Público

11 de Octubre de 2018

Principales novedades en el reglamento europeo de protección de datos

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (GDPR), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, deroga la anterior Directiva 95/46/CE en esta materia.

Eva Mª Cobeña Rondán,
Letrada de la Administración de Justicia


Consta de 173 considerandos previos y 99 artículos, siendo las principales novedades introducidas:

1º) Nuevos principios; que se añaden a los que ya estaban previstas en la LOPD y son los siguientes:

    a) Principio de transparencia; que tiene por finalidad facilitar las relaciones entre el responsable de los datos y las autoridades de control. La consecuencia directa de la consagración de este principio es que desaparece la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control, esto es, en España, la Agencia Española de Protección de Datos (AEPD). De esta forma, se define en este nuevo texto un "Registro de actividades de tratamiento" que se llevará de forma interna y que contendrá, entre otros datos: el nombre y contacto del responsable del tratamiento y del delegado de protección de datos, la finalidad del tratamiento, la descripción de categorías del interesado y de los datos tratados y las transferencias internacionales de datos. En España, este registro interno puede integrarse de momento en el "documento de seguridad".

    b) Principio de limitación de la finalidad; que significa que los datos personales serán recogidos con fines determinados, explícitos y legítimos, los cuales deberán determinarse en el momento de la recogida de los datos.

    c) Minimización de datos; y es que sólo deben ser objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos que hayan sido previamente fijados.

2º) Nuevos derechos de los ciudadanos; que se añaden a los derechos ARCO (acceso, rectificación, cancelación y oposición):

    a) Derecho a la transparencia de la información; que requiere que cualquier información y comunicación relacionadas con el procesamiento de datos personales sea de fácil acceso y de fácil entendimiento, usando un lenguaje claro y sencillo.

    b) Derecho de supresión o derecho al olvido; así, cualquier persona tiene derecho a que su información personal sea eliminada de los proveedores de los servicios de internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos.

    c) Derecho de limitación; El contenido de este derecho se refiere a dos procesos:

      (i)  Suspensión temporal del tratamiento cuando se ha ejercitado el derecho de rectificación o el derecho de oposición, mientras se dirime la existencia de interés legítimo del tratamiento en cuestión.

      (ii)  Conservación de los datos cuando el responsable va a proceder a la supresión de los datos y el interesado solicita en su lugar la limitación de estos datos para el ejercicio y defensa de reclamaciones frente a la AEPD. Estos datos se conservarán bloqueados, siendo inaccesibles salvo requerimiento de jueces y tribunales, o en el ejercicio y defensa de reclamaciones frente a la AEPD.

    d) Derecho de portabilidad; se prevé la posibilidad de transmitir los datos de un responsable a otro, de forma que el interesado tendrá derecho a que los datos personales se transmitan directamente cuando sea técnicamente posible.

3º) Ampliación del deber de información; el Reglamento exige la obligación de informar sobre los siguientes aspectos:

    a) Se tiene que explicar la base legal para el tratamiento de los datos.

    b) Se debe informar acerca del periodo de conservación.

    c) Se debe informar acerca de la posibilidad de hacer reclamaciones.

    d) Se debe informar de los derechos que incorpora el GDPR.

4º) Obtención del consentimiento para el tratamiento de datos; el GDPR indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. Merecen una mención especial en este apartado los menores, a los que no podrán ofrecerse servicios de la sociedad de información cuando tengan menos de 16 años sin que exista consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menor de 13 años. En España, la edad fijada por la normativa actual es la de 14 años, si bien en el nuevo proyecto de Ley, se prevé rebajarla hasta los 13.

5º) Establecer acciones y medidas de seguridad; el nuevo Reglamento europeo habla de "medidas técnicas y organizativas apropiadas" para garantizar un nivel de seguridad adecuado al riesgo, pero sin concretar qué tipo de medidas deben aplicarse.

6º) Evaluación del impacto del tratamiento de datos personales; otra novedad introducida por el GDPR es la de realizar una evaluación de impacto para las organizaciones que realicen tratamiento de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Así, se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

7º) Comunicación de fallos a la autoridad de protección de datos; el responsable del tratamiento de los datos deberá notificar a la autoridad competente (la AEPD en nuestro país), cualquier brecha de seguridad que se haya producido en el plazo de 72 horas desde que ocurra. Además, si esta brecha implica un riesgo para los interesados, también se les deberá notificar a ellos.

8º) La figura del Delegado de Protección de Datos; esta persona se constituye como el asesor de protección de datos de la empresa y asume competencias en materia de coordinación y control del cumplimiento de la normativa en materia de protección de datos. Pero sólo tendrán que contar con un delegado:

  • Las empresas públicas.
  • Las empresas que tengan un tratamiento a gran escala.
  • Las empresas que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.

9º) Las autoridades de protección de datos; se crea un organismo coordinador dependiente de la Comisión Europea: el Comité Europeo de Protección de Datos. Igualmente se crea el concepto de "ventanilla única" para que los ciudadanos interesados puedan efectuar trámites, aunque estos afecten a autoridades en la materia de otros estados miembros.

10º) Incremento de la cuantía de las sanciones; no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.

Ya por último y, a modo de conclusión, se puede decir que estas y otras novedades introducidas por el GDPR obligan tanto a la Administración Pública como a las empresas privadas a adaptar sus medidas jurídicas, técnicas y organizativas en cuanto a la recogida de los datos de los usuarios y clientes.

 

Aranzadi Fusión
Una respuesta global al servicio del abogado que responde a todas las necesidades del trabajo diario, integrando en una única herramienta y con un único acceso todo lo necesario.

Practicum Fiscal 2016
La obra ofrece una explicación clara del sistema tributario español, con múltiples ejemplos prácticos y la doctrina administrativa y jurisprudencia más relevante y actualizada.

Consultoría Prevención Blanqueo de Capitales
Cumple con todas las obligaciones legales vigentes en relación a la Prevención de Blanqueo de Capitales

Formación en Producto
Formación continua y gratuita para un rendimiento máximo de tu suscripción


© 2012 Thomson Reuters Información facilitada por Política de privacidad Aviso Legal