¿Qué es del RGPD?

El Reglamento General de Protección de Datos (RGPD) es la legislación vigente en materia de protección de datos a nivel europeo que deben cumplir tanto las instituciones públicas como las empresas privadas que recopilan y hacen tratamiento de datos de personas físicas a partir del 25 de mayo de 2018.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, moderniza la normativa actual y unifica todo lo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos entre los Estados miembros.

El RGPD, en vigor desde mayo desde 2016 aunque no será aplicable hasta mayo de 2018, deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.

En España, esta Directiva fue adaptada por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y posteriormente el Real Decreto 1720/2007, de 21 de diciembre, desarrolló mandatos adicionales para precisar algunos de sus principios.

A diferencia de lo que sucedía hasta ahora con la Directiva, el Reglamento Europeo es una norma directamente aplicable, que no requiere de normas internas de trasposición ni tampoco de normas de desarrollo o aplicación.

Pese a ello, la LOPD será próximamente sustituida por una nueva norma, todavía en fase de tramitación parlamentaria, que podrá desarrollar determinados aspectos del RGPD.

RGPD


RGPD

Objetivos del RGPD

El Reglamento General de Protección de Datos tiene por objeto mejorar el nivel de protección de los datos de las personas físicas cuyos datos personales se someten a tratamiento y aumentar las oportunidades de negocio en el mercado único digital, en particular mediante la reducción de la carga administrativa.

 

El principal objetivo del RGPD es ofrecer a los interesados un mejor control sobre sus datos de carácter personal, con medidas como las siguientes:

  • Informar mejor de lo que ocurre con los datos personales una vez se comparten.
  • Facilitar la comprensión de las políticas de privacidad mediante iconos normalizados y un lenguaje claro y sencillo.
  • Reformular los diferentes derechos para mejorar su acceso, especialmente en el caso de menores.
  • Aumentar los derechos sobre los datos personales incorporando el de portabilidad entre proveedores de servicios.
  • Salvaguardar el tratamiento realizado con fines de archivo para investigación o interés estadístico.

El RGPD también tiene como objetivo unificar las diferentes normas europeas que se han ido desarrollando en los diferentes países miembros. Así, ofrece un marco único para todos (aplicable también para aquellos países que ofrezcan servicios online a ciudadanos de la Unión) y salvaguarda la transferencia de datos personales a terceros países.

Facilitando la igualdad de tratamiento, aumentan las opciones de negocio, especialmente en el caso de las pymes, que podrán sacar el máximo partido de un mercado único digital.

El Reglamento pretende también aumentar la responsabilidad y la rendición de cuentas de los responsables del tratamiento a fin de garantizar el pleno cumplimiento de las nuevas normas de protección de datos.

Con este fin, establece nuevas medidas de seguridad, la obligación de designar a un responsable de la protección de datos para garantizar el cumplimiento de la normativa en determinadas organizaciones, y sanciones en caso de incumplimiento.

¿Qué cambia con la normativa?

El Reglamento General de Protección de Datos introduce importantes novedades respecto al régimen actual y establece nuevas obligaciones, siendo estas más estrictas cuanto mayor sea el riesgo para los datos personales.

El consentimiento: 

El RGPD estipula que el consentimiento debe darse de forma inequívoca, informada y explícita por parte del interesado para cada una de las actividades de tratamiento. Si hubiese más de un fin para los datos, deberá solicitarse para cada uno de ellos.

No son válidas aceptaciones tácitas como ocurría hasta ahora en la LOPD con casillas ya marcadas: el interesado debe realizar por tanto una acción afirmativa para dar consentimiento.

Además, el interesado puede retirar el consentimiento en cualquier momento y debe poder hacerlo con la misma facilidad que para darlo.

Nuevos derechos:

Los derechos básicos que se implementaron en la Directiva 95/46/CE (acceso, rectificación, cancelación y oposición) se amplían en el RGPD al añadir los siguientes:

  • Derecho a la supresión o al olvido: por ejemplo, puede solicitarse cuando se hayan recabado datos para un fin no autorizado, se traten ilícitamente o se retire el consentimiento. Debe aplicarse de tal forma que se supriman enlaces, copias o réplicas de tales datos.
  • Derecho a la limitación del tratamiento: por ejemplo, puede solicitarse cuando se traten ilícitamente o ya no se necesiten, y debe constar claramente en el sistema como tratamiento limitado.
  • Derecho a la portabilidad de los datos: puede solicitarse un archivo en formato estructurado para transmitirlo a otra empresa o país.

Además, se tiene derecho a ser informado de posibles violaciones en los datos personales, no más tarde de 72 horas después de haber constatado el problema de seguridad. La violación tendrá que documentarse internamente y notificarse de forma clara al interesado, incluyendo sus consecuencias y las medidas para poner remedio.

El principio de responsabilidad proactiva: 

El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

Encargado, responsable y delegado de protección de datos:

En el Reglamento se refuerzan las figuras internas que protegen los datos.

Por un lado, existe el encargado del tratamiento como la persona que pone en práctica las medidas de seguridad para limitar el acceso a los datos únicamente para los fines que se han requerido, velando siempre por la confidencialidad.

Por el otro, las autoridades públicas y algunas empresas deberán tener además un delegado de protección de datos para garantizar el cumplimiento de la normativa.

En ambos casos, la adhesión a un código de conducta o un mecanismo de certificación demostrará que se cumplen sus obligaciones y están obligados a cooperar con la autoridad de control ofreciéndoles los registros en caso de que ésta los solicite.

Los organismos públicos, universidades, colegios profesionales, aseguradoras, entre otros, deberán designar un delegado de protección de datos, quien se encargará de informar, asesorar y supervisar al encargado y al responsable para que cumplan el reglamento.

Sanciones RGPD:

Las multas previstas por el RGPD son mucho mayores que por la LOPD. Los interesados podrán reclamar ante una autoridad de control cuando no se cumplan las normas de protección de datos y las sanciones a las que se enfrentan los responsables del tratamiento podrán ser de hasta:

  • 10 millones de euros o el 2% del volumen de negocio total anual del ejercicio financiero anterior cuando se trate de una empresa.
  • 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior cuando se trate de una empresa.

En determinadas circunstancias, también podrán interponer un recurso las organizaciones de protección de datos.

En ambos casos, la adhesión a un código de conducta o un mecanismo de certificación demostrará que se cumplen sus obligaciones y están obligados a cooperar con la autoridad de control ofreciéndoles los registros en caso de que ésta los solicite.

Los organismos públicos, universidades, colegios profesionales, aseguradoras, entre otros, deberán designar un delegado de protección de datos, quien se encargará de informar, asesorar y supervisar al encargado y al responsable para que cumplan el reglamento.

Preguntas frecuentes

¿El RGPD es obligatorio?
¿Cuál es su ámbito territorial?
¿En qué consiste la ventanilla única?
  • Principio de licitud, lealtad y transparencia: datos tratados de manera lícita, leal y transparente.
  • Principio de limitación de la finalidad: datos tratados con fines determinados, explícitos y legítimos y no incompatibles con tales fines.
  • Principio de minimización de datos: datos adecuados, pertinentes y limitados.
  • Principio de exactitud: datos exactos y, si fuera necesario, actualizados.
  • Principio de plazo de limitación del plazo de conservación: datos mantenidos que permitan la identificación de los interesados durante no más tiempo del necesario.
  • Principio de integridad y confidencialidad: datos tratados garantizando una seguridad adecuada. El deber de confidencialidad es complementario al de derecho profesional y se mantendrán tras la finalización de la relación con el responsable del tratamiento.
  • Principio de responsabilidad proactiva: el responsable del tratamiento es el responsable del cumplimiento de la normativa.
¿Cómo afecta el RGPD a los derechos ARCO?
¿Es necesario el consentimiento expreso?
¿Qué edad es la mínima para que el tratamiento de datos sea lícito?
¿Qué datos son de categorías especiales?
  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos, biométricos o de salud física o mental
  • Orientación sexual o vida sexual
  • Condenas e infracciones penales
¿En qué consiste el deber de transparencia de la información y la comunicación?
¿Qué relación hay entre el responsable y el encargado del tratamiento?
¿Cómo afecta el RGPD a las empresas cuyo tratamiento de datos implica un mayor riesgo para los derechos y libertades de las personas físicas?
¿Deben registrarse los ficheros en la AEPD?
¿Es necesario tener un documento de seguridad?

 

 

 

¿Te gustaría recibir más información sobre el nuevo RGPD?

¡No olvides compartir!

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies