Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Resumen de las novedades que introdujo el RGPD (lectura recomendada)

En este artículo vamos a resumir las novedades que introdujo el Reglamento General de Protección de Datos (RGPD):

  • Se establecen los principios rectores en la protección de datos personales. Sobre el particular pueden consultar el siguiente artículo:

https://protecciondata.es/principios-relativos-al-tratamiento/

  • Refuerza la importancia del consentimiento, que será afirmativo e inequívoco. Se excluye la posibilidad del consentimiento tácito o por inacción y las casillas previamente marcadas dejan de ser válidas. Además, el consentimiento será nominativo, demostrable y revocable. Para más información:

https://protecciondata.es/el-consentimiento-debe-ser-expreso-no-lo-olvide/

  • Se amplia el catálogo de “categorías especiales de datos personales” previsto en el artículo 9 con los datos genéticos y los biométricos. 
  • Se incorporan nuevos derechos: el derecho al olvido como un derecho vinculado al derecho de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad de los datos.
  • Se detalla y amplía la información que debe ser suministrada a los titulares de los datos, con el fin de garantizar un tratamiento leal y transparente.
  • Se suprime el sistema de comunicación e inscripción de los ficheros en la Agencia Española de Protección de Datos, que se sustituye por el “Registro de Actividades de Tratamiento”.
  • Se amplía el contenido mínimo del contrato a firmar con los encargados de tratamiento.
  • Desaparece el encorsetado procedimiento de medidas de seguridad dictadas por el Título VIII del RLOPD, que podían no implicar suficientes medidas de seguridad para tratamientos de alto nivel y, por el contrario, establecer medidas demasiado exigentes para organizaciones con apenas riesgos.
  • Se introduce la figura del Delegado de Protección de Datos. A mayor abundamiento:

https://protecciondata.es/el-delegado-de-proteccion-de-datos-figura-novedosa/

  • Se impone la obligación de realizar una evaluación de impacto en determinados supuestos. Si tienen interés sobre el particular pueden consultar los siguientes artículos:

https://protecciondata.es/evaluacion-de-impacto-que-es-quien-debe-realizarla-cuando-es-obligatoria-y-cual-es-su-contenido-minimo/

https://protecciondata.es/evaluaciones-de-impacto-contenido-minimo/

  • No se impone la obligación de realizar auditorías, pero se establece la obligación de verificar, evaluar y valorar regularmente la eficacia de las medidas adoptadas. Sobre el particular:

https://protecciondata.es/las-auditorias-son-obligatorias 

  • Se promueve la aprobación de códigos de conducta y de mecanismos de certificación, que permiten evaluar con rapidez el nivel de protección en el tratamiento de datos y el grado de compromiso del responsable.

https://protecciondata.es/codigos-de-conducta-sentido-y-utilidad/

https://protecciondata.es/certificaciones-sellos-y-marcas-como-evidencias-de-cumplimiento/

  • Se impone la “consulta previa” a la autoridad de control. Cuando la evaluación de impacto concluye que el tratamiento conllevaría un alto riesgo para los derechos y libertades de los interesados, aún tras aplicar las garantías, medidas de seguridad y mecanismos de protección razonables en cuanto a técnica disponible y costes de aplicación, antes de iniciar la operación de tratamiento, el responsable debe consultar a la autoridad de control (AEPD), que establecerá las condiciones y medidas que se deben aplicar para llevar a cabo dicho tratamiento.
  • Se impone la obligación de comunicar a la autoridad de control las violaciones o brechas de seguridad surgidas en un plazo máximo de 72 horas. Para más información:

https://protecciondata.es/como-actuar-ante-una-brecha-de-seguridad/

  • Se establece un nuevo sistema de información interno en las empresas o canal de denuncias para reforzar la eficacia del sistema de supervisión de los comportamientos impropios de directivos y empleados. Pueden ampliar la información en el siguiente enlace:

https://protecciondata.es/la-directiva-whistleblowing-y-la-proteccion-a-los-denunciantes/

  • Se establecen nuevas sanciones administrativas, compatibles con indemnizaciones civiles añadidas. Les enlazo tres artículos sobre el particular:

https://protecciondata.es/el-regimen-sancionador-previsto-en-el-rgpd-y-en-la-lopdgdd-2/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-i/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-iii-2/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-iii-3/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-iv/

https://protecciondata.es/como-actua-la-autoridad-de-control-en-los-casos-de-reclamacion-y-o-infraccion-de-la-normativa-2/

  • En el ámbito de las relaciones transfronterizas también hay novedades:
    • Se extiende su ámbito de aplicación más allá de las fronteras de la Unión Europea: El RGPD se aplicará al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, con independencia de donde se realice el tratamiento y donde resida el interesado.
    • El RGPD se aplica a responsables y encargados del tratamiento establecidos fuera de las fronteras de la Unión cuando las actividades de tratamiento afecten a residentes en la Unión y siempre que estén relacionados con ofertas de bienes o servicios y se realice algún control de su comportamiento.
    • Se aplicará, también, al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión, sino en un lugar en que el Derecho de los Estados miembros sea aplicable en virtud del Derecho Internacional Público. Para entendernos, en los casos de una misión diplomática u oficina consular de un Estado miembro.
    • Se introduce el principio de “ventanilla única”: Un responsable con filiales en diferentes Estados miembros únicamente deberá tratar con la autoridad de control correspondiente al Estado miembro de su establecimiento principal.

Sobre la regulación de las transferencias internacionales tenemos los siguientes artículos:

https://protecciondata.es/transferencias-internacionales/

https://protecciondata.es/transferencias-de-datos-a-ee-uu-2/

https://protecciondata.es/control-de-las-transferencias-internacionales-por-las-autoridades-nacionales-de-proteccion-de-datos/

Por último, recordar que quedan excluidas del ámbito de aplicación del RGPD las siguientes actividades:

  1. Actividades exclusivamente personales o domésticas, sin conexión con actividades profesionales o comerciales.
  2. Actividades de política exterior y de seguridad común realizadas por los Estados miembros.
  3. Actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión.
  4. Actividades consistentes en la persecución, prevención, investigación, detección y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

El RGPD se aplicará a las actividades de las autoridades judiciales cuando actúen en el ejercicio de su función judicial y específica, si bien la autoridad de control no será la Agencia Española de Protección de Datos, sino el Consejo General del Poder Judicial.

Esperamos que este resumen les resulte útil como guía, esquema o recordatorio del RGPD.  

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual