guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Reglamento Europeo de Protección de D...
Ocultar / Mostrar comentarios

Reglamento Europeo de Protección de Datos

El RGPD es la norma general sobre el derecho fundamental a la protección de datos en la Unión Europea (UE). El RGPD es el resultado de la reforma que, en materia de protección de datos, propuso la Comisión Europea en 2012. Su principal objetivo es dar mayor control a las personas físicas sobre el tratamiento de sus datos personales, para lo que refuerza la armonización de las normas nacionales en materia de protección de datos.

Protección de datos
RGPD

El RGPD como norma del marco general sobre protección de datos

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD) es una de las normas del paquete de reformas de la UE sobre la protección de datos y sobre el que el Parlamento Europeo y el Consejo de la Unión Europea alcanzaron un acuerdo en diciembre de 2015.

A nivel europeo, la legislación principal en materia de protección de datos requiere considerar también la Directiva sobre protección de datos para las autoridades policiales y de justicia, que es la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo; así como la normativa aplicable en materia de protección de datos personales y privacidad en las comunicaciones electrónicas.

Publicación, entrada en vigor y aplicación efectiva

El RGPD fue publicado en el Diario Oficial de la Unión Europea L 119, de 4 de mayo de 2016, entró en vigor el 24 de mayo de 2016, es decir, a los veinte días de su publicación en el Diario Oficial, y se aplica de manera efectiva desde el 25 de mayo de 2018.

Como consecuencia de la fecha de aplicación efectiva del RGPD, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, quedó derogada desde el 24 de mayo de 2018.

El plazo de dos años, desde su entrada en vigor hasta su aplicación efectiva, tenía por objeto que los Estados miembros pudieran adecuar sus legislaciones nacionales, tanto normas generales como sectoriales o específicas, a los requisitos del RGPD. Transcurrido dicho plazo, cualquier legislación nacional aplicable en la materia que no se hubiera adaptado al RGPD quedó desplazada, es decir, se entiende no aplicable en lo que se oponga a éste.

Por último, la Comisión Europea debe presentar un informe, dirigido al Parlamento Europeo y al Consejo, sobre la evaluación y revisión del RGPD a más tardar el 25 de mayo de 2020 y posteriormente cada cuatro años. El objeto de este informe es identificar cuestiones relevantes que, en su caso, podrían requerir de medidas para garantizar la aplicación del RGPD en la Unión Europea.

Ámbito de aplicación del RGPD

El RGPD se aplica "al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero" (artículo 2.1 RGPD 2016/679). Esto significa que, si no hay datos personales, ya sea porque se trate de información relativa a personas jurídicas, datos anonimizados o se hayan suprimido los datos, no será aplicable el RGPD.

La aplicación del RGPD alcanza al tratamiento de datos personales realizado en el contexto de las actividades de un establecimiento de un responsable o encargado del tratamiento en la Unión Europea (UE), con independencia de que el tratamiento tenga lugar en la UE o no.

También se aplica el RGPD a aquellos responsables o encargados del tratamiento que, estando fuera de la UE: a) dirijan la oferta de sus bienes o servicios hacia interesados en la UE, con independencia de si les requiere a cambio un pago o no, o b) lleven a cabo el control de su comportamiento, en la medida en que este tenga lugar en la UE.

Por último, el RGPD no será aplicable cuando, aun tratándose datos personales, se lleve a cabo: a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la UE, por ejemplo, las actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial; b) por parte de los Estados miembros cuando se trate actividades tales como política exterior (capítulo 2 del título V del TUE); c) lo lleve a cabo una persona física en el ejercicio de actividades exclusivamente personales o domésticas, es decir, sin fines profesionales o comerciales como, por ejemplo, la correspondencia o la actividad personal en una red social, o d) por la autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención. En este último caso será aplicable la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Principios y bases de legitimación del tratamiento

Para que sea lícito, el tratamiento de datos personales requiere que se cumplan los principios aplicables y que se tenga una base o condición de legitimación.

Los principios de la protección de datos personales (art. 5 del RGPD 2016/679) son los relativos a:

  • "Licitud, lealtad y transparencia": de manera que el interesado cuyos datos personales se tratan sepa para qué se utilizan y los derechos que tiene;
  • "Minimización de los datos": lo que implica que solo se deban tratar los datos personales necesarios para la finalidad o finalidades del tratamiento, procediéndose a su supresión o anonimización cuando ya no sea necesario su tratamiento;
  • "Exactitud": es decir, exactos y, cuando sea necesario, rectificados o actualizados;
  • "Limitación del plazo de conservación": de manera que no se traten durante más tiempo del necesario para cumplir con la finalidad o finalidades correspondientes, y
  • "Integridad y confidencialidad", es decir, tratados de manera que se garantice su seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas en atención a dichos riesgos.

Y las bases o condiciones de legitimación para el tratamiento de los datos personales (art. 6 del RGPD 2016/679) son:

  • Consentimiento explícito o expreso: dado por el interesado para el tratamiento de sus datos personales para una o varias finalidades específicas. Que sea expreso significa que el consentimiento tácito o cualquier forma de obtención que condicione o limite la libertad del interesado no permite obtener un consentimiento válido para el tratamiento de datos personales;
  • Ejecución de un contrato o aplicación de medidas contractuales: cuando el tratamiento de los datos personales es necesario para la ejecución de un contrato en el que el interesado es parte o para poder aplicar medidas precontractuales cuando este lo solicite;
  • Cumplimiento de una obligación legal: que sea aplicable al responsable del tratamiento, como, por ejemplo, la comunicación de datos de empleados a Hacienda, a la Seguridad Social, etc.
  • Proteger intereses vitales del interesado o de un tercero: es decir, cuando el tratamiento de los datos personales sea necesario para proteger los intereses vitales del interesado o de otra persona física;
  • Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos: por el responsable del tratamiento, de manera que tiene que tratar los datos personales para el desempeño de sus funciones o atribuciones lo que, por lo general, ocurrirá en el caso de las Administraciones Públicas, o
  • Satisfacción de interés legítimo perseguido por el responsable o por un tercero: salvo que prevalezcan los derechos y libertades fundamentales del interesado, en particular si es un niño.

Obligaciones del responsable del tratamiento

Dependiendo de si el tratamiento de los datos personales implica un riesgo o un alto riesgo para los derechos y libertades fundamentales de las personas físicas cuyos datos personales son tratados, el responsable tendrá que adoptar, en su caso, las siguientes obligaciones:

En el caso de responsables o encargados del tratamiento establecidos fuera de la UE a los que sea aplicable el RGPD, tendrán que designar a un representante (art. 27 del RGPD 2016/679) en el Estado miembro donde estén los interesados cuyos datos personales se tratan.

Derechos de los interesados

Los derechos de los interesados son los relativos a transparencia de la información, información cuando se obtienen los datos, acceso, rectificación, supresión ("derecho al olvido"), limitación del tratamiento y portabilidad de los datos.

Sin perjuicio de estos derechos, los interesados tienen también varios recursos en caso de que se incumpla la normativa sobre protección de datos, pudiendo, por ejemplo, presentar una reclamación ante la autoridad de protección de datos, derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de protección de datos o el derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento.

Autoridades de protección de datos y poderes correctivos

Con la finalidad de supervisar la aplicación de la normativa sobre protección de datos, el RGPD prevé que los Estados miembros establecerán una o varias autoridades públicas independientes, que son la autoridad de control o de protección de datos personales. El RGPD establece poderes de investigación, de autorización y consultivos.

Las autoridades de protección de datos tienen atribuidos diversos poderes correctivos que, entre otros, son los relativos a advertir o apercibir al responsable del tratamiento, respectivamente, cuando un tratamiento pueda infringir o haya infringido la normativa sobre protección de datos, ordenar al responsable del tratamiento que atienda las solicitudes de ejercicio de derechos o que comunique al interesado las violaciones de seguridad de los datos personales o, incluso, retirar una certificación en protección de datos personales u ordenar la retirada al organismo de certificación cuando el responsable o el encargado del tratamiento no cumplan con la normativa aplicable en materia de protección de datos.

Sanciones

Las infracciones, previstas en el artículo 83 del RGPD 2016/679, podrán ser sancionadas cuando se trate de empresas, según la infracción de que se trate en cada caso, con multa administrativa de veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

En el caso de las Administraciones Públicas, en España, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales en el ejercicio de su función judicial.

Recuerde que…

  • El RGPD es la norma general sobre el derecho fundamental a la protección de datos personales en la Unión Europea.
  • Su objetivo principal es dar un mayor control a la persona física, el interesado, sobre sus datos personales cuando son tratados por un responsable del tratamiento.
  • El RGPD establece los principios aplicables al tratamiento de los datos y las bases de legitimación del tratamiento.
  • Además, regula los derechos de los interesados y las obligaciones del responsable y del encargado del tratamiento.
  • También fija las previsiones sobre las autoridades independientes de protección de datos, así como las sanciones en caso de infracción y otros poderes correctivos.
Subir