La aplicación del Reglamento General de la UE de Protección de Datos (RGPD) cambia el panorama de la Protección de Datos, dado que tendrá un alcance general y será obligatorio en todos sus elementos y aplicable directamente en cada Estado miembro. Las disposiciones de la LOPD y su reglamento de desarrollo no serán completamente derogados, podrán aplicarse cuando regulen cuestiones que no estén cubiertas por el Reglamento y en la medida en que no sean contradictorias con éste. La norma esencial de aplicación será el RGPD, que introduce modificaciones y nuevas obligaciones.

Todas las empresas están obligadas a cumplir el Reglamento en materia de protección de datos. A la hora de tratar los datos personales se realizará de manera transparente, proporcionando una mejor información, más completa y sencilla. Asimismo, el consentimiento para poder tratar los datos de carácter personal ha de ser inequívoco, libre y revocable.

Cambios introducidos por el Reglamento General de la UE de Protección de Datos (RGPD)

En cuanto a los cambios, hemos de señalar dos elementos que constituyen la mayor innovación del RGPD para los responsables del tratamiento: uno, el principio de responsabilidad proactiva que exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo. Por ello, el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Y el segundo, el enfoque de riesgo recoge expresamente que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.

Derechos que reconoce el RGPD

En cuanto a los derechos, en la LOPD se reconocen derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO). Con el RGPD se mantienen los derechos reconocidos como ARCO, si bien se modifica el procedimiento de los mismos para ejercerlos estableciéndose condiciones concretas, además se regulan nuevos derechos. Partiendo del principio de transparencia, en el RGPD se recalca que el procedimiento debe ser visible, accesible y sencillo. Los responsables tienen la obligación de facilitar y garantizar a las personas interesadas el ejercicio de sus derechos, permitiendo que se puedan presentar solicitudes mediante medios electrónicos. El ejercicio de los derechos será gratuito salvo excepciones de solicitudes infundadas o excesivas. El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes que podría ampliarse hasta dos, si el responsable decidiera no atender una solicitud deberá informar de la negativa en un plazo de un mes. En el derecho de acceso se ha introducido una modificación que valoramos positivamente. Se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento, antes se facilitaban los datos de base del afectado, pero no copias o documentos (excepto en el caso de la historia clínica).

Por otra parte, en el RGPD se regulan nuevos derechos: el derecho al olvido, el derecho a la portabilidad de los datos y el derecho a la limitación de tratamiento. El primero de ellos, derecho al olvido, permite al interesado, en determinados casos, obtener sin dilación indebida del Responsable del Tratamiento de Datos (RTD), la supresión de los datos personales que le conciernan, lo que vendría a ser como los derechos de oposición y cancelación reforzados y garantizados en el entorno de Internet. Es la consecuencia de la aplicación del derecho al borrado. Otro derecho, es el derecho a la portabilidad de los datos, permite al interesado recibir los datos personales que le incumban. Además, tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible. Este derecho facilita la contratación electrónica y el cambio de proveedor de servicios, simplificando el traslado de los datos y garantiza que el proveedor anterior no retenga los datos del interesado. El derecho a la limitación de tratamiento, es un nuevo derecho donde aún existen cuestiones inconclusas que se irán perfilando. Este derecho supone que, a petición del interesado, este último tiene la potestad de solicitar y obtener del responsable de tratamiento de datos una limitación del tratamiento de sus datos personales cuando concurran en inexactitud, ilicitud, oposición o reclamación. El responsable de datos informará al interesado cuando deje de aplicar la limitación de datos. No debe confundirse con el bloqueo de datos que existe en la legislación española.

Cambios y obligaciones de control en el seno de las empresas

Con el RGPD, son distintos los cambios y las obligaciones de control que tendrán lugar en el seno de la empresa. Entre ellas, deberán incorporar la figura del Delegado de Protección de Datos, llevar un Registro de Actividades de Tratamiento y realizar una Evaluación de Impacto de Tratamiento de Datos. El Delegado de Protección de Datos será el encargado de asesorar sobre todos los asuntos en materia de protección de datos. Asimismo, supervisará el cumplimiento de la normativa aplicable y, si se diese el caso, cooperar con las autoridades y actuar como punto de contacto en caso de que se plantee alguna cuestión relacionada con la privacidad. Los Registros de Actividades serán realizados tanto por los responsables como por los encargados de tratamiento, se hará por escrito y con información detallada acerca de cada operación de tratamiento de datos que realicen; y, por último, las Evaluaciones de Impacto se llevarán a cabo realizarán en los supuestos en los que un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, en especial por el uso de nuevas tecnologías.

El ámbito de aplicación del Reglamento, como hasta ahora, se aplicará a Responsables o Encargados de Tratamiento de datos establecidos en la UE y se amplía a Responsables y Encargados de datos no establecidos en la UE siempre que estos realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea.

Sanciones

Uno de las cuestiones que está generando más debate y controversia es la diferencia exponencial de la cuantía de las sanciones en el Reglamento. No se establecen cuantías mínimas, las máximas son mucho más elevadas, pudiendo alcanzar los 20 millones de euros, en función del artículo que haya sido vulnerado. Las sanciones impuestas sobre infracciones tendrán en cuenta para la aplicación de las mismas el volumen de negocio total anual de la empresa sancionada.

El Reglamento supone un mayor compromiso de las empresas y organizaciones en materia de protección de datos.


Diario Jurídico.com

Autora: Vanesa González

Responsable del Departamento de Soporte de Aemol Consulting.
Consultora experta en materia de Protección de Datos, Corporate Compliance y Prevención de Riesgos Laborales con más de 10 años de experiencia en el Sector y amplia formación específica en el mismo.

Publicado: 29 de Diciembre de 2017