En este artículo vamos a resumir las novedades que introdujo el Reglamento General de Protección de Datos (RGPD):
- Se amplía el ámbito de aplicación territorial del RGPD respecto al ámbito que se establecía en la normativa inmediatamente precedente (Directiva 95/46/CE y las correspondientes normas de transposición nacionales).
El RGPD será de aplicación a todos aquellos tratamientos de datos personales que se realicen en el contexto de las actividades de un establecimiento del responsable o el encargado en la Unión, con independencia de que el tratamiento de datos personales —su recogida, almacenamiento, etc.— tenga lugar o no en la Unión Europea.
También será de aplicación a los tratamientos de datos personales de interesados que residan en la Unión por parte de responsables o encargados no establecidos en la Unión cuando el tratamiento esté relacionado con la oferta de bienes o servicios prestados a interesados en la Unión o bien como consecuencia de la monitorización o seguimiento de su comportamiento. Estas organizaciones deben designar un representante en la Unión Europea e informar de ello a los interesados.
Asimismo, se aplicará al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión, sino en un lugar en que el Derecho de los Estados miembros sea aplicable en virtud del Derecho Internacional Público. Para entendernos, en los casos de una misión diplomática u oficina consular de un Estado miembro.
- Se establecen los principios rectores en la protección de datos personales. Sobre el particular pueden consultar el siguiente artículo:
https://protecciondata.es/principios/
- Se refuerza la importancia del consentimiento, que será afirmativo e inequívoco. Se excluye la posibilidad del consentimiento tácito o por inacción y las casillas previamente marcadas dejan de ser válidas. El consentimiento será nominativo, demostrable y revocable. Pueden ampliar la información en el siguiente enlace:
https://protecciondata.es/consentimiento/
- Se amplia el catálogo de «categorías especiales de datos personales» previsto en el artículo 9 con la inclusión de los datos genéticos y biométricos.
- Se incorporan nuevos derechos: el derecho al olvido como un derecho vinculado al derecho de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad de los datos. Al final del artículo, les dejaré una infografía de la AEPD, resumiendo los derechos en materia de protección de datos.
https://protecciondata.es/derecho-de-acceso/
https://protecciondata.es/derecho-de-rectificacion/
https://protecciondata.es/derecho-de-supresion-y-al-olvido/
https://protecciondata.es/derecho-de-oposicion/
https://protecciondata.es/derecho-a-la-limitacion-del-tratamiento/
https://protecciondata.es/derecho-a-la-portabilidad/
- Se amplía la información que debe ser suministrada a los titulares de los datos con el fin de garantizar un tratamiento leal y transparente y se impone a los responsables del tratamiento la obligación de generar políticas de privacidad y advertencias legales con un lenguaje sencillo, claro y entendible. Más detalles en el siguiente enlace:
https://protecciondata.es/derecho-de-informacion/
- Se suprime el sistema de comunicación e inscripción de los ficheros en la Agencia Española de Protección de Datos, que se sustituye por el Registro de las Actividades de Tratamiento.
https://protecciondata.es/registro-de-las-actividades-de-tratamiento/
- Se amplía el contenido mínimo del contrato a firmar con los encargados de tratamiento.
https://protecciondata.es/encargados-tratamiento/
https://protecciondata.es/contrato-de-encargo-de-tratamiento/
- Desaparece el encorsetado procedimiento de medidas de seguridad dictadas por el Título VIII del RLOPD que podían no implicar suficientes medidas de seguridad para tratamientos de alto nivel y, por el contrario, establecer medidas demasiado exigentes para organizaciones con apenas riesgos.
- Se introduce la figura del Delegado de Protección de Datos. A mayor abundamiento:
https://protecciondata.es/delegado-proteccion-datos/
- Se impone la obligación de realizar una evaluación de impacto en determinados supuestos. Si tienen interés sobre el particular pueden consultar los siguientes artículos:
https://protecciondata.es/evaluaciones-impacto/
https://protecciondata.es/evaluaciones-impacto-contenido-minimo/
- No se impone la obligación de realizar auditorías, pero se establece la obligación de verificar, evaluar y valorar regularmente la eficacia de las medidas adoptadas. Sobre el particular:
https://protecciondata.es/auditorias-obligatorias/
- Se promueve la aprobación de códigos de conducta y de mecanismos de certificación que permiten evaluar con rapidez el nivel de protección en el tratamiento de datos y el grado de compromiso del responsable.
https://protecciondata.es/codigos-conducta/
https://protecciondata.es/certificaciones-sellos-marcas/
- Se impone la «consulta previa» a la autoridad de control. Cuando la evaluación de impacto concluye que el tratamiento conllevaría un alto riesgo para los derechos y las libertades de los interesados, aún tras aplicar las garantías, medidas de seguridad y mecanismos de protección razonables, el responsable del tratamiento debe consultar a la autoridad de control (AEPD), que establecerá las medidas que se deben aplicar para llevar a cabo dicho tratamiento.
https://protecciondata.es/consulta-previa-a-la-autoridad-de-control/
- Se impone la obligación de comunicar a la autoridad de control las violaciones o brechas de seguridad surgidas en un plazo máximo de 72 horas. Para más información:
https://protecciondata.es/brechas-seguridad/
- Se establece un nuevo sistema de información interno en las empresas o canal de denuncias para reforzar la eficacia del sistema de supervisión de los comportamientos impropios de directivos y empleados. Pueden ampliar la información en el siguiente enlace:
https://protecciondata.es/canal-denuncias/
- Se establecen nuevas sanciones administrativas, compatibles con las indemnizaciones civiles añadidas. Les enlazo varios artículos sobre el particular:
https://protecciondata.es/regimen-sancionador-rgpd-lopdgdd/
https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-i/
https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-ii/
https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-iii/
https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-iv/
https://protecciondata.es/reclamaciones-ante-autoridad-control/
- Se introduce el principio de «ventanilla única»: Un responsable con filiales en diferentes Estados miembros únicamente deberá tratar con la autoridad de control correspondiente al Estado miembro de su establecimiento principal.
Sobre la regulación de las transferencias internacionales tenemos los siguientes artículos:
https://protecciondata.es/transferencias-internacionales/
https://protecciondata.es/transferencias-datos-eeuu/
Por último, recordar que quedan excluidas del ámbito de aplicación del RGPD las siguientes actividades:
- Exclusivamente personales o domésticas, sin conexión con actividades profesionales o comerciales.
- De política exterior y de seguridad común realizadas por los Estados miembros.
- No comprendidas en el ámbito de aplicación del Derecho de la Unión.
- Consistentes en la persecución, prevención, investigación, detección y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
El RGPD se aplicará a las actividades de las autoridades judiciales cuando actúen en el ejercicio de su función judicial y específica, si bien la autoridad de control no será la Agencia Española de Protección de Datos, sino el Consejo General del Poder Judicial.
Espero que este resumen les resulte útil como guía, esquema o recordatorio del RGPD.
