RGPD
RGPD
RGPD
La LOPD requiere que el consentimiento sea expreso con respecto a datos de carácter
personal que hagan referencia al origen racial, a la salud y a la vida sexual, por lo que el
régimen se mantendrá con el RGPD. Además, en el caso de datos de carácter personal
que revelen la ideología, afiliación sindical, religión y creencias, según la LOPD, el
consentimiento debe ser expreso y por escrito. En este punto, habrá que ver si se
considera permisible desde el punto de vista del RGPD que la LOPD introduzca este
requisito adicional para recabar el consentimiento de datos especialmente protegidos.
Además, el RGPD detalla las condiciones para que sea aceptable el consentimiento de
menores, estableciendo un régimen especial para los menores de 16 años (y que los
estados miembros pueden reducir hasta a los 13 años), en los que es necesario que el
consentimiento lo de o autorice el titular de la patria potestad o tutela sobre el niño. El
reglamento de desarrollo de la LOPD reduce la edad a los 14 años, por lo que es
previsible que se mantenga como hasta ahora.
El derecho a la portabilidad de los datos del art. 20 RGPD permite al interesado recibir
los datos personales que le incumban, que haya facilitado a un responsable del
tratamiento por medios automatizados, en un formato estructurado, de uso común y
lectura mecánica, y transmitirlos a otro responsable del tratamiento sin que lo pueda
impedir el primer responsable. Además, tendrá derecho a que los datos personales se
transmitan directamente de responsable a responsable cuando sea técnicamente posible.
Este derecho facilita la contratación electrónica y el cambio de proveedor de servicios,
simplificando el traslado de los datos personales al nuevo, y garantizando que el
proveedor anterior no retiene los datos personales del interesado. También se incluye en
el art. 22 el derecho a no ser objeto de elaboración de perfiles de comportamiento, con
algunas excepciones.
3.4. Refuerzo del deber de información
En segundo lugar, de acuerdo con el art. 35 RGPD, en algunos supuestos en los que sea
probable que un tratamiento entrañe un alto riesgo para los derechos y libertades de las
personas físicas, en especial por el uso de nuevas tecnologías, el responsable del
tratamiento deberá realiza, antes del tratamiento, una evaluación del impacto (data
protection impact assessment) de las operaciones de tratamiento en la protección de
datos personales. Ésta debe contener la descripción de las operaciones de tratamiento
previstas, los fines, una evaluación de la necesidad y la proporcionalidad de las
operaciones, una evaluación de los riesgos para los derechos y libertades de los
interesados, y las medidas previstas para afrontar los riesgos. Una única evaluación
podrá abordar una serie de operaciones de tratamiento similares que entrañen altos
riesgos similares. Cuando la evaluación de impacto resuelva que el tratamiento
entrañaría un alto riesgo, el responsable deberá consultar a la autoridad de control antes
de proceder al tratamiento, que le asesorará acerca del mismo.
Como contrapartida de las obligaciones añadidas de control dentro del seno de las
propias empresas, el RGPD elimina la obligación de notificar ficheros a las autoridades
de supervisión. Sin embargo, la obligación persiste hasta que el Reglamento entre en
vigor, el 25 de mayo de 2018.
Si un interesado presenta una reclamación ante una autoridad de control que no sea la
principal, ésta podrá darle trámite si se refiere únicamente a un establecimiento situado
en su Estado miembro o únicamente afecta de manera sustancial a interesados en su
Estado miembro, informando al respecto a la autoridad de control principal. La
autoridad de control principal puede decidir, en este punto, tratar el caso ella misma,
para lo que colaborará con la autoridad de control interesada que le comunicó la
reclamación. Para asegurar la tutela del interesado que presentó la reclamación, aunque
la decisión sea tomada por la autoridad de control principal, formalmente es adoptada
por la autoridad de control interesada ante la que presentó su reclamación, por lo que
puede recurrirla en ante los tribunales de su estado. El sistema que establece el
reglamento intenta garantizar la cooperación entre las autoridades de control, que
pueden solicitarse asistencia mutua e, incluso, realizar operaciones conjuntas, para
garantizar una aplicación coherente de la nueva normativa.
4. Conclusiones