones
políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos
biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos
relativos a la vida sexual o las orientación sexuales de una persona física.

Artículo 10 Tratamiento de datos personales relativos a condenas e infracciones penales.

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas
sobre la base del artículo 6, apartado 1, sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas
o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para
los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el
control de las autoridades públicas

Artículo 6 Licitud del tratamiento

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines
específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la
aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del
tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al responsable del tratamiento;
 f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y
libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades
públicas en el ejercicio de sus funciones.

18. «empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma
jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;

19. «grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;

20. «normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un
responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias
o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países
terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica
conjunta;

21. «autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a
lo dispuesto en el artículo 51;

Artículo 51 Autoridad de control

1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas
independientes (en adelante «autoridad de control») supervisar la aplicación del presente Reglamento,
con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que
respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.
2. Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la
Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo
dispuesto en el capítulo VII.
3. Cuando haya varias autoridades de control en un Estado miembro, este designará la autoridad de
control que representará a dichas autoridades en el Comité, y establecerá el mecanismo que garantice
el cumplimiento por las demás autoridades de las normas relativas al mecanismo de coherencia a que se
refiere el artículo 63.
4. Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad
con el presente capítulo a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación
posterior que afecte a dichas disposiciones.

Artículo 63 Mecanismo de coherencia

A fin de contribuir a la aplicación coherente del presente Reglamento en toda la Unión, las autoridades
de control cooperarán entre sí y, en su caso, con la Comisión, en el marco del mecanismo de coherencia
establecido en la presente sección.
22. «autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales
debido a que:

a. el responsable o el encargado del tratamiento está establecido en el territorio del Estado

miembro de esa autoridad de control;
b. los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente
afectados o es probable que se vean sustancialmente afectados por el tratamiento, o
c. se ha presentado una reclamación ante esa autoridad de control;

23. «tratamiento transfronterizo»:

a. el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos
en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el
responsable o el encargado está establecido en más de un Estado miembro, o
b. el tratamiento de datos personales realizado en el contexto de las actividades de un único
establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta
sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado
miembro;
c. «objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no
de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de
acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre
claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y
libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos
personales dentro de la Unión;

24. «objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no de
infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones
previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la
importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades
fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la
Unión;

25. «servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1,
letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19);

b) SERVICIOS: todo servicio de la sociedad de la información, es decir, todo servicio prestado normalmente a
cambio de una remuneración, a distancia, por via electronica y a peticion individual de un destinamiento de
servicios.

26. «organización internacional»: una organización internacional y sus entes subordinados de Derecho
internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en
virtud de tal acuerdo.
 CAPÍTULO II

Principios

Artículo 7 Condiciones para el consentimiento

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de
demostrar que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a
otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los
demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. NO será
vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento
NO afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su
consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como
darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho
de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al
consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho
contrato.

Artículo 8 Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información

1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de
la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando
tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará
lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la
medida en que se dio o autorizó.

Artículo 6 Licitud del tratamiento

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines
específicos;

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior
a 13 años.

2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue
dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología
disponible.

3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como
las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales.

TÍTULO I
Disposiciones generales
Artículo 1. Objeto de la ley.

La presente ley orgánica tiene por objeto:

a) a)Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento

Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y
completar sus disposiciones.
El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el
artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE)
2016/679 y en esta ley organica.

b) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el

artículo 18.4 de la Constitución.

ARTICULO 18 DE LA CONSTITUCION

4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos.

Artículo 2. Ámbito de aplicación de los Títulos I a IX y de los artículos 89 a 94.

1. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier
tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no
automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Esta ley orgánica no será de aplicación:

a. A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de
datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.

Artículo 2 Ámbito de aplicación material

1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al
tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a. En el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la
Unión;
b. Por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito
de aplicación del capítulo 2 del título V del TUE;

TRATADO DE LA UE DE 7 FEBRERO DE 1992 FIRMADO EN MAASTRICHT

TÍTULO V. DISPOSICIONES GENERALES RELATIVAS A LA ACCIÓN EXTERIOR DE LA UNIÓN Y DISPOSICIONES ESPECÍFICAS
RELATIVAS A LA POLÍTICA EXTERIOR Y DE SEGURIDAD COMÚN
CAPÍTULO 2 DISPOSICIONES ESPECÍFICAS SOBRE LA POLÍTICA EXTERIOR Y DE SEGURIDAD COMÚN
Seccion 1. DISPOSICIONES COMUNES
Seccion 2. DISPOSICIONES SOBRE LA POLITICA COMUN DE SEGURIDAD Y DEFENSA.

c. A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en art. 3.

Artículo 3. Datos de las personas fallecidas.

1. Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán
dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales
de aquella y, en su caso, su rectificación o supresión.
Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del
causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido
expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a
acceder a los datos de carácter patrimonial del causante.

2. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también
solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su
rectificación o supresión.
Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de
estos mandatos e instrucciones y, en su caso, el registro de los mismos.

3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes
legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a
instancia de cualquier persona física o jurídica interesada.
En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse,
además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de
funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas
por el designado.

4. A los tratamientos sometidos a la normativa sobre protección de materias clasificadas.

5. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a
actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo
dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado
reglamento y en la presente ley orgánica. Se encuentran en esta situación, entre otros, los tratamientos
realizados al amparo de la legislación orgánica del régimen electoral general, los tratamientos realizados en
el ámbito de instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la
Propiedad y Mercantiles.

6. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los
procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se
regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las
disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables.
 TEMA 2 CELADORES

TÍTULO II
Principios de protección de datos

Artículo 6. Tratamiento basado en el consentimiento del afectado.

1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por
consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca
por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de
datos personales que le conciernen.

Artículo 4 Definiciones
A efecto del presente Reglamento se entenderá por:
11. «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e
inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen.

2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una
pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho
consentimiento se otorga para todas ellas.

3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos
personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la
relación contractual.

Artículo 7. Consentimiento de los menores de edad.

1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su

consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para
la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito
si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria
potestad o tutela.