PARTE I
Tratamiento de datos, sujetos implicados, responsabilidad proactiva
María José Santos Morón
I. Introducción 23
II. El tratamiento de datos personales: Concepto y requisitos. Tratamientos excluídos 24
1. El concepto de dato personal y la idea de tratamiento 24
2. La noción de fichero en el tratamiento no automatizado de datos personales 29
3. La excepción relativa a las «actividades exclusivamente personales o domésticas» 32
III. Sujetos implicados: Responsable y encargado del tratamiento 35
1. El concepto de responsable de tratamiento 35
2. La corresponsabilidad en el tratamiento 42
3. La figura del encargado del tratamiento 45
IV. La responsabilidad proactiva 48
1. Hacia la concreción de la noción de responsabilidad proactiva. La protección de datos desde el diseño y por defecto 48
2. Deberes derivados del modelo de «responsabilidad proactiva» 55
2.1. El deber de respetar los principios relativos al tratamiento 58
2.2. El deber de atender los derechos de los interesados 65
2.3. El deber de garantizar la seguridad del tratamiento. Evaluación de impacto y notificación en caso de violación de la seguridad 70
V. BIBLIOGRAFÍA 75
El consentimiento al tratamiento de datos personales
Martín García-Ripoll Montijano
I. INTRODUCCIÓN: NATURALEZA DEL DERECHO A LA PROTECCIÓN DE DATOS 79
II. CONCEPTO Y NATURALEZA JURÍDICA DEL CONSENTIMIENTO 85
III. EL CONSENTIMIENTO EN EL CONTEXTO DE LAS CAUSAS DE LICITUD DEL TRATAMIENTO 97
IV. EXCEPCIONES AL PRINCIPIO DEL CONSENTIMIENTO 101
V. REQUISITOS DEL CONSENTIMIENTO COMO DECLARACIÓN DE VOLUNTAD 106
1. Carácter informado 108
1.1. En general 108
1.2. El deber de transparencia 114
2. Libertad 119
3. Especificidad 125
3.1. En general 125
3.2. El consentimiento inespecífico para fines archivísticos, de investigación científica o histórica, y estadísticos 127
4. Inequivocidad y carácter expreso 132
VI. PRUEBA 140
VII. LA REVOCACIÓN 141
VIII. CONSIDERACIONES CRÍTICAS FINALES 146
1. La técnica legislativa 146
2. El consentimiento al tratamiento ulterior con fines científicos 147
3. La libre revocabilidad del consentimiento 148
4. El consentimiento como herramienta adecuada para proteger los datos 149
5. Los datos masivos o big data y el consentimiento 153
6. Consentimiento y contrato 155
IX. BIBLOGRAFÍA 155
Datos personales y menores de edad
María del Carmen García Garnica
I. parámetros Del análisis de la protección de los datos personales de los menores de edad 161
1. Desafíos del desarrollo del entorno digital y la Inteligencia Artificial para los datos personales 161
2. Quid de la tutela de los datos personales de los menores de edad 165
II. MARCO NORMATIVO 167
1. La tutela de los datos personales del menor en la Unión Europea. Breve referencia a los antecedentes del RGDP 167
2. La protección de los datos personales del menor en España 171
2.1. La tutela de los datos personales de los menores a la luz de la Ley Orgánica 1/1996 de Protección Jurídica del Menor 171
2.2. El Real Decreto 1720/2007 175
2.3. El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo 176
2.4. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 179
III. REQUISITOS DEL TRATAMIENTO DE los datos personales de los menores. ESPECIAL CONSIDERACIÓN AL CONSENTIMIENTO 180
1. Capacidad y legitimación para consentir el tratamiento de los datos personales de los menores de edad 181
1.1. Menores con capacidad natural suficiente 181
1.2. Menores sin capacidad natural suficiente. Límites de la legitimación de sus representantes legales para disponer de sus datos personales 183
1.3. Control de veracidad de la edad del menor y del consentimiento paterno 187
2. Requisitos del consentimiento 189
2.1. Requisitos de forma: previo, expreso e inequívoco 189
2.2. Requisitos de fondo: consentimiento libre, informado y específico 191
3. Revocabilidad del consentimiento 194
4. Quid del control del consentimiento prestado por el menor 195
IV. TRATAMIENTO DE LOS DATOS PERSONALES DEL MENOR EN EL ÁMBITO ESCOLAR 197
1. Consideraciones generales 197
2. Datos personales requeridos para la escolarización de los menores 200
3. Publicación de datos personales del alumnado 204
4. Uso de herramientas digitales de apoyo a la docencia y la comunicación en los centros escolares 207
5. Tratamiento de la imagen del alumnado 211
6. Acceso a los datos personales del alumnado 213
6.1. Acceso al expediente del estudiante 213
6.2. Acceso al contenido de los dispositivos móviles del alumnado 216
7. Uso de sistemas de videovigilancia por los centros escolares 218
8. Sistemas de control de acceso y permanencia del alumnado 220
8.1. Sistemas biométricos de control 221
8.2. Sistemas de control por radiofrecuencia 224
V. TRATAMIENTO DE LOS DATOS PERSONALES DEL MENOR EN EL ÁMBITO SANITARIO 226
1. Legitimación para el tratamiento de los datos sanitarios del menor 227
2. Derecho de acceso a la historia clínica del menor 229
3. Derecho de rectificación y supresión 232
4. Conservación de la documentación clínica 233
VI. REFLEXIONES FINALES 234
VII. Bibliografía 236
Herencia y testamento digitales
Ramón Durán Rivacoba
I. LA HERENCIA DIGITAL 239
1. Status quaestionis presente y perspectivas futuras 239
2. El principio de subrogación en la personalidad del causante 245
3. Elementos personales y patrimoniales: datos, cuentas, perfiles y archivos 248
II. EL TESTAMENTO DIGITAL 249
1. Derecho positivo: comunitario, estatal y foral. Título competencial. Dualidad de régimen y disciplina unívoca en la ley orgánica 3/2018 249
2. Nociones y formatos: testamento versus voluntades digitales 252
3. La faceta objetiva: datos personales y contenido patrimonial 256
4. Los protagonistas del encargo: causantes, designados y representantes digitales 257
III. LAS INSTRUCCIONES DIGITALES. NATURALEZA Y COMETIDOS 268
1. Categoría jurídico civil mortis causa 269
2. Catálogo de facultades atribuidas: acceso, apropiación, reforma y cierre 277
3. La autotutela digital 282
IV. PERSPECTIVA PUBLICITARIA DEL FENÓMENO 284
1. Asiento constitutivo u obligatorio de las instrucciones digitales. El título de legitimación 285
2. La cuestión de la competencia legislativa en materia registral 292
3. Registro administrativo frente a jurídico en la disciplina. La STC 7/2019 y su voto particular 296
V. BIBLIOGRAFÍA 303
PARTE II
Intromisiones ilegítimas en los derechos al honor, a la intimidad y a la propia imagen: Tutela civil versus tutela administrativa
Pedro Grimalt Servera
I. INTRODUCCIÓN 309
1. Honor, intimidad y propia imagen versus protección de datos 309
2. Proceso judicial versus procedimiento administrativo 318
II. MEDIDAS CAUTELARES 328
1. Las medidas cautelares en la jurisdicción civil 328
1.1. Consideraciones generales 328
1.2. Medidas cautelares y limitación de las libertades de expresión y de información 333
1.3. El secuestro de publicaciones o de una grabación (u otros medios de información) y la prohibición o cese de actividades 335
2. Las medidas provisionales en la protección administrativa de la intimidad, del honor y de la propia imagen 342
2.1. Consideraciones generales 342
2.2. El bloqueo de datos (y el cese de su tratamiento) y la inmovilización como medidas provisionales 344
III. DAÑO versus INCUMPLIMIENTO DE DERECHOS Y/O INFRACCIÓN 346
1. Tutela civil (jurisdicción civil) versus tutela administrativa (AEPD) 346
2. Responsabilidad civil: LO 1/1982 versus RGPDP 356
2.1. Aplicación de la LO 1/1982 356
2.2. Aplicación del RGPD (y de la LO 1/1982) 359
IV. BIBLIOGRAFÍA 369
V. ABREVIATURAS 370
La regulación del «derecho al olvido» en los arts. 17 y 21 del RGPD y en el art. 93 de la LOPDGDD
Ignacio Garrote Fernández-Díez
I. Introducción 373
II. Perspectiva constitucional: El «derecho al olvido» como facultad del derecho a la protección de datos personales del art. 18.4 CE 376
III. La protección del derecho a la retirada de enlaces en los art. 17 y 21 del Reglamento General de Protección de Datos 379
1. Fundamentos para pedir la retirada de los enlaces en el art. 17.1 RGPD y el límite del art. 17.3 a) RGPD 381
2. La retirada de los enlaces que dirigen a páginas que contienen información especialmente sensible (el art. 17.1 b) RGPD y la doctrina del TJUE en el caso «CG y otros») 389
IV. El derecho al olvido en búsquedas de Internet del art. 93 LOPDGDD: aspectos subjetivos y objetivos 393
1. El significado del art. 93 LOPDGDD y su crítica 393
2. La búsqueda nominativa como presupuesto de hecho del art. 93 LOPDGDD 397
3. La solicitud que se dirige al gestor del motor de búsqueda 402
4. Motivos que justifican la solicitud de retirada de los enlaces de los resultados de búsqueda 407
V. La ponderación de los derechos fundamentales en juego en el art. 93 LOPDGDD 412
1. La naturaleza y el interés público de la información, en función del tiempo transcurrido 412
2. La valoración de las circunstancias personales del afectado en el art. 93.1.II LOPDGDD 421
3. El art. 93 LOPDGDD a la luz de la jurisprudencia previa sobre «derecho al olvido» 424
VI. La obligación del gestor del motor de búsqueda conforme al art. 93 LOPDGDD y a los arts. 17 y 21 RGPD 429
VII. Conclusión 435
VIII. Bibliografía 436

Las libertades de expresión e información frente al derecho a la protección de datos y otros derechos de la personalidad en la nueva LO/2018. Especial consideración del derecho de rectificación en Internet
Margarita Castilla Barea
I. INTRODUCCIÓN 440
II. LAS REDES SOCIALES EN LÍNEA: DEFINICIONES COMUNES Y DATOS NORMATIVOS 443
1. La ausencia de una definición legal de qué sea una «red social». Nociones al uso 443
2. Breve referencia a la consideración específica de las redes sociales en el Título X de la LOPDGDD 448
III. LA REGULACIÓN DEL DERECHO DE RECTIFICACIÓN EN INTERNET EN EL CONTEXTO DE LOS NUEVOS DERECHOS DIGITALES: CUESTIONES QUE SUSCITA EL ART. 85 LOPDGDD 450
1. Consideraciones iniciales 451
2. Las vicisitudes en la tramitación parlamentaria del art. 85 LOPDGDD y su transformación a partir de la propuesta originaria 453
3. Las libertades de expresión y de información en el marco del sucinto art. 85.1 LOPDGDD: observaciones al respecto 457
3.1. La consideración autónoma de ambas libertades en la Constitución Española 459
3.2. La posible influencia en el legislador español del concepto amplio de libertad de expresión, predominante en el ámbito internacional 459
4. Las situaciones a que responde el art. 85.2 LOPDGDD. Internet como escenario de la tradicional tensión entre los derechos de la personalidad y las libertades comunicativas 462
4.1. Los viejos conflictos entre las libertades de expresión e información y los derechos del art. 18.1 CE al honor, la intimidad personal y familiar y la propia imagen 464
4.2. La eventual colisión entre la libertad de expresión y el derecho a recibir información veraz. La lucha contra los bulos y las falsas noticias 472
5. Las consecuencias jurídicas que establece la norma: la extensión del derecho de rectificación a las redes sociales y otros servicios equivalentes 478
5.1. El responsable de la red social como actor de la rectificación o como intermediario entre los usuarios. Alcance y consecuencias de la remisión a la LODR en este punto 480
5.1.1. El responsable de la red social como garante de la rectificación 481
5.1.2. El responsable de la red social como mero intermediario entre el autor o difusor del contenido y el usuario que pretende la rectificación 483
5.2. Otras reflexiones a propósito del derecho de rectificación en internet 487
5.3. Algunas consideraciones sobre el «aviso aclaratorio» del último inciso del art. 85.2 LOPDGDD 490
IV. LAS LIBERTADES DE EXPRESIÓN E INFORMACIÓN COMO LÍMITES DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES. UN SILENCIO LLAMATIVO DE LA LOPDGDD 493
1. La consideración general del asunto en el RGPD y el silencio del legislador español en la LOPDGDD 493
2. Breve referencia a la llamada «excepción periodística» 497
V. BIBLIOGRAFÍA 500
El régimen de los sistemas de información crediticia en la nueva legislación sobre protección de datos
Carlos Manuel Díez Soto
I. CONSIDERACIONES GENERALES 505
II. EL ARTÍCULO 20 LOPDPGDD: LA PRESUNCIÓN DE LICITUD DEL TRATAMIENTO DE DATOS SOBRE INSOLVENCIA 509
III. LOS FICHEROS DEL ARTÍCULO 20 LOPDPGDD: INTERCAMBIO DE INFORMACIÓN ENTRE ACREEDORES SOBRE INCUMPLIMIENTO DE OBLIGACIONES DINERARIAS POR PARTE DE SUS DEUDORES 515
IV. REQUISITOS SUSTANTIVOS: EL PRINCIPIO DE CALIDAD DE LOS DATOS 523
1. Veracidad y pertinencia de los datos. Saldo cero 523
2. Plazo máximo de permanencia de los datos en el sistema 536
3. Cuantía mínima 537
V. REQUISITOS FORMALES: DEBERES EN MATERIA DE NOTIFICACIONES Y REQUERIMIENTOS 539
1. Información previa a la inclusión de los datos en el fichero y requerimiento previo de pago 542
2. Notificación posterior a la inclusión de los datos en el fichero 545
3. La consulta de los datos contenidos en el fichero 546
4. Información al interesado sobre el resultado de la consulta 551
5. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento 553
VI. EJERCICIO POR EL INTERESADO DE LOS DERECHOS RECONOCIDOS EN LA LEY 553
VII. BIBLIOGRAFÍA 555

PARTE III
Los datos personales como contraprestación
Mª Carmen Plana Arnaldos
I. Planteamiento 561
II. Los datos personales desde una perspectiva patrimonial 566
1. Los modelos de negocio de suministro de contenidos y servicios digitales gratuitos 566
2. Derecho del titular sobre los datos personales 570
2.1. Derecho fundamental de protección de datos personales e indisponibilidad de los datos 571
2.2. Derecho de propiedad y caracteres de un pretendido derecho patrimonial del titular sobre los datos personales 575
2.3. Interés social de los datos versus derecho del titular 575
III. Naturaleza jurídica del suministro de contenidos y servicios digitales 577
IV. Régimen jurídico del suministro de contenidos y servicios digitales 581
1. Datos considerados contraprestación a efectos de aplicación de normas contractuales 583
1.1. El polémico término «contraprestación» 584
1.2. Datos personales facilitados por el consumidor 587
1.3. El límite de los datos necesarios para el cumplimiento del contrato o de requisitos legales 589
1.4. Exclusión de los metadatos salvo que exista contrato 591
1.5. Contenidos o servicios digitales que estén incorporados a los bienes o interconectados con ellos 592
2. El criterio de conformidad de los contenidos y servicios digitales 596
2.1. Requisitos de conformidad del suministro de contenidos y servicios digitales por el empresario proveedor 596
2.2. La obligación del consumidor de proporcionar datos personales 600
3. Remedios del consumidor ante el incumplimiento y falta de conformidad, y destino de los datos 602
3.1. Causas de terminación del contrato 602
3.2. Remedios del consumidor en la Directiva 2019/770 604
3.3. Consecuencias de la resolución y destino de los datos 605
3.3.1. Datos personales 607
3.3.2. Datos no personales 607
V. Consideraciones finales 610
VI. BIBLIOGRAFÍA 615

El cloud computing como forma de prestación de servicios de tratamiento de datos
Miguel Navarro Castro
I. DELIMITACIÓN DE LOS SERVICIOS DE CLOUD COMPUTING 619
II. SUJETOS QUE INTERVIENEN EN EL TRATAMIENTO DE DATOS EN LA NUBE 625
1. Los usuarios o clientes 625
1.1. Usuarios cuyos servicios incluyen el tratamiento de datos personales de terceros 625
1.2. El consumidor como contratante de servicios de cloud computing 629
2. Los proveedores de servicios en la nube 631
3. Los subcontratistas 636
III. CONSIDERACIONES A TENER EN CUENTA POR EL USUARIO EN LA ELECCIÓN DEL PRESTADOR DE LOS SERVICIOS DE CLOUD COMPUTING 638
1. El carácter internacional de la prestación de los servicios de cloud computing: la importancia de la localización del proveedor de los servicios 638
2. La transparencia del prestador 646
3. Garantías contractuales respecto al tratamiento de los datos personales 647
IV. PORTABILIDAD DE LOS DATOS Y DESTINO DE LOS DATOS TRAS LA FINALIZACIÓN DEL CONTRATO 649
1. Portabilidad de los datos 649
2. Recuperación o supresión de los datos personales tras la finalización de la relación contractual 651
V. EL CLOUD COMPUTING EN LAS ADMINISTRACIONES PÚBLICAS 652
VI. RESPONSABILIDAD DE PRESTADORES DE SERVICIOS DE COMPUTACIÓN EN LA NUBE Y CLIENTES POR LOS DAÑOS DERIVADOS DE UN INADECUADO TRATAMIENTO DE LOS DATOS PERSONALES 655
VII. EL TRATAMIENTO DE DATOS NO PERSONALES 657
VIII. BIBLIOGRAFÍA 665
El derecho a la portabilidad de los datos personales: control y uso compartido de los datos personales
Isabel González Pacanowska
I. El Derecho a la Portabilidad: entre la protección de datos personales y el rol activo del individuo en la economía de los datos 668
1. Un alumbramiento incierto y una pluralidad de objetivos 668
1.1. El nuevo derecho a la portabilidad en el RGPD y en la LOPDGDD 668
1.2. Múltiples objetivos: ¿optimismo o escepticismo? 671
2. Control sobre los datos y participación en los beneficios del «big data» 674
3. Un instrumento para fomentar la competencia. Luces y sombras 678
4. Limitaciones, excepciones y regímenes específicos 682
II. El régimen jurídico del derecho a la portabilidad en el Reglamento general de protección de datos 684
1. Presupuestos de ejercicio 684
1.1. Datos personales que incumban al interesado 684
1.2. Datos facilitados por el interesado 686
1.3. Tratamiento automatizado basado en el consentimiento o en el contrato 691
2. Contenido del derecho a la portabilidad 695
2.1. Portabilidad indirecta y portabilidad directa 695
2.2. Información y facilidad 698
2.3. Seguridad y responsabilidad 701
2.4. Formatos estructurados de uso común y lectura mecánica o transmisión directa: el reino de la tecnología 704
3. Portabilidad y redes sociales: el art. 95 LOPDGDD y los datos no personales 708
III. La portabilidad de los datos personales no afectará negativamente a los derechos y libertades de otros 714
1. Datos personales de terceros 714
2. Derechos del responsable del tratamiento: propiedad intelectual, derecho sui generis sobre base de datos, secretos empresariales 719
IV. A modo de conclusión. Más allá de la portabilidad de los datos personales 723
V. Bibliografía 728