Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Novedades que introdujo el RGPD

En este artículo vamos a resumir las novedades que introdujo el Reglamento General de Protección de Datos (RGPD):

  • Se amplía el ámbito de aplicación territorial del RGPD respecto al ámbito que se establecía en la normativa inmediatamente precedente (Directiva 95/46/CE y las correspondientes normas de transposición nacionales).

El RGPD se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

También será de aplicación a los tratamientos de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas: a) con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a éstos se les requiere su pago, o, b) o el control  de su comportamiento, en la medida en que éste tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados «debe evaluarse si las personas físicas son objeto de un seguimiento en Internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes» (Considerando 24 del RGPD).

Por último, se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público. Para entendernos, en los casos de una misión diplomática u oficina consular de un Estado miembro.

  • Se establecen los principios rectores en la protección de datos personales. Sobre el particular pueden consultar el siguiente artículo:

https://protecciondata.es/principios/

  • Se refuerza la importancia del consentimiento, que será afirmativo e inequívoco. Se excluye la posibilidad del consentimiento tácito o por inacción y las casillas previamente marcadas dejan de ser válidas. El consentimiento será nominativo, demostrable y revocable. Pueden ampliar la información en el siguiente enlace:

https://protecciondata.es/consentimiento/

  • Se fija en 16 años la edad en la que los menores pueden consentir el tratamiento de sus datos en Internet, por ejemplo, en redes sociales. No obstante, el RGPD permite que los Estados miembros puedan rebajar esa edad como máximo hasta los 13 años. En el caso de España se fijó en 14 años. Por debajo de esta edad se requiere el consentimiento de los padres o tutores. 
  • Se amplía el catálogo de «categorías especiales de datos personales» previsto en el artículo 9 con la inclusión de los datos genéticos y  biométricos. 
  • Se incorporan nuevos derechos: el derecho al olvido como un derecho vinculado al derecho de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad de los datos. 

https://protecciondata.es/derecho-de-acceso/

https://protecciondata.es/derecho-de-rectificacion/

https://protecciondata.es/derecho-de-supresion-y-al-olvido/

https://protecciondata.es/derecho-de-oposicion/

https://protecciondata.es/derecho-a-la-limitacion-del-tratamiento/

https://protecciondata.es/derecho-a-la-portabilidad/

  • Se amplía la información que debe ser suministrada a los titulares de los datos con el fin de garantizar un tratamiento leal y transparente y se impone a los responsables del tratamiento la obligación de generar políticas de privacidad y advertencias legales con un lenguaje sencillo, claro y entendible. Más detalles en el siguiente enlace:

https://protecciondata.es/derecho-de-informacion/

  • Se suprime el sistema de comunicación e inscripción de los ficheros en la Agencia Española de Protección de Datos, que se sustituye por el Registro de las Actividades de Tratamiento.

https://protecciondata.es/registro-de-las-actividades-de-tratamiento/

  • Se amplía el contenido mínimo del contrato a firmar con los encargados de tratamiento.

https://protecciondata.es/encargados-tratamiento/

https://protecciondata.es/contrato-de-encargo-de-tratamiento/

  • Desaparece el encorsetado procedimiento de medidas de seguridad dictadas por el Título VIII del RLOPD que podían no implicar suficientes medidas de seguridad para tratamientos de alto nivel y, por el contrario, establecer medidas demasiado exigentes para organizaciones con apenas riesgos.
  • Se introduce la figura del Delegado de Protección de Datos. A mayor abundamiento:

https://protecciondata.es/delegado-proteccion-datos/

  • Se impone la obligación de realizar una evaluación de impacto en determinados supuestos. Si tienen interés sobre el particular pueden consultar los siguientes artículos:

https://protecciondata.es/evaluaciones-impacto/

https://protecciondata.es/evaluaciones-impacto-contenido-minimo/

  • No se impone la obligación de realizar auditorías, pero se establece la obligación de verificar, evaluar y valorar regularmente la eficacia de las medidas adoptadas. Sobre el particular:

https://protecciondata.es/auditorias-obligatorias/

  • Se promueve la aprobación de códigos de conducta y de mecanismos de certificación que permiten evaluar con rapidez el nivel de protección en el tratamiento de datos y el grado de compromiso del responsable.

https://protecciondata.es/codigos-conducta/

https://protecciondata.es/certificaciones-sellos-marcas/

  • Se impone la «consulta previa» a la autoridad de control. Cuando la evaluación de impacto concluye que el tratamiento conllevaría un alto riesgo para los derechos y las libertades de los interesados, aún tras aplicar las garantías, medidas de seguridad y mecanismos de protección razonables, el responsable del tratamiento debe consultar a la autoridad de control (AEPD), que establecerá las medidas que se deben aplicar para llevar a cabo dicho tratamiento.

https://protecciondata.es/consulta-previa-a-la-autoridad-de-control/

  • Se impone la obligación de comunicar a la autoridad de control las violaciones o brechas de seguridad surgidas en un plazo máximo de 72 horas. Para más información:

https://protecciondata.es/brechas-seguridad/

  • Se establecen nuevas sanciones administrativas, compatibles con las indemnizaciones civiles añadidas. Les enlazo varios artículos sobre el particular:

https://protecciondata.es/regimen-sancionador-rgpd-lopdgdd/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-i/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-ii/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-iii/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-iv/

https://protecciondata.es/reclamaciones-ante-autoridad-control/

  • Se introduce el mecanismo de «ventanilla única»: Un responsable con filiales en diferentes Estados miembros únicamente deberá tratar con la autoridad de control correspondiente al Estado miembro de su establecimiento principal.

Sobre la regulación de las transferencias internacionales tenemos los siguientes artículos:

https://protecciondata.es/transferencias-internacionales/

https://protecciondata.es/transferencias-datos-eeuu/

https://protecciondata.es/control-transferencias-internacionales-autoridades-nacionales-proteccion-datos/

  • Se crea el Comité Europeo de Protección de Datos (CEPD o EDPB, por sus siglas en inglés). Su antecesor fue el Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE. Entre sus funciones se encuentra garantizar que la normativa comunitaria de protección de datos se aplique de manera coherente en los Estados miembros de la Unión, así como en Noruega, Liechtenstein e Islandia, que junto con los Estados miembros de la Unión Europea forman el «Espacio Económico Europeo», mediante el uso de directrices, recomendaciones y buenas prácticas. También se encarga de asesorar a la Comisión Europea sobre protección de datos personales.  

Por último, recordar que quedan excluidas del ámbito de aplicación del RGPD las siguientes actividades:

  • Las no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea.
  • Las efectuadas por los Estados miembros en el ámbito de aplicación del Capítulo 2 del Título V del Tratado de la Unión Europea (política exterior y de seguridad común).
  • Las efectuadas por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, sin conexión con actividades profesionales o comerciales.
  • Las efectuadas por las autoridades con fines de prevención, investigación, detección y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

El RGPD se aplicará a las actividades de las autoridades judiciales cuando actúen en el ejercicio de su función judicial y específica, si bien la autoridad de control no será la Agencia Española de Protección de Datos, sino el Consejo General del Poder Judicial.

Espero que este resumen les resulte útil como guía, esquema o recordatorio del RGPD.  

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).