guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Reglamento Europeo de Protección de D...
Ocultar / Mostrar comentarios

Reglamento Europeo de Protección de Datos

El RGPD es la norma general sobre el derecho fundamental a la protección de datos en la Unión Europea (UE). Su principal objetivo es dar mayor control a las personas físicas sobre el tratamiento de sus datos personales, para lo que refuerza la armonización de las normas nacionales en materia de protección de datos.

Protección de datos
RGPD

¿Qué es el RGPD?

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD) es una de las normas del paquete de reformas de la UE sobre la protección de datos y sobre el que el Parlamento Europeo y el Consejo de la Unión Europea alcanzaron un acuerdo en diciembre de 2015.

A nivel europeo, la legislación principal en materia de protección de datos requiere considerar también la Directiva sobre protección de datos para las autoridades policiales y de justicia, que es la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos.

El RGPD fue publicado en el Diario Oficial de la Unión Europea L 119, de 4 de mayo de 2016, entró en vigor el 24 de mayo de 2016, es decir, a los veinte días de su publicación en el Diario Oficial, y se aplica de manera efectiva desde el 25 de mayo de 2018.

El plazo de dos años, desde su entrada en vigor hasta su aplicación efectiva, tenía por objeto que los Estados miembros pudieran adecuar sus legislaciones nacionales, tanto normas generales como sectoriales o específicas, a los requisitos del RGPD. Transcurrido dicho plazo, cualquier legislación nacional aplicable en la materia que no se hubiera adaptado al RGPD quedó desplazada, es decir, se entiende no aplicable en lo que se oponga a éste.

Además, la Comisión Europea debe presentar hasta el 25 de mayo de 2020 y desde entonces cada cuatro años. un informe dirigido al Parlamento Europeo y al Consejo, sobre la evaluación y revisión del RGPD. El objeto de este informe es identificar cuestiones relevantes que, en su caso, podrían requerir de medidas para garantizar la aplicación del RGPD en la Unión Europea.

En cuanto al ámbito de aplicación, el RGPD se aplica "al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero" (artículo 2.1 RGPD 2016/679). Esto significa que, si no hay datos personales, ya sea porque se trate de información relativa a personas jurídicas, datos anonimizados o se hayan suprimido los datos, no será aplicable el RGPD.

La aplicación del RGPD alcanza al tratamiento de datos personales realizado en el contexto de las actividades de un establecimiento de un responsable o encargado del tratamiento en la Unión Europea (UE), con independencia de que el tratamiento tenga lugar en la UE o no.

También se aplica el RGPD a aquellos responsables o encargados del tratamiento que, estando fuera de la UE: a) dirijan la oferta de sus bienes o servicios hacia interesados en la UE, con independencia de si les requiere a cambio un pago o no, o b) lleven a cabo el control de su comportamiento, en la medida en que este tenga lugar en la UE.

Por último, el RGPD no será aplicable cuando, aun tratándose datos personales, se lleve a cabo:

  • a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la UE, por ejemplo, las actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial;
  • b) por parte de los Estados miembros cuando se trate actividades tales como política exterior (capítulo 2 del título V del TUE);
  • c) lo lleve a cabo una persona física en el ejercicio de actividades exclusivamente personales o domésticas, es decir, sin fines profesionales o comerciales como, por ejemplo, la correspondencia o la actividad personal en una red social, o
  • d) por las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

En este último caso será aplicable la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

¿Cuáles son los principios y bases de legitimación para tratamiento de datos personales?

Para que sea lícito, el tratamiento de datos personales requiere que se cumplan los principios aplicables y que se tenga una base o condición de legitimación.

Los principios de la protección de datos personales (art. 5 del RGPD 2016/679) son los relativos a:

  • "Licitud, lealtad y transparencia": de manera que el interesado cuyos datos personales se tratan sepa para qué se utilizan y los derechos que tiene;
  • "Minimización de los datos": lo que implica que solo se deban tratar los datos personales necesarios para la finalidad o finalidades del tratamiento, procediéndose a su supresión o anonimización cuando ya no sea necesario su tratamiento;
  • "Exactitud": es decir, exactos y, cuando sea necesario, rectificados o actualizados;
  • "Limitación del plazo de conservación": de manera que no se traten durante más tiempo del necesario para cumplir con la finalidad o finalidades correspondientes, y
  • "Integridad y confidencialidad", es decir, tratados de manera que se garantice su seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas en atención a dichos riesgos.

Y las bases o condiciones de legitimación para el tratamiento de los datos personales (art. 6 del RGPD 2016/679) son:

  • Consentimiento explícito o expreso: dado por el interesado para el tratamiento de sus datos personales para una o varias finalidades específicas. Que sea expreso significa que el consentimiento tácito o cualquier forma de obtención que condicione o limite la libertad del interesado no permite obtener un consentimiento válido para el tratamiento de datos personales;
  • Ejecución de un contrato o aplicación de medidas contractuales: cuando el tratamiento de los datos personales es necesario para la ejecución de un contrato en el que el interesado es parte o para poder aplicar medidas precontractuales cuando este lo solicite;
  • Cumplimiento de una obligación legal: que sea aplicable al responsable del tratamiento, como, por ejemplo, la comunicación de datos de empleados a Hacienda, a la Seguridad Social, etc.
  • Proteger intereses vitales del interesado o de un tercero: es decir, cuando el tratamiento de los datos personales sea necesario para proteger los intereses vitales del interesado o de otra persona física;
  • Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos: por el responsable del tratamiento, de manera que tiene que tratar los datos personales para el desempeño de sus funciones o atribuciones lo que, por lo general, ocurrirá en el caso de las Administraciones Públicas, o
  • Satisfacción de interés legítimo perseguido por el responsable o por un tercero: salvo que prevalezcan los derechos y libertades fundamentales del interesado, en particular si es un niño.

A modo de ejemplo, la STJUE (asunto C-61/19), de 11 de noviembre de 2020, establece que no es válido el consentimiento otorgado por un cliente para la obtención y la conservación de sus datos personales cuando la casilla había sido marcada antes de la firma del contrato por el responsable del tratamiento de la compañía demandada. Además, el TJUE subraya que la posibilidad de celebrar el contrato en cuestión no se vería afectada en caso de que el cliente no aceptara la cláusula controvertida y recuerda que la compañía de prestación de servicios no puede obstaculizar la negativa al consentimiento de tratamiento de datos personales mediante la obligación de expresar tal negativa mediante un formulario adjunto al contrato.

Así, según la STJUE (asunto C-61/19), las claves para un consentimiento válido para el tratamiento de datos personales son, en primer lugar, que este sea ser libre, específico, informado e inequívoco, e decir, que no es válido el silencio, de casillas ya marcadas o de inacción del interesado; en segundo lugar, que las cláusulas contractuales de consentimiento informado estén redactadas en un lenguaje claro y sencillo, que no induzcan a error; y en terer lugar, que no se obstaculice la negativa al consentimiento de tratamiento de datos personales mediante la obligación de expresar tal negativa mediante un formulario adjunto al contrato.

¿Qué obligaciones tiene el responsable del tratamiento?

Dependiendo de si el tratamiento de los datos personales implica un riesgo o un alto riesgo para los derechos y libertades fundamentales de las personas físicas cuyos datos personales son tratados, el responsable tendrá que adoptar, en su caso, las siguientes obligaciones:

  • Responsabilidad proactiva ("accountability") (art. 24 del RGPD 2016/679).
  • Protección de datos desde el diseño y por defecto (art. 25 del RGPD 2016/679):
    • Encargado del tratamiento (art. 28 del RGPD 2016/679).
    • Registro de actividades del tratamiento (art. 30 del RGPD 2016/679).
    • Cooperación con la autoridad de protección de datos (art. 31 del RGPD 2016/679).
    • Seguridad del tratamiento (art. 32 del RGPD 2016/679).
    • Notificación de una violación de la seguridad de los datos personales a la autoridad de protección de datos (art. 33 del RGPD 2016/679).
    • Comunicación de una violación de la seguridad de los datos personales al interesado (art. 34 del RGPD 2016/679).
    • Evaluación de impacto relativa a la protección de datos (art. 35 del RGPD 2016/679).
    • Consulta previa a la autoridad de protección de datos (art. 36 del RGPD 2016/679).
    • Designación del delegado de protección de datos (arts. 37 a 39 del RGPD 2016/679).

En el caso de responsables o encargados del tratamiento establecidos fuera de la UE a los que sea aplicable el RGPD, tendrán que designar a un representante (art. 27 del RGPD 2016/679) en el Estado miembro donde estén los interesados cuyos datos personales se tratan.

¿Qué derechos tienen los interesados?

Los derechos de los interesados son los relativos a transparencia de la información, información cuando se obtienen los datos, acceso, rectificación, supresión ("derecho al olvido"), limitación del tratamiento y portabilidad de los datos.

Sin perjuicio de estos derechos, los interesados tienen también varios recursos en caso de que se incumpla la normativa sobre protección de datos, pudiendo, por ejemplo, presentar una reclamación ante la autoridad de protección de datos, derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de protección de datos o el derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento.

¿Cuáles son las autoridades de protección de datos y qué funciones tienen?

Con la finalidad de supervisar la aplicación de la normativa sobre protección de datos, el RGPD prevé que los Estados miembros establecerán una o varias autoridades públicas independientes, que son la autoridad de control o de protección de datos personales. El RGPD establece poderes de investigación, de autorización y consultivos.

Las autoridades de protección de datos tienen atribuidos diversos poderes correctivos que, entre otros, son los relativos a advertir o apercibir al responsable del tratamiento, respectivamente, cuando un tratamiento pueda infringir o haya infringido la normativa sobre protección de datos, ordenar al responsable del tratamiento que atienda las solicitudes de ejercicio de derechos o que comunique al interesado las violaciones de seguridad de los datos personales o, incluso, retirar una certificación en protección de datos personales u ordenar la retirada al organismo de certificación cuando el responsable o el encargado del tratamiento no cumplan con la normativa aplicable en materia de protección de datos.

Las infracciones, previstas en el artículo 83 del RGPD 2016/679, podrán ser sancionadas cuando se trate de empresas, según la infracción de que se trate en cada caso, con multa administrativa de veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

En el caso de las Administraciones Públicas, en España, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales en el ejercicio de su función judicial.

Recuerde que…

  • El RGPD es la norma general sobre el derecho fundamental a la protección de datos personales en la Unión Europea.
  • Su objetivo principal es dar un mayor control al interesado sobre sus datos personales cuando son tratados por un responsable del tratamiento.
  • El RGPD establece los principios aplicables al tratamiento de los datos y las bases de legitimación del tratamiento.
  • Además, regula los derechos de los interesados y las obligaciones del responsable y del encargado del tratamiento.
  • También fija las previsiones sobre las autoridades independientes de protección de datos, así como las sanciones en caso de infracción y otros poderes correctivos.
Subir