ANEXO TEMA 33

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

QUÉ ES EL RGPD
El Reglamento General de Protección de Datos (RGPD), también conocido por
su sigla en inglés GDPR (General Data Protection Regulation) es la legislación vigente
en materia de protección de datos a nivel europeo que deben cumplir, a partir del 25
de mayo de 2018, tanto las instituciones públicas como las empresas privadas
que recopilan y hacen tratamiento de datos de personas físicas.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de

abril de 2016, moderniza la normativa actual y unifica todo lo relativo a la protección de
las personas físicas en lo que respecta al tratamiento de sus datos personales y a la
libre circulación de estos datos entre los Estados miembros.

El RGPD, en vigor desde mayo desde 2016 aunque no será aplicable hasta
mayo de 2018, deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo,
de 24 de octubre de 1995.

En España, esta Directiva fue adaptada por la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal (LOPD), y posteriormente el
Real Decreto 1720/2007, de 21 de diciembre, desarrolló mandatos adicionales para
precisar algunos de sus principios.

A diferencia de lo que sucedía hasta ahora con la Directiva, el Reglamento

Europeo es una norma directamente aplicable, que no requiere de normas internas de
trasposición ni tampoco de normas de desarrollo o aplicación.

Pese a ello, la LOPD será próximamente sustituida por una nueva norma,
todavía en fase de tramitación parlamentaria, que podrá desarrollar determinados
aspectos del RGPD.

OBJETIVOS
El Reglamento General de Protección de Datos tiene por objeto mejorar el nivel
de protección de los datos de las personas físicas cuyos datos personales se someten
a tratamiento y aumentar las oportunidades de negocio en el mercado único digital, en
particular mediante la reducción de la carga administrativa.
________________________________________
1. Mayor nivel de protección de los datos
El principal objetivo del RGPD es ofrecer a los interesados un mejor control sobre sus
datos de carácter personal, con medidas como las siguientes:
A. Informar mejor de lo que ocurre con los datos personales una vez se
comparten.
B. Facilitar la comprensión de las políticas de privacidad mediante iconos
normalizados y un lenguaje claro y sencillo.
C. Reformular los diferentes derechos para mejorar su acceso,
especialmente en el caso de menores.
D. Aumentar los derechos sobre los datos personales incorporando el de
portabilidad entre proveedores de servicios.
E. Salvaguardar el tratamiento realizado con fines de archivo para
investigación o interés estadístico.
F. Más oportunidades de negocio
2.- El RGPD también tiene como objetivo unificar las diferentes normas europeas
que se han ido desarrollando en los diferentes países miembros. Así, ofrece un
marco único para todos (aplicable también para aquellos países que ofrezcan servicios
online a ciudadanos de la Unión) y salvaguarda la transferencia de datos personales a
terceros países.
Facilitando la igualdad de tratamiento, aumentan las opciones de negocio,
especialmente en el caso de las pymes, que podrán sacar el máximo partido de un
mercado único digital.

3. Mayores garantías de cumplimiento

El Reglamento pretende también aumentar la responsabilidad y la rendición de
cuentas de los responsables del tratamiento a fin de garantizar el pleno cumplimiento
de las nuevas normas de protección de datos.

Con este fin, establece nuevas medidas de seguridad, la obligación de designar a un

responsable de la protección de datos para garantizar el cumplimiento de la normativa
en determinadas organizaciones, y sanciones en caso de incumplimiento.

QUÉ CAMBIA CON LA NORMATIVA

El Reglamento General de Protección de Datos introduce importantes
novedades respecto al régimen actual y establece nuevas obligaciones, siendo estas
más estrictas cuanto mayor sea el riesgo para los datos personales.

El consentimiento
El RGPD estipula que el consentimiento debe darse de forma inequívoca,
informada y explícita por parte del interesado para cada una de las actividades de
tratamiento. Si hubiese más de un fin para los datos, deberá solicitarse para cada uno
de ellos.
 No son válidas aceptaciones tácitas como ocurría hasta ahora en la LOPD
con casillas ya marcadas: el interesado debe realizar por tanto una acción afirmativa
para dar consentimiento.

Además, el interesado puede retirar el consentimiento en cualquier momento y

debe poder hacerlo con la misma facilidad que para darlo.
________________________________________
Nuevos derechos

Los derechos básicos que se implementaron en la Directiva 95/46/CE (acceso,

rectificación, cancelación y oposición) se amplían en el RGPD al añadir los siguientes:

□ Derecho a la supresión o al olvido: por ejemplo, puede solicitarse

cuando se hayan recabado datos para un fin no autorizado, se traten
ilícitamente o se retire el consentimiento. Debe aplicarse de tal forma que
se supriman enlaces, copias o réplicas de tales datos.

□ Derecho a la limitación del tratamiento: por ejemplo, puede solicitarse

cuando se traten ilícitamente o ya no se necesiten, y debe constar
claramente en el sistema como tratamiento limitado.

□ Derecho a la portabilidad de los datos: puede solicitarse un archivo en

formato estructurado para transmitirlo a otra empresa o país.

□ Además, se tiene derecho a ser informado de posibles violaciones en

los datos personales, no más tarde de 72 horas después de haber
constatado el problema de seguridad. La violación tendrá que
documentarse internamente y notificarse de forma clara al interesado,
incluyendo sus consecuencias y las medidas para poner remedio.
________________________________________
EL PRINCIPIO DE RESPONSABILIDAD PROACTIVA

El RGPD describe este principio como la necesidad de que el responsable del

tratamiento aplique medidas técnicas y organizativas apropiadas a fin de
garantizar y poder demostrar que el tratamiento es conforme con el Reglamento

En términos prácticos, este principio requiere que las organizaciones analicen

qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de
tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma
explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de
que esas medidas son las adecuadas para cumplir con el mismo y de que pueden
demostrarlo ante los interesados y ante las autoridades de supervisión.
________________________________________
ENCARGADO, RESPONSABLE Y DELEGADO DE PROTECCIÓN DE DATOS
En el Reglamento se refuerzan las figuras internas que protegen los datos
.
□ Por un lado, existe el encargado del tratamiento como la persona que
pone en práctica las medidas de seguridad para limitar el acceso a los
datos únicamente para los fines que se han requerido, velando siempre
por la confidencialidad.

□ Por el otro, las autoridades públicas y algunas empresas deberán

tener además un delegado de protección de datos para garantizar el
cumplimiento de la normativa.

En ambos casos, la adhesión a un código de conducta o un mecanismo de

certificación demostrará que se cumplen sus obligaciones y están obligados a
cooperar con la autoridad de control ofreciéndoles los registros en caso de que ésta
los solicite.

Los organismos públicos, universidades, colegios profesionales, aseguradoras,

entre otros, deberán designar un delegado de protección de datos, quien se encargará
de informar, asesorar y supervisar al encargado y al responsable para que cumplan el
reglamento.
________________________________________
SANCIONES RGPD
Las multas previstas por el RGPD son mucho mayores que por la LOPD. Los
interesados podrán reclamar ante una autoridad de control cuando no se cumplan las
normas de protección de datos y las sanciones a las que se enfrentan los
responsables del tratamiento podrán ser de hasta:
 10 millones de euros o el 2% del volumen de negocio total anual del
ejercicio financiero anterior cuando se trate de una empresa.
 20 millones de euros o el 4% del volumen de negocio total anual global
del ejercicio financiero anterior cuando se trate de una empresa.

En determinadas circunstancias, también podrán interponer un recurso las

organizaciones de protección de datos.

RESUMEN. CUESTIONES DE INTERÉS

Será obligatorio a partir del 25 de mayo de 2018, es decir, 2 años después de su

entrada en vigor y superado el plazo previsto para la adaptación. A partir de esa fecha,
será obligatorio en todos sus elementos y directamente aplicable en cada Estado
miembro.
El RGPD amplía el ámbito territorial de aplicación más allá de la Unión Europea.
Así, se aplica cuando el responsable del tratamiento esté establecido en la Unión
Europea, independientemente de que el tratamiento tenga lugar en los Estados
miembros o no. Y también cuando las actividades estén relacionadas con oferta de
bienes o servicios a interesados en la UE o se realice control de su conducta, aunque
el responsable del tratamiento no esté establecido en la Unión.

El RGDP establece los siguientes principios relacionados con el principio de

ventanilla única:
□ Principio de licitud, lealtad y transparencia: datos tratados de manera lícita, leal
y transparente.
□ Principio de limitación de la finalidad: datos tratados con fines determinados,
explícitos y legítimos y no incompatibles con tales fines.
□ Principio de minimización de datos: datos adecuados, pertinentes y limitados.
□ Principio de exactitud: datos exactos y, si fuera necesario, actualizados.
□ Principio de plazo de limitación del plazo de conservación: datos mantenidos
que permitan la identificación de los interesados durante no más tiempo del
necesario.
□ Principio de integridad y confidencialidad: datos tratados garantizando una
seguridad adecuada. El deber de confidencialidad es complementario al de
derecho profesional y se mantendrán tras la finalización de la relación con el
responsable del tratamiento.
□ Principio de responsabilidad proactiva: el responsable del tratamiento es el
responsable del cumplimiento de la normativa.

Los derechos de acceso, rectificación, cancelación y oposición se mantienen y

se añaden otros como el de la supresión u olvido, limitación del tratamiento y
portabilidad de los datos.

En cuanto al consentimiento, el RGPD establece que es necesaria una clara acción

afirmativa para dar consentimiento de manera inequívoca. En el caso de
transferencias internacionales de datos, decisiones automatizas y datos sensibles, ha
de manifestarse el consentimiento de forma explícita

La edad mínima para dar consentimiento al tratamiento de datos según el RGPD

es de 16 años, aunque los Estados miembros pueden establecer la suya propia como
máximo a partir de los 13, que es lo que contempla España en el proyecto de Ley
Orgánica pendiente de aprobación. Cuando se trate de menores de 13 años, el
tratamiento será lícito si se autoriza por el titular de la patria potestad. El responsable
del tratamiento ha de asegurarse la verificación de la edad de los menores o conseguir
la autorización de sus padres o tutores.
El RGPD prohíbe el tratamiento en general, aunque hay excepciones legales, de las
siguientes categorías especiales de datos personales:
□ Origen étnico o racial
□ Opiniones políticas
□ Convicciones religiosas o filosóficas
□ Afiliación sindical
□ Datos genéticos, biométricos o de salud física o mental
□ Orientación sexual o vida sexual
□ Condenas e infracciones penales

En cuanto al deber de transparencia, el responsable del tratamiento deberá

comunicarse con los interesados de forma concisa y transparente y con un lenguaje
sencillo y claro. Se deben evitar fórmulas farragosas que dificulten la comprensión.

El responsable del tratamiento tiene la obligación de exigir al encargado del

tratamiento que aplique medidas técnicas y organizativas para que se ofrezcan
garantías de cumplimiento del RGPD. Ambos deberán acreditar que el tratamiento es
conforme al Reglamento y la Ley y ambos serán corresponsables a la hora de
determinar responsabilidades en función de las actividades que desarrolle cada uno de
ellos.

El RGPD no obliga al registro de ficheros de datos personales en la Agencia

Española de Protección de Datos. No obstante, las empresas con más de 250
trabajadores o cuando el tratamiento incluya categorías especiales de datos, deberán
llevar un registro de actividades con información similar a la utilizada para el antiguo
registro.