¿Qué es el RGPD?

El actual Reglamento General de Protección de Datos 679/2016 (en adelante RGPD) entra oficialmente en vigor el 25 de mayo de 2018 después de derogar la Directiva 95/46/CE y a la antigua Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) que ya era tan conocida después de 16 años de vigencia.

La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), la cual entra en vigor el 6 de diciembre de 2018, es la normativa española que desarrolla el RGPD para ampliarlo y armonizarlo con la legislación española.

¿Por qué nace el RGPD?

• Para conseguir un espacio de libertad, seguridad, justicia y de unión económica.
• Porque la integración económica y social y la rápida evolución tecnológica y la globalización han provocado un aumento del intercambio de datos personales.
• Existe conciencia de que la Directiva 95/46/CE, se está aplicando de forma fragmentada, existe inseguridad jurídica, sobre todo en internet.
• Para generar la confianza necesaria para que la economía digital se desarrolle manteniendo las personas el control sobre sus datos.

Principales novedades recogidas en la nueva LOPDGDD

• Derecho a la neutralidad en internet: que obliga a los proveedores de servicios de Internet a proporcionar una oferta transparente de servicios sin discriminación por motivos técnicos o económicos.
• Derecho de acceso universal a internet: que garantiza el acceso a todos los ciudadanos por igual, asequible, de calidad y no discriminatorio.
• Derecho a la seguridad digital: los usuarios tienen derecho a la seguridad de las comunicaciones a través de Internet, siendo obligación de los prestadores de servicios la información a los usuarios de sus derechos.
• Derecho a la educación digital: garantizando la inserción del alumno en la sociedad digital.    
• Protección de menores en internet:haciendo un hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información para garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales.
• Derecho de rectificación en internet: ante la difusión de contenidos que lesionen el honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz.
• Derecho a la actualización de informaciones en medios de comunicación digitales: el usuario podrá solicitar de forma motivada una actualización respecto a la situación actual de la noticia publicada por el medio digital, en particular en relación con publicaciones relacionadas con actuaciones policiales o judiciales.                                                                                                       
• Derechos en el ámbito laboral: derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, derecho a la desconexión digital, intimidad frente al uso de dispositivos de videovigilancia, de grabación de sonidos y de geolocalizaciónen el lugar de trabajo.
• Derecho al olvido: en las búsquedas en Internet y en servicios de redes sociales y equivalentes.
• Derecho a la portabilidad en servicios de redes sociales y equivalentes: los ciudadanos tendrán derecho a recibir y transmitir los contenidos que hubieran facilitado a los prestadores de servicios.
• Testamento digital: los familiares o herederos podrán dar directrices sobre la utilización, destino o supresión del contenido.
• Políticas de impulso de los derechos digitales por parte de las administraciones públicas: para superar las brechas digitales, garantizar el acceso a Internet a todos los ciudadanos, impulsar la existencia de espacios de conexión de acceso público y fomentar las medidas educativas.

¿A quién se aplica el RGPD?

Se aplica al tratamiento total o parcialmente automatizado (datos informatizados), así como al tratamiento no automatizado de datos personales (datos papel) contenidos y destinados a ser incluidos en un fichero.

¿Qué tratamientos no deben cumplir el RGPD?

• Actividades no comprendidas en el derecho de la Unión Europea, como las relativas a la seguridad nacional de los Estados.
• Actividades relacionadas con la política exterior y de seguridad común, como las actuaciones conjuntas en materia de desarme, las misiones humanitarias y de rescate, las misiones de asesoramiento y asistencia en cuestiones militares.
• Tratamientos por las Autoridades con fines de prevención, investigación, detección o enjuiciamiento de infracciones o ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
• Tratamientos por parte de instituciones, órganos y organismos de la UE (sometidos al Reglamento CE/45/2001)
• Cualquier tratamiento efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, sin conexión alguna con una actividad profesional o comercial, como la correspondencia y la llevanza de un repertorio de direcciones, los contactos de un teléfono móvil o la actividad en las redes sociales.
• Tratamiento de datos de los Tribunales en el ejercicio de su función judicial.
• El tratamiento de datos de personas fallecidas, el ejercicio de cualquier derecho puede ejercerse por parte de los familiares o las designadas expresamente.
• También queda fuera del ámbito de aplicación los datos de contactos y empresarios individuales (autónomos), siempre que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional y que la finalidad del tratamiento sea únicamente para mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

¿En qué zona territorial se aplica el RGPD?

• Se aplica a tratamientos de datos por actividades de una entidad que SEA DE LA UNIÓN EUROPEA, independientemente de que el tratamiento tenga lugar en la UE o no.
• Se aplica atratamientos de datos por una entidad que NO ESTÉ ESTABLECIDA EN LA UNIÓN EUROPEA cuando LAS ACTIVIDADES DE TRATAMIENTO SE REALICEN EN LA UE.
• Se aplica a tratamientos de datos por una entidad que no esté establecida en la UNIÓN EUROPEA pero sí en un LUGAR DONDE EL Dº DE LOS ESTADOS MIEMBROS SEA DE APLICACIÓN POR EL Dº INTERNACIONAL PÚBLICO.

El RGPD y el tratamiento de datos personales por parte de quién los recoge

• Principio de licitud, lealtad y transparencia: no podrán recabarse datos personales por medios fraudulentos, desleales o ilícitos, es decir a través de medios o métodos engañosos, que den lugar a una discriminación injusta o arbitraria contra los titulares y que sean ilegales o estén fuera o al margen de la Ley.
• Principio de limitación de la finalidad: Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
• Principio de minimización de datos: Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
• Principio de exactitud: Exactos y, si fuera necesario, actualizados, exigiéndose al Responsable que adopte las medidas para que se rectifiquen o supriman los datos inexactos.
• Principio de limitación del plazo de conservación: Mantenidos durante no más tiempo del necesario.
• Principio de integridad y confidencialidad de datos: Tratados de forma que se garantice una seguridad adecuada frente a intromisiones contra su pérdida o destrucción.

Novedades más relevantes introducidas por el RGPD

• CONSENTIMIENTO: Desaparece la posibilidad del consentimiento tácito y siempre ha de ser inequívoco, libre, revocable y otorgarse mediante un acto afirmativo claro y ha de ser específico para cada finalidad de cada tratamiento.
• PRINCIPIO DE RESPONSABILIDAD (Accountability): Se tiene que acreditar que se han adoptado todas las medidas necesarias para tratar los datos personales, y de forma proactiva no reactiva, es decir, antes de cualquier posible reclamación o queja, no sólo se deberá cumplir el Reglamento sino poder probar que se ha hecho.
• PRINCIPIO DE TRANSPARENCIA: Los avisos legales y políticas de privacidad deben ser simples y más completos, facilitando su comprensión, sobre todo para los menores de edad.
• DESIGNACIÓN DE UN DELEGADO DE PROTECCION DE DATOS: exigible para empresas que realizan ciertos tratamientos de datos, la cual supervisa el cumplimiento normativo y coopera con la AEPD.
• PRINCIPIO DE PROTECCIÓN POR DEFECTO Y DESDE EL DISEÑO (PrivacybyDesign): las medidas que garanticen el cumplimiento de la norma se han de realizar de forma generalizada y desde el primer momento aplicándose las medidas de seguridad para el tratamiento de datos que se vaya a realizar.
• EVALUACIONES DE IMPACTO SOBRE LA PRIVACIDAD (PrivacyImpactAssestment): Se ha de realizarun informe en los supuestos que existan riesgos específicos para la privacidad al tratar ciertos datos personales, para mitigar o eliminar dichos riesgos.
• COMUNICACIÓN Y NOTIFICACIÓN DE BRECHAS DE SEGURIDAD: Se deben comunicar los fallos oviolaciones de seguridad a la AEPD y a los titulares de los datos si ha existido un riesgo para sus derechos.
• SELECCIÓN DE UN ENCARGADO DE TRATAMIENTO: Se debe acreditar que su elección garantiza suficientes garantías de cumplimiento.
• REGISTRO DE FICHEROS ANTE LA AEPD: Desaparece la obligación de inscripción de ficheros en el Registro General de la AEPD y se procede al cierre del mismo el día 25 de mayo de 2018.
• PORTABILIDAD DE LOS DATOS: Cuando el tratamiento sea automatizado el interesado tiene derecho a recibir los datos en un formato estructurado, de uso común y lectura mecánica, y a que se transmitan estos datos a otro responsable de tratamiento en dicho formato.
• SANCIONES: El régimen sancionador se vuelve más severo y afectarán tanto a los responsables como a los encargados de tratamiento de datos, las sanciones por infracciones leves podrán alcanzar los diez millones de euros y por las sanciones graves hasta veinte millones de euros o el 4% de volumende negocio anual, por lo que las sanciones tendrán un papel determinante en el Nuevo Reglamento con el objetivo de que las empresas se tomen en serio la privacidad.