LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 06:13:38

LegalToday

Por y para profesionales del Derecho

Ya es de aplicación el RGPD: nada volverá a ser como antes

IT Legal Counsel

Tras dos años de vigencia, pero sin aplicación, por fin, el Reglamento General de Protección de Datos (RGPD) es de obligatorio cumplimiento en los países de la UE, y, por tanto, en España desde el pasado 25 de mayo. En paralelo, finalmente, el Proyecto de Ley de Protección de Datos española, tal como se sospechaba, continúa en tramitación. Esto no ocurre, por ejemplo, en Alemania, Austria o Reino Unido, que ya cuentan con normativa reguladora local de esta materia.

candado

Esta falta de regulación estatal no impide la aplicación en España del RGPD, que es de eficacia directa y no necesita transposición; sin embargo, el retraso en la aprobación de la nueva norma española en esta materia tiene consecuencias desfavorables para los destinatarios de la misma, derivadas fundamentalmente del mantenimiento de la LOPD de 1999 y su Reglamento de desarrollo, de 2007, en aquello que no se oponga al RGPD. Esto implica inseguridad jurídica e incertidumbre, en tanto en cuanto el nuevo enfoque del RGPD nada tiene que ver con el de la normativa anterior citada.

La nueva LOPD que está en tramitación sigue el guión del RGPD. Dispone de 9 Títulos, y puede que, finalmente, cuente hasta con 10, ya que el grupo parlamentario socialista ha presentado una enmienda para incorporar un Título de derechos digitales de los ciudadanos, que parece que se va a aprobar.

Una de las novedades más importantes se encuentra en la necesidad de contar con el consentimiento explícito del ciudadano para llevar a cabo tratamientos de sus datos, de tal modo que ya no se podrán realizar tratamientos sobre la base de un consentimiento tácito. Sin embargo, y en contra de lo que han venido haciendo muchos proveedores de servicios en las últimas semanas (que han llenado los correos electrónicos de los usuarios), si el consentimiento ya se obtuvo en la forma establecida en el RGPD, no es necesario volver a recogerlo por el comienzo de aplicación de éste.

Asimismo, el RGPD supone un nuevo concepto de la protección de datos, basado en la filosofía anglosajona. Los responsables de tratamiento deberán establecer las medidas técnicas y organizativas necesarias, destinadas a garantizar que solo sean objeto de tratamiento los datos personales imprescindibles para cada uno de los fines específicos de dicho tratamiento. Y dichas medidas tienen que ser sometidas a revisiones periódicas, para asegurar que, en todo momento, son las adecuadas o, por el contrario, han de ser sustituidas por otras.

Por otro lado, junto a los ya clásicos derechos ARCO (ahora ARSO, ya que se habla de "supresión" en lugar de "cancelación"), se regulan otros derechos nuevos para los ciudadanos, tales como: la portabilidad, el derecho al olvido y la limitación del tratamiento.

Además, el RGPD, en relación con su ámbito de aplicación, tiene una vis expansiva clara, ya que afecta también a empresas no establecidas en la UE, pero que realicen tratamientos derivados de ofertas de bienes o servicios destinados a ciudadanos de la UE o como consecuencia de una monitorización y seguimiento de su comportamiento.

Transcendente novedad es la figura del delegado de protección de datos (Data Protection Officer o DPO). En principio es un cargo voluntario para las organizaciones, excepto para los organismos públicos y para aquéllas cuya actividad principal "requiera una observación habitual y sistemática de interesados a gran escala", o "consista en el tratamiento a gran escala de categorías especiales de datos personales", para las que sí que resulta obligatorio. Por cierto, la Agencia Española de Protección de Datos ha sido la primera autoridad europea en concretar un esquema de certificación, que será gestionado por la Entidad Nacional de Certificación.

También se endurece la selección de encargados de tratamiento en las empresas, que únicamente podrá determinarse en aquéllos que aporten garantías suficientes de cumplimiento normativo.

Por último, no puedo dejar de comentar el severo régimen sancionador que establece el RGPD, que, para los supuestos más graves, prevé multas administrativas de hasta veinte millones de euros o, tratándose de una empresa, de una cuantía de hasta 20.000.000 € ó el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose en todo caso "por la de mayor cuantía".

A pesar de la cuantía de las sanciones, hace unos meses se publicó en los medios de comunicación que un 65% de las empresas en España aún no estaban preparadas para el RGPD. Esto resulta desconcertante, y eso que las empresas consideran que cumplir con el RGPD no es una simple cuestión económica, sino reputacional y que han incrementado hasta en un 44% la partida presupuestaria en protección de datos este último año. Esperemos que estas cifras hayan cambiado considerablemente en el sprint final que muchas de ellas dieron antes de la llegada del "día D".

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

RECOMENDAMOS