El Reglamento General de Protección de Datos (RGPD) de la UE introdujo varias novedades en materia de protección de datos, con el objetivo de armonizar el marco regulatorio en todos los Estados miembros. En este artículo repasamos las principales novedades del RGPD y cómo se adoptaron en el ordenamiento jurídico español.
En este artículo hablamos de:
- ¿Cuáles son las principales novedades del RGPD?
- Extensión del ámbito de aplicación
- Nuevos principios
- Nuevas categorías de datos
- Ampliación del deber de informar
- Consentimiento explícito
- Nuevos derechos de los interesados
- Encargo del tratamiento
- Registro de actividades de tratamiento
- Evaluaciones de impacto y consulta previa
- Designación del Delegado de Protección de Datos (DPO)
- Medidas de seguridad
- Notificar brechas de seguridad
- Códigos de conducta y certificación
- Autoridades de control y ventanilla única
- Nuevas sanciones
- ¿Cómo se adaptaron las novedades del RGPD a la legislación española?
¿Cuáles son las principales novedades del RGPD?
Aunque el RGPD se basó en la Directiva 95/46/CE (que derogó con su entrada en vigor el 5 de mayo de 2016), introdujo varias novedades que actualmente son de obligado cumplimiento en todos los países de la UE, así como aquellos dentro del Espacio Económico Europeo (EEE), creando así un marco normativo común para la protección de datos.
Las novedades relevantes del RGPD trajeron consigo algunos cambios significativos, que los Estados miembros debieron adaptar en su ordenamiento jurídico, puesto que los reglamentos europeos, a diferencia de las directivas, son de obligado cumplimiento desde el momento de su entrada en vigor, si bien siempre se concede un periodo de transición para ello.
A continuación repasamos las novedades del RGPD más significativas:
Extensión del ámbito de aplicación
Una de las novedades del RGPD más importante fue la extensión del ámbito de aplicación del Reglamento, que se amplía a responsables y encargados del tratamiento no establecidos en la UE, cuando realizan tratamientos de datos personales de sus ciudadanos.
Es decir, que cualquier empresa u organización que lleve a cabo un tratamiento de datos personales de ciudadanos de la UE, está obligada a cumplir el RGPD, incluso si no está ubicada dentro de la Unión.
Nuevos principios
El RGPD introdujo nuevos principios de protección de datos, aparte de los que ya estaban contemplados en la LOPD, en concreto:
- Principio de transparencia: El principio de transparencia en el RGPD establece que los datos serán tratados de manera lícita, leal y transparente, lo que significa que se informará a los interesados sobre el tratamiento de sus datos y los incidentes relacionados con ello, para dar mayor control a los interesados sobre el uso que se hace de sus datos.
- Principio de limitación de la finalidad: Este principio nos dice que los datos personales solo podrán recogerse con fines determinados, explícitos y legítimos y que no se tratarán con fines ulteriores.
- Principio de minimización de datos: La minimización de datos implica que los datos personales serán adecuados, pertinentes y limitados a la finalidad para la que fueron recogidos.
- Principio de responsabilidad proactiva: El principio de responsabilidad proactiva establece que es el responsable o el encargado del tratamiento quien debe demostrar que ha adoptado las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos. Este principio, llevado a la práctica, implica la adopción de un enfoque basado en riesgos y cómo prevenirlos (es decir, adelantarse a la materialización de los riesgos).
Nuevas categorías de datos
El RGPD introduce el concepto de «categorías especiales de datos», que viene a sustituir el de «datos especialmente protegidos» de la LOPD, aunque mantiene las mismas categorías y añade dos nuevas:
- Datos genéticos: Son los datos personales relativos a las características genéticas heredadas o adquiridas de una persona, que ofrecen una información única sobre la fisiología o la salud de esa persona.
- Datos biométricos: Son datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona y que permiten confirmar la identificación única de esta.
Ampliación del deber de informar
El RGPD amplía el derecho de información y, por tanto, el deber de información a los interesados sobre el tratamiento de sus datos. En concreto, el RGDP establece que se deberá informar a los interesados de:
- Identidad y datos de contacto del responsable del tratamiento y, en su caso, del encargado del tratamiento.
- Datos de contacto del Delegado de Protección de Datos (DPO), si lo hubiera.
- Base jurídica del tratamiento.
- Finalidad del tratamiento.
- Comunicación o cesión de datos a terceros.
- Transferencias de datos internacionales, si se producen.
- Plazo de conservación de los datos.
- Derecho a revocar el consentimiento en cualquier momento.
- Cómo ejercer sus derechos y derecho a presentar reclamación ante la autoridad de control.
- Existencia de decisiones automatizadas.
El RGPD establece que esta información debe facilitarse antes del tratamiento, en un lenguaje claro y comprensible, y estar siempre a disposición de los interesados.
Consentimiento explícito
Otra de las novedades del RGPD importantes es la obligación de recabar el consentimiento para el tratamiento de datos, cuando no sea de aplicación ninguna de las otras bases jurídicas contempladas en el artículo 6 del RGPD.
Además, este consentimiento debe ser siempre explícito, es decir, que el consentimiento tácito o implícito ya no son válidos, y es necesaria una acción positiva explícita del interesado para dar su consentimiento (como la firma estando de acuerdo con la política de protección de datos).
Así mismo, también se establece que para el tratamiento de los datos de categorías especiales del artículo 9 del RGPD, el consentimiento debe ser expreso.
Nuevos derechos de los interesados
El RGPD añade tres derechos más a los derechos ARCO reconocidos en la LOPD, en concreto:
- Derecho de supresión (derecho al olvido).
- Derecho de limitación del tratamiento.
- Derecho de portabilidad.
Encargo del tratamiento
El RGPD amplía el contenido mínimo que debe tener el contrato de encargado del tratamiento, en concreto, también deberá contener:
- Objeto y duración del encargo.
- Naturaleza del tratamiento.
- Tipo de datos personales.
- Categorías de personas interesadas.
- Obligaciones y derechos del responsable.
- Deber de confidencialidad.
- Asistencia al responsable del tratamiento en las solicitudes de ejercicio de derechos.
- Supresión o devolución de los datos al finalizar el contrato.
- Facilitar al responsable la información necesaria para demostrar el cumplimiento de la normativa por parte del encargado.
Así mismo, el RGPD también establece nuevas obligaciones para los encargados del tratamiento:
- Mantener un registro de actividades de tratamiento.
- Determinar y aplicar las medidas de seguridad necesarias.
- Designar un DPO cuando sea necesario.
Registro de actividades de tratamiento
Otra de las principales novedades del RGPD es la obligación de documentar los tratamientos personales para responsables y encargados cuando:
- El tratamiento implique riesgos para los derechos y libertades de los interesados.
- El tratamiento no sea ocasional.
- Se traten datos de categorías especiales.
- La empresa tenga 250 o más empleados.
Para cumplir con esta labor, responsables y encargados deben llevar un registro de actividades de tratamiento, que además sustituye a la obligación de realizar el documento de seguridad y la inscripción de ficheros en la autoridad de control de la LOPD.
De cada actividad de tratamiento, se deberá llevar un registro con la siguiente información:
- Nombre y datos de contacto del responsable y, en su caso, del corresponsable y del DPO.
- Finalidad del tratamiento.
- Descripción de categorías de interesados y categorías de datos personales tratados.
- Transferencias internacionales de datos.
- Descripción de las medidas de seguridad adoptadas.
- Plazo de supresión previsto.
Este documento deberá mantenerse por escrito y actualizado y, cuando lo solicite, facilitárselo a la autoridad del control.
Evaluaciones de impacto y consulta previa
Aparte del análisis de riesgos, el RGPD introdujo como novedad la obligación de realizar una evaluación de impacto del tratamiento de datos personales cuando se traten datos de categorías especiales, así como cuando se traten datos a gran escala y cuando del primer análisis de riesgos, se concluya que existe un riesgo alto para los derechos y libertades fundamentales de los interesados.
Si de la evaluación de impacto se concluye que el tratamiento puede infringir el RGPD o no se puede mitigar suficientemente el riesgo, el responsable del tratamiento deberá hacer una consulta a la autoridad de control, facilitándole la documentación prevista por el Reglamento, incluida la evaluación de impacto.
La autoridad asesorará por escrito al responsable y podrá, incluso, prohibir el tratamiento.
Designación del Delegado de Protección de Datos (DPO)
Otra de las novedades significativas del RGPD es el Delegado de Protección de Datos, un puesto encargado de asesorar a la empresa en protección de datos, supervisar la aplicación del Reglamento, llevar un control del cumplimiento y ser el enlace entre la organización y la autoridad de control.
El DPO solo es obligatorio en el RGPD en:
- Entidades públicas.
- Entidades que realicen tratamientos a gran escala y/o de categorías de datos especiales.
- Entidades que traten datos relativos a condenas o infracciones penales.
El RGPD reconoce que podrá nombrarse al DPO tanto a nivel interno de la organización, como de forma externa.
Medidas de seguridad
El RGPD ya no ofrece un listado de medidas de seguridad obligatorias según los datos a tratar, sino que establece que responsables y encargados del tratamiento deben adoptar medidas de seguridad técnicas y organizativas basadas en el análisis de riesgos. Este análisis de riesgos se debe realizar con carácter previo al tratamiento.
Notificar brechas de seguridad
Se establece la obligación de notificar a la autoridad de control y los interesados afectados, las brechas de seguridad que puedan suponer un riesgo para los derechos y libertades de los interesados, para lo que disponen de un plazo máximo de 72 horas desde el momento en que se detectó la brecha.
Códigos de conducta y certificación
El RGPD también regula los códigos de conducta que pueden promover asociaciones y otras entidades representativas y establece que será la autoridad de control competente la encargada de su aprobación, registro y publicación.
Así mismo, también promueve la creación de mecanismos de certificación para demostrar el cumplimiento de la normativa.
Autoridades de control y ventanilla única
Si bien el RGPD sigue reconociendo las autoridades de protección de datos o autoridades de control nacionales, ahora establece que estas deben estar coordinadas por el Comité Europeo de Protección de Datos.
Así mismo, establece un sistema de ventanilla única para que los interesados puedan realizar una reclamación dentro de cualquiera de los Estados miembros, acudiendo directamente a la autoridad de control de su país.
Nuevas sanciones
El RGPD también introdujo cambios en las sanciones, estableciendo dos horquillas:
- Multas de 10 millones de euros o el 2% del volumen de facturación anual (la cuantía que resulte superior), para infracciones graves.
- Multas de 20 millones de euros o el 4% del volumen de facturación anual (la cuantía que resulte superior), para infracciones muy graves.
¿Cómo se adaptaron las novedades del RGPD a la legislación española?
Todas las novedades del RGPD se adaptaron e introdujeron en la legislación española a través de la Ley de Protección de Datos Personales y Garantías de Derechos Digitales (LOPDGDD), que adopta toda la regulación establecida en el Reglamento y la amplía en aquellos aspectos que permite la norma (por ejemplo, en la edad la mínima para prestar consentimiento para el tratamiento de datos, que en España son 14 años, o en algunos derechos relativos a las personas fallecidas, entre otros).
Por lo tanto, cuando una empresa, organización o autónomo español cumple con las obligaciones de la LOPDGDD, está cumpliendo también con las del RGPD.
Si como empresa o profesional, tienes dudas de cómo adaptar y aplicar el RGPD y la LOPDGDD a tu negocio, Grupo Atico34 puede ayudarte; nuestro equipo de profesionales tiene una amplia experiencia en la aplicación y cumplimiento de la normativa y no solo podrá asesorarte, también te ayudará a cumplir con cualquiera de sus requisitos y obligaciones. Además, todos nuestros clientes tienen acceso al software de protección de datos, Atico34 Platform, con el que gestionar la protección de datos será más fácil que nunca. No lo dudes y ponte en contacto con nosotros para recibir más información.