Consultores RGPD
Vaya al Contenido

Reglamento General de Protección de Datos

Normativa
Reglamento General de Protección de Datos

Información sobre el Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, RGPD o GDPR (enlace publicación).

El RGPD tiene por objeto: Artículo 1. Objeto.
  1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
  2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
  3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

Definiciones:
  • «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
  • «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
NOVEDADES DEL RGPD EN RELACIÓN A LA LOPD
Para que el tratamiento de los datos sea lícito deberemos:

  • Obtener el consentimiento explícito del interesado, ya no es válido el consentimiento tácito.
  • Será válido un consentimiento obtenido antes de la aplicación del RGPD si se obtuvo conforme a los requisitos que éste establece.
  • Debe existir un interés legítimo por parte del responsable para realizar el tratamiento.
  • Facilitar información clara y concisa del tratamiento, basada en la transparencia.
  • Facilitar información sobre el plazo de conservación de los datos y, en el caso de que existan, las transferencias internacionales de datos.
El interesado tendrá nuevos derechos:

  • Que le sea facilitada toda la información sobre el tratamiento de forma concisa, transparente, inteligible y de fácil acceso.
  • La supresión de los datos personales que le conciernen (derecho al olvido) cuando ya no sean necesarios para el fin para el que se recogieron, cuando revoque su consentimiento, cuando se oponga a su tratamiento o cuando se hayan tratado de forma ilícita.
  • Derecho a la limitación del tratamiento de sus datos.
  • Portabilidad de los datos.
  • Información sobre si existen transferencias internacionales de datos.
Aunque algunas de las obligaciones que se establecen en el RGPD para los encargos del tratamiento ya deberían haberse aplicado con la anterior normativa (LOPD), con la aplicación definitiva del RGPD deberán ser cumplidas de forma ineludible:

  • Cuando un Responsable deba elegir a un Encargado del tratamiento (ET) que trate sus datos, sólo elegirá al que le ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas al tratamiento de datos que realizará.
  • Un ET no puede subcontratar con otro encargado sin la autorización del Responsable.
  • Un ET debe certificar que ofrece suficientes garantías para cumplir el RGPD permitiendo, incluso, la realización de auditorías o inspecciones, tanto del responsable como de auditores externos.
  • Un Responsable tiene prohibido encargar un tratamiento sin un contrato o acto jurídico de protección de datos.

Un Responsable debe tener la capacidad de demostrar el cumplimiento (accountability) de todos los principios del tratamiento establecidos por el RGPD, por medio de un conjunto de procesos técnicos y de archivo de documentación que se lo permitan.

Los principios a cumplir son:  
• Licitud,
• Limitación de los fines,
• Minimización de los datos,
• Exactitud,
• Limitación del plazo de conservación,
• Integridad y confidencialidad.

Tanto los Responsables como los Encargados deberán implementar medidas técnicas y organizativas apropiadas que puedan garantizar un nivel de seguridad adecuado a los riesgos de los tratamientos que realicen.

Entre estas medidas están:
  • El análisis de los riesgos del tratamiento.
  • La protección de los datos desde el diseño (by design) y por defecto (by default) en cualquier fase del tratamiento.
  • Poder garantizar un nivel adecuado de seguridad según las necesidades, tamaño, circunstancias, contexto y finalidades del tratamiento.
  • Llevar un registro de las actividades de tratamiento.
El responsable deberá realizar una evaluación de impacto de las operaciones de tratamiento que tenga previsto realizar cuando sea probable que exista un alto riesgo para los derechos y libertades de los interesados:

  • Si utiliza nuevas tecnologías con un alto riesgo para el tratamiento.
  • Si el tratamiento se basa en una elaboración de perfiles con efectos jurídicos.
  • Si se realizan tratamientos a gran escala de categorías especiales de datos o bien, la observación sistemática de una zona de acceso público.
  • Si se tratan datos relativos a condenas y delitos penales.
Es toda violación de la seguridad (VS) que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Si se produce una violación de datos el Responsable del tratamiento deberá:
  • Notificarlas a la AEPD en un máximo de 72 h. después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
  • Documentarla convenientemente.
  • Cuando sea probable que la VS de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
El Delegado de Protección de Datos (DPD o DPO), es la persona que se encargará de informar y asesorar tanto al Responsable del tratamiento, como al encargado o al personal autorizado de ambos, de las obligaciones relacionadas con la protección de datos personales. Será designado en función a sus cualidades profesionales, conocimientos especializados en protección de datos y su capacidad para ejecutar los cometidos que le atribuye el RGPD.

El responsable y el encargado del tratamiento deberán designar un delegado de protección de datos siempre que el tratamiento lo realice un Organismo público o la actividad principal del responsable contemple tratamientos a gran escala de categorías especiales de datos, datos de condenas a infracciones penales o la observación habitual y sistemática de interesados o se encuentren recogidos en los epígrafes del art. 34 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales.
Las infracciones de las disposiciones del RGPD se sancionarán con multas administrativas en función de las características particulares de cada entidad y del tipo de infracción, que son:

- LEVES: hasta 40.000€
- GRAVES: mínimo de 40.001€ a 300.000€ y máximo de 10.000.000€ ó el 2% del volumen de facturación anual global del ejercicio anterior (la cifra mayor de las dos).
- MUY GRAVES: mínimo de 300.000€ y máximo de 20.000.000€ ó el 4% del volumen de facturación anual global del ejercicio anterior (la cifra mayor de las dos).
Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.

Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

La certificación será voluntaria y estará disponible a través de un proceso transparente.
 
PREGUNTAS MÁS COMUNES REALIZADAS A NUESTROS CONSULTORES
Regreso al contenido