RGPD

Está en la página 1de 8

Análisis de las novedades introducidas por el RGPD

LEY PROTECCION DE DATOS NOVEDADES


INTRODUCIDAS EN EL 2016
1. Introducción

El 5 de mayo de 2016 entró en vigor el Reglamento (UE) 2016/679, de 27 de abril de


2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento General de Protección de Datos o “RGPD”). Sustituye
a la antigua Directiva de protección de datos, que tenía un carácter de mínimos, y
permitía a los estados decidir de qué manera cumplir con sus objetivos. El RGPD
establece el régimen de protección de datos aplicable a todos los estados de la Unión
Europea de manera directa. Sin embargo, otorga un periodo de dos años para que
quienes traten datos personales de personas físicas y las agencias de protección de datos
se adapten al nuevo sistema, por lo que no es de aplicación hasta el 25 de mayo de
2018.

La legislación española actual, y, especialmente, la Ley Orgánica 15/1999, de 13 de


diciembre, de Protección de Datos de Carácter Personal (“LOPD”), y el Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la
Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal
(“RLOPD”); es de las más tuitivas de Europa. Por ello, el nuevo RGPD no introduce
tantas diferencias con respecto al régimen anterior como en otros países, si bien siguen
existiendo una serie de obligaciones adicionales que deberán cumplirse a partir del 25
de mayo de 2018.

2. Aplicación del RGPD

El Reglamento General de Protección de Datos, como reglamento, tendrá un alcance


general. Será obligatorio en todos sus elementos y directamente aplicable en cada
Estado miembro, como si de una ley nacional se tratara. Así, será directamente aplicable
por los Tribunales nacionales y por la Agencia Española de Protección de Datos
(“AEPD”) a las empresas y demás sujetos afectados.

La normativa existente, y esencialmente la LOPD y el RLOPD, no serán completamente


derogados por el RGPD, sino que éste desplazará a la normativa vigente en la materia.
Es decir, la norma esencial de aplicación será el Reglamento General de Protección de
Datos, mientras que las disposiciones de la LOPD y su reglamento de desarrollo sólo
podrán aplicarse cuando regulen cuestiones que no estén cubiertas por el Reglamento, y
en la medida en que no sean contradictorias con éste. Sin embargo, cuando el RGPD sea
de aplicación a partir del 25 de mayo de 2018, lo más seguro es que el legislador
español derogue la LOPD, o la modifique para adecuarse al RGPD.

3. Novedades del RGPD

El RGPD parte de la idea de accountability, por la que la responsabilidad de quien trate


datos personales no existe sólo en caso de infracción, sino que se debe ser diligente a la
hora de adoptar todas las medidas necesarias para el cumplimiento normativo. Para ello,
el Reglamento consagra el principio de privacy by design, o privacidad por diseño, por
el que las medidas de protección de datos personales se aplican desde el momento de
diseñar el tratamiento, para garantizar el complimiento con la normativa. Además, de
acuerdo con el principio de privacidad por defecto, se limitará el uso de datos y su
conservación, así como el acceso a los mismos, al mínimo necesario para llevar a cabo
el tratamiento. Concretamente, las principales novedades del Reglamento consisten en
la extensión del ámbito territorial de aplicación, el refuerzo del consentimiento del
interesado, la introducción del derecho al olvido y el derecho a la portabilidad, el
refuerzo del deber de información, la obligación de notificar los fallos de seguridad,
obligaciones que se tienen que llevar a cabo en el seno de la empresa, fin de obligación
de notificar ficheros, y cambios sobre la legitimación de las autoridades de control,
medidas de seguridad, y sanciones.

3.1. Extensión del ámbito de aplicación territorial

El artículo 3 del Reglamento establece que “se aplica al tratamiento de datos


personales en el contexto de las actividades de un establecimiento del responsable o del
encargado en la Unión, independientemente de que el tratamiento tenga lugar en la
Unión o no.” Además, como novedad, el Reglamento se aplica también “al tratamiento
de datos personales de interesados que residan en la Unión por parte de un
responsable o encargado no establecido en la Unión, cuando las actividades de
tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados
en la Unión, independientemente de si a estos se les requiere su pago; o el control de su
comportamiento, en la medida en que este tenga lugar en la Unión.” Esto supone una
extensión del ámbito territorial de la legislación europea en materia de protección de
datos, en la medida que, además de a responsables o encargados de tratamiento con
establecimiento en la Unión, se aplica a aquellos de terceros países que traten datos de
ciudadanos europeos, ya sea con miras a la oferta de bienes o servicios, o para
monitorizar su comportamiento (en la medida en que este tenga lugar en la UE), aunque
no tengan ninguna presencia física en el territorio de la Unión. Así, este tipo de
empresas, que antes no estaban obligadas por la legislación de protección de datos
europea, pasan a ser directamente responsables, y deben cumplir con todas las
obligaciones que el Reglamento dispone.

3.2. Refuerzo del consentimiento

De acuerdo con la LOPD, el consentimiento del interesado era “toda manifestación de


voluntad, libre, inequívoca, específica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen.” Sin embargo, con el
Reglamento, se añade el requisito de que dicho consentimiento se otorgue “mediante
una declaración o una clara acción afirmativa”. Así, en aquellos supuestos en los que
sea necesario el consentimiento del interesado, ya no cabe el consentimiento tácito que
en ocasiones se permitía, especialmente en el ámbito de internet, sino que debe haber
una acción positiva por su parte. Por ejemplo, ya no se entenderá otorgado el
consentimiento por la simple navegación en una página web.

La LOPD requiere que el consentimiento sea expreso con respecto a datos de carácter
personal que hagan referencia al origen racial, a la salud y a la vida sexual, por lo que el
régimen se mantendrá con el RGPD. Además, en el caso de datos de carácter personal
que revelen la ideología, afiliación sindical, religión y creencias, según la LOPD, el
consentimiento debe ser expreso y por escrito. En este punto, habrá que ver si se
considera permisible desde el punto de vista del RGPD que la LOPD introduzca este
requisito adicional para recabar el consentimiento de datos especialmente protegidos.

Además, el RGPD detalla las condiciones para que sea aceptable el consentimiento de
menores, estableciendo un régimen especial para los menores de 16 años (y que los
estados miembros pueden reducir hasta a los 13 años), en los que es necesario que el
consentimiento lo de o autorice el titular de la patria potestad o tutela sobre el niño. El
reglamento de desarrollo de la LOPD reduce la edad a los 14 años, por lo que es
previsible que se mantenga como hasta ahora.

3.3. Derecho al olvido y derecho a la portabilidad

El Reglamento General de Protección de Datos no sólo reconoce los clásicos derechos


de acceso, rectificación, cancelación y oposición, con algunas diferencias
terminológicas, sino que regula dos nuevos derechos, el denominado derecho al olvido,
y el derecho a la portabilidad de los datos.

El derecho al olvido se regula en el art. 17 del RGPD, y permite al interesado, en una


serie de casos, obtener sin dilación indebida del responsable del tratamiento la supresión
de los datos personales que le conciernan. No es sino una manifestación de los
tradicionales derechos de oposición y cancelación, pero reforzado, y garantizado
también en el entorno de internet. Consagra así el derecho reconocido por el Tribunal de
Justicia de la Unión Europea en el asunto C-131/12, Mario Costeja v Google, en el que
se condenó al buscador a desindexar datos personales que habían perdido su relevancia
informativa. Su principal límite, por tanto, es que esos datos sigan siendo relevantes de
acuerdo con el derecho a la libertad de expresión e información. Con el Reglamento, el
derecho se reconoce más allá del entorno de los buscadores de noticias en internet, y se
traslada a cualquier responsable de tratamiento. En España, dado que el derecho al
olvido reconocido en el caso Costeja se aplica regularmente, y que los derechos de
oposición y cancelación abarcan ampliamente los supuestos fuera del ámbito online, no
supone un gran cambio, más allá del denominativo, pero refuerza la seguridad jurídica y
garantiza que se van a poder ejercitar los mismos derechos en toda la Unión Europea.

El derecho a la portabilidad de los datos del art. 20 RGPD permite al interesado recibir
los datos personales que le incumban, que haya facilitado a un responsable del
tratamiento por medios automatizados, en un formato estructurado, de uso común y
lectura mecánica, y transmitirlos a otro responsable del tratamiento sin que lo pueda
impedir el primer responsable. Además, tendrá derecho a que los datos personales se
transmitan directamente de responsable a responsable cuando sea técnicamente posible.
Este derecho facilita la contratación electrónica y el cambio de proveedor de servicios,
simplificando el traslado de los datos personales al nuevo, y garantizando que el
proveedor anterior no retiene los datos personales del interesado. También se incluye en
el art. 22 el derecho a no ser objeto de elaboración de perfiles de comportamiento, con
algunas excepciones.
3.4. Refuerzo del deber de información

La LOPD establece qué información debe facilitarse al interesado en el momento de la


recogida de datos, pero el RGPD refuerza esta obligación, introduciendo nuevos
extremos que deben ser comunicados en el artículo 13. Antes de la obtención de datos
del interesado deberá informársele, como novedad, y entre otros, de los datos de
contacto del delegado de protección de datos cuando lo hubiera, la base jurídica del
tratamiento, los destinatarios o las categorías de destinatarios de los datos personales, la
intención del responsable de transferir datos personales a un tercer país u organización
internacional y la existencia o ausencia de una decisión de adecuación de la Comisión el
plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los
criterios utilizados para determinar este plazo, etc.

El Reglamento también extiende y detalla, en su artículo 14, la información que debe


facilitarse cuando los datos personales no se hayan obtenido del interesado. Ésta debe
prestarse, a más tardar, en el plazo de un mes desde que se han obtenido los datos
personales, o en el momento de la primera comunicación con el interesado; y antes de
que sean comunicados a otro destinatario. Esto reduce el plazo, que en la LOPD era de
tres meses. Además de los extremos que ya aparecen en la LOPD, como la existencia de
un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de
éstos y de los destinatarios de la información; la posibilidad de ejercitar los derechos de
acceso, rectificación, cancelación y oposición; la identidad y dirección del responsable
del tratamiento o, en su caso, de su representante; el contenido del tratamiento; o la
procedencia de los datos; se debe proporcionar mucha más información, como los datos
de contacto del delegado de protección de datos, en su caso; la base jurídica del
tratamiento; las categorías de datos personales de que se trate; en su caso, la intención
del responsable de transferir datos personales a un destinatario en un tercer país u
organización internacional y la existencia o ausencia de una decisión de adecuación de
la Comisión; el plazo durante el cual se conservarán los datos personales o, cuando eso
no sea posible, los criterios utilizados para determinar este plazo; o el derecho a
presentar una reclamación ante una autoridad de control.

3.5. Obligación de notificar los fallos de seguridad

El RGPD incluye la obligación del responsable del tratamiento de notificar cualquier


violación de la seguridad de los datos personales, tanto a la autoridad de control, como a
los interesados. De acuerdo con el art. 33, la brecha de seguridad se debe notificar a la
autoridad de control competente “sin dilación indebida y, de ser posible, a más tardar
72 horas después de que haya tenido constancia de ella, a menos que sea improbable
que dicha violación de la seguridad constituya un riesgo para los derechos y las
libertades de las personas físicas. Si la notificación a la autoridad de control no tiene
lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la
dilación.” Dicha notificación debe describir la naturaleza de la violación de la seguridad
de los datos personales, con las categorías y el número aproximado de interesados
afectados, y las categorías y el número aproximado de registros de datos personales
afectados; comunicar el nombre y los datos de contacto del delegado de protección de
datos o de otro punto de contacto en el que pueda obtenerse más información; describir
las posibles consecuencias de la violación de la seguridad de los datos personales; y
describir las medidas adoptadas o propuestas por el responsable del tratamiento para
poner remedio a la violación de la seguridad de los datos personales. Si la violación de
seguridad se produce en sede del encargado del tratamiento, éste deberá notificar sin
dilación indebida al responsable del tratamiento de las mismas, para que pueda proceder
con las correspondientes notificaciones.

El art. 44 RGPD establece que, además, el responsable de tratamiento deberá comunicar


a los interesados, sin dilación indebida, las violaciones de seguridad de sus datos
personales, cuando éstas entrañen un alto riesgo para los derechos y libertades de las
personas físicas. Debe realizarse en un lenguaje claro y sencillo, comunicando los datos
de contacto del delegado de protección de datos; describiendo las posibles
consecuencias de la violación de la seguridad de los datos personales; y las medidas
adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos
personales. Esta comunicación no será necesaria si ha adoptado medidas de protección
apropiadas y se han aplicado a los datos personales afectados, en particular las que
supongan la encriptación de los datos; si ha tomado medidas ulteriores que garanticen
que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y
libertades del interesado; o si supone un esfuerzo desproporcionado. En este caso, se
optará en su lugar por una comunicación pública o semejante por la que se informe de
manera igualmente efectiva a los interesados.

3.6. Obligaciones en el seno de la empresa: Registro de actividades, PIAs y DPO

El RGPD traslada la responsabilidad de la adecuada protección de los datos personales a


las empresas que lleven a cabo los correspondientes tratamientos. Así, en primer lugar,
las empresas y organizaciones que empleen a más de 250 personas, las que traten datos
de manera frecuente, de manera que pueda entrañar un riesgo para los derechos y
libertades, o incluyan datos personales especialmente protegidos o relativos a condenas
e infracciones penales, deberán tener un registro de las actividades de tratamiento
efectuadas bajo su responsabilidad. Este registro interno que tienen que efectuar tanto
responsables como encargados de tratamiento deberá realizarse por escrito, y contener
información detallada acerca de cada tratamiento de datos que realicen.

En segundo lugar, de acuerdo con el art. 35 RGPD, en algunos supuestos en los que sea
probable que un tratamiento entrañe un alto riesgo para los derechos y libertades de las
personas físicas, en especial por el uso de nuevas tecnologías, el responsable del
tratamiento deberá realiza, antes del tratamiento, una evaluación del impacto (data
protection impact assessment) de las operaciones de tratamiento en la protección de
datos personales. Ésta debe contener la descripción de las operaciones de tratamiento
previstas, los fines, una evaluación de la necesidad y la proporcionalidad de las
operaciones, una evaluación de los riesgos para los derechos y libertades de los
interesados, y las medidas previstas para afrontar los riesgos. Una única evaluación
podrá abordar una serie de operaciones de tratamiento similares que entrañen altos
riesgos similares. Cuando la evaluación de impacto resuelva que el tratamiento
entrañaría un alto riesgo, el responsable deberá consultar a la autoridad de control antes
de proceder al tratamiento, que le asesorará acerca del mismo.

En tercer lugar, las empresas responsables o encargadas de tratamiento cuyas


actividades principales consistan en operaciones de tratamiento que, en razón de su
naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de
interesados a gran escala; o consistan en el tratamiento a gran escala de categorías
especiales de datos personales y/o de datos relativos a condenas e infracciones penales,
deberán nombrar un Delegado de Protección de Datos (o Data Protection Officer). El
resto de empresas pueden designar uno si así lo desean, y un grupo empresarial podrá
nombrar un único delegado de protección de datos para todo el grupo. El delegado de
protección de datos puede ser un trabajador en plantilla, o ser contratado de manera
externa, y deberá ser designado atendiendo a sus cualidades profesionales y, en
particular, a sus conocimientos especializados del Derecho y la práctica en materia de
protección de datos y a su capacidad para desempeñar sus funciones. Debe participar en
todas las cuestiones relativas a la protección de datos, y ser la figura con la que
contacten los interesados para la gestión de sus derechos. Así, se encarga de informar y
asesorar al responsable y a los empleados que se ocupen del tratamiento de las
obligaciones que les incumben en virtud de la legislación de protección de datos,
supervisar el cumplimiento de la misma y de las políticas de protección de datos que
existan dentro de la empresa, realizar las evaluaciones de impacto, y cooperar y estar en
contacto con la autoridad de control. Su actividad debe ser adecuada con el deber de
confidencialidad y secreto, e independiente del responsable y encargado de tratamiento,
de los que no puede recibir instrucciones, debiendo rendir cuentas al más alto nivel
jerárquico de la empresa. En cualquier caso, si se produce alguna infracción, la
responsabilidad seguirá recayendo en el responsable del tratamiento, no en el delegado
de protección de datos.

En muchas ocasiones, la introducción del delegado de protección de datos no supondrá


un gran cambio en el seno de la empresa, ya que ya habrá un sujeto u órgano específico
que se encarga de gestionar las actividades relacionadas con la protección de datos. En
estos casos, habrá que designar quién va a ser considerado delegado de protección de
datos, independientemente de que pueda trabajar individualmente, o como parte de un
equipo. El reglamento de desarrollo de la LOPD establece la obligación de designación
de un responsable de seguridad que coordine y controle las medidas de seguridad que se
apliquen a los datos personales. Si bien supone un antecedente del delegado de
protección de datos, normalmente se trata de personal con conocimientos esencialmente
informáticos o técnicos. El delegado de protección de datos debe ser un sujeto que sólo
tenga entre sus funciones las relativas a la protección de datos personales en la empresa,
pudiendo trabajar con la cooperación del responsable de seguridad, o ser él mismo, si
coordina conocimientos técnico-informáticos con conocimientos específicos sobre
protección de datos.

Como contrapartida de las obligaciones añadidas de control dentro del seno de las
propias empresas, el RGPD elimina la obligación de notificar ficheros a las autoridades
de supervisión. Sin embargo, la obligación persiste hasta que el Reglamento entre en
vigor, el 25 de mayo de 2018.

3.7. Las Autoridades de Protección de Datos

Como gran diferencia introducida por el RGPD, el régimen de competencia territorial


de las autoridades de protección de datos cambia sustancialmente. En la actualidad, la
Agencia Española de Protección de Datos está encargada de aplicar la LOPD cuando el
tratamiento es efectuado en territorio español, en un establecimiento del responsable del
tratamiento, o con medios situados en territorio español. Sin embargo, el RGPD
establece una legislación común para todos los estados miembros, y pretende asegurar
una aplicación uniforme a cada empresa. Por ello, establece como autoridad de control
principal la del territorio del establecimiento principal o del único establecimiento del
responsable o del encargado del tratamiento. Así, cada empresa se somete a la
competencia de la autoridad de protección de datos de su establecimiento principal,
independientemente de en cuántos estados opere, y de si realice tratamientos
transfronterizos.

Si un interesado presenta una reclamación ante una autoridad de control que no sea la
principal, ésta podrá darle trámite si se refiere únicamente a un establecimiento situado
en su Estado miembro o únicamente afecta de manera sustancial a interesados en su
Estado miembro, informando al respecto a la autoridad de control principal. La
autoridad de control principal puede decidir, en este punto, tratar el caso ella misma,
para lo que colaborará con la autoridad de control interesada que le comunicó la
reclamación. Para asegurar la tutela del interesado que presentó la reclamación, aunque
la decisión sea tomada por la autoridad de control principal, formalmente es adoptada
por la autoridad de control interesada ante la que presentó su reclamación, por lo que
puede recurrirla en ante los tribunales de su estado. El sistema que establece el
reglamento intenta garantizar la cooperación entre las autoridades de control, que
pueden solicitarse asistencia mutua e, incluso, realizar operaciones conjuntas, para
garantizar una aplicación coherente de la nueva normativa.

3.8. Medidas de seguridad y sanciones

Al contrario de lo que hace la actual LOPD, el RGPD no establece un listado de


medidas de seguridad, sólo indica que las que se tomen deben ser “apropiadas” en
función del riesgo. A este respecto, el desglose de medidas de la LOPD tiene un carácter
meramente finalista, enunciativo de medidas que deberían bastar para cumplir con las
obligaciones de protección de datos, por lo que, con la aplicación del RGPD, dicho
listado puede servir de manera orientativa a las empresas para medir su cumplimiento,
como hasta ahora.

Sí se modifica en mayor medida la cuantía de las sanciones en caso de infracción. El


reglamento presenta un sistema mucho más flexible, con gran número de elementos a
tener en cuenta para la modulación de la sanción, sin establecer cuantías mínimas, pero
con máximos mucho más elevados, y que tienen en cuenta el volumen de negocio total
anual global del ejercicio financiero anterior de la empresa. Así, en el caso de
infracciones leves, la sanción puede llegar al 2% del mismo, y en el caso de las
infracciones más graves, al 4%.

4. Conclusiones

El Reglamento General de Protección de Datos, que entra en vigor el 25 de mayo de


2018, va a cambiar el panorama de la protección de datos para las empresas. Éstas
deberán ser más diligentes en el adecuado tratamiento de datos personales, y tendrán
que garantizar más derechos de los interesados. Como figura esencial aparece la del
delegado de protección de datos, que deberá ser nombrado en la mayoría de las
empresas, y será el encargado de asegurar que se cumple con todas las obligaciones
impuestas por la nueva normativa y de que los derechos de los interesados son
garantizados. En caso de infracción, la responsabilidad sigue recayendo en el
responsable de tratamiento, y las sanciones podrán ser mucho más elevadas que las
actuales, ligándose al volumen de facturación de la empresa.
Por ello, es conveniente que antes de que llegue la fecha límite, la empresa revise su
estructura interna para asegurar que tiene los mecanismos necesarios para que el
delegado de protección de datos pueda cumplir con su función adecuadamente, sus
empleados conocen los protocolos de protección de datos necesarios para sus puestos, y
que todo tratamiento de datos se hace de manera adecuada. Además, resultaría oportuno
que la obtención de datos se realizara conforme con los nuevos deberes de información
del RGPD cuanto antes, para que, a su entrada en aplicación, aquellos datos obtenidos
con anterioridad, y aquellos tratamientos que persistan, ya se ajusten a la normativa de
protección de datos personales conforme al Reglamento.

También podría gustarte