Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Resumen de las novedades que introdujo el RGPD (lectura recomendada)

En este artículo vamos a resumir las novedades que introdujo el Reglamento General de Protección de Datos (RGPD):

  • Se amplía el ámbito de aplicación territorial del RGPD respecto al ámbito que se establecía en la normativa inmediatamente precedente (Directiva 95/46/CE y las correspondientes normas de transposición nacionales).

El RGPD será de aplicación a todos aquellos tratamientos de datos personales que se realicen en el contexto de las actividades de un establecimiento del responsable o el encargado en la Unión, con independencia de que el tratamiento de datos personales —su recogida, almacenamiento, etc.— tenga lugar o no en la Unión Europea.

También será de aplicación a los tratamientos de datos personales de interesados que residan en la Unión por parte de responsables o encargados no establecidos en la Unión cuando el tratamiento esté relacionado con la oferta de bienes o servicios prestados a interesados en la Unión o bien como consecuencia de la monitorización o seguimiento de su comportamiento. Estas organizaciones deben designar un representante en la Unión Europea e informar de ello a los interesados.

Asimismo, se aplicará al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión, sino en un lugar en que el Derecho de los Estados miembros sea aplicable en virtud del Derecho Internacional Público. Para entendernos, en los casos de una misión diplomática u oficina consular de un Estado miembro.

  • Se establecen los principios rectores en la protección de datos personales. Sobre el particular pueden consultar el siguiente artículo:

https://protecciondata.es/principios/

  • Se refuerza la importancia del consentimiento, que será afirmativo e inequívoco. Se excluye la posibilidad del consentimiento tácito o por inacción y las casillas previamente marcadas dejan de ser válidas. El consentimiento será nominativo, demostrable y revocable. Pueden ampliar la información en el siguiente enlace:

https://protecciondata.es/consentimiento/

  • Se amplia el catálogo de “categorías especiales de datos personales” previsto en el artículo 9 con la inclusión de los datos genéticos y  biométricos. 
  • Se incorporan nuevos derechos: el derecho al olvido como un derecho vinculado al derecho de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad de los datos.
  • Se amplía la información que debe ser suministrada a los titulares de los datos con el fin de garantizar un tratamiento leal y transparente y se impone a los responsables del tratamiento la obligación de generar políticas de privacidad y advertencias legales con un lenguaje sencillo, claro y entendible. Más detalles en el siguiente enlace:

https://protecciondata.es/cartas-tipo-y-formularios-de-la-organizacion/

  • Se suprime el sistema de comunicación e inscripción de los ficheros en la Agencia Española de Protección de Datos, que se sustituye por el Registro de Actividades de Tratamiento.
  • Se amplía el contenido mínimo del contrato a firmar con los encargados de tratamiento.
  • Desaparece el encorsetado procedimiento de medidas de seguridad dictadas por el Título VIII del RLOPD que podían no implicar suficientes medidas de seguridad para tratamientos de alto nivel y, por el contrario, establecer medidas demasiado exigentes para organizaciones con apenas riesgos.
  • Se introduce la figura del Delegado de Protección de Datos. A mayor abundamiento:

https://protecciondata.es/delegado-proteccion-datos/

  • Se impone la obligación de realizar una evaluación de impacto en determinados supuestos. Si tienen interés sobre el particular pueden consultar los siguientes artículos:

https://protecciondata.es/evaluaciones-impacto/

https://protecciondata.es/evaluaciones-impacto-contenido-minimo/

  • No se impone la obligación de realizar auditorías, pero se establece la obligación de verificar, evaluar y valorar regularmente la eficacia de las medidas adoptadas. Sobre el particular:

https://protecciondata.es/auditorias-obligatorias/

  • Se promueve la aprobación de códigos de conducta y de mecanismos de certificación que permiten evaluar con rapidez el nivel de protección en el tratamiento de datos y el grado de compromiso del responsable.

https://protecciondata.es/codigos-conducta/

https://protecciondata.es/certificaciones-sellos-marcas/

  • Se impone la “consulta previa” a la autoridad de control. Cuando la evaluación de impacto concluye que el tratamiento conllevaría un alto riesgo para los derechos y libertades de los interesados, aún tras aplicar las garantías, medidas de seguridad y mecanismos de protección razonables en cuanto a técnica disponible y costes de aplicación, antes de iniciar la operación de tratamiento, el responsable debe consultar a la autoridad de control (AEPD), que establecerá las condiciones y medidas que se deben aplicar para llevar a cabo dicho tratamiento.
  • Se impone la obligación de comunicar a la autoridad de control las violaciones o brechas de seguridad surgidas en un plazo máximo de 72 horas. Para más información:

https://protecciondata.es/brechas-seguridad/

  • Se establece un nuevo sistema de información interno en las empresas o canal de denuncias para reforzar la eficacia del sistema de supervisión de los comportamientos impropios de directivos y empleados. Pueden ampliar la información en el siguiente enlace:

https://protecciondata.es/directiva-whistleblowing/

  • Se establecen nuevas sanciones administrativas, compatibles con indemnizaciones civiles añadidas. Les enlazo varios artículos sobre el particular:

https://protecciondata.es/regimen-sancionador-rgpd-lopdgdd/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-i/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-ii/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-iii/

https://protecciondata.es/expedientes-sancionadores-casos-reales-parte-iv/

https://protecciondata.es/autoridad-control-reclamaciones-e-infracciones-normativa/

  • Se introduce el principio de “ventanilla única”: Un responsable con filiales en diferentes Estados miembros únicamente deberá tratar con la autoridad de control correspondiente al Estado miembro de su establecimiento principal.

Sobre la regulación de las transferencias internacionales tenemos los siguientes artículos:

https://protecciondata.es/transferencias-internacionales/

https://protecciondata.es/transferencias-datos-eeuu/

https://protecciondata.es/control-transferencias-internacionales-autoridades-nacionales-proteccion-datos/

Por último, recordar que quedan excluidas del ámbito de aplicación del RGPD las siguientes actividades:

  1. Actividades exclusivamente personales o domésticas, sin conexión con actividades profesionales o comerciales.
  2. Actividades de política exterior y de seguridad común realizadas por los Estados miembros.
  3. Actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión.
  4. Actividades consistentes en la persecución, prevención, investigación, detección y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

El RGPD se aplicará a las actividades de las autoridades judiciales cuando actúen en el ejercicio de su función judicial y específica, si bien la autoridad de control no será la Agencia Española de Protección de Datos, sino el Consejo General del Poder Judicial.

Espero que este resumen les resulte útil como guía, esquema o recordatorio del RGPD.  

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).