Menú

Todas

Reglamento General Protección Datos 2018

Sanciones por inadaptación al nuevo Reglamento de Protección de Datos

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018.

Identificación, análisis y recomendaciones en torno a las novedades introducidas

Contacto No te quedes con la duda, contacta con nosotros. Estaremos encantados de atenderte y ofrecerte soluciones.

1. Normativa actualmente vigente

UE: Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y la libre circulación de estos datos.

España: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

España: Real Decreto 1720/2007, de 21 de octubre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

2. Nuevo Reglamento General de Protección de Datos

UE: El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE

Vigor: Entró en vigor el pasado mayo de 2016 y será aplicable a partir del 25 de mayo de 2018. Hasta esa fecha, continuará vigente lo establecido en la Directiva 95/46 y las normas nacionales de desarrollo.

Objeto: Lo que se pretende a través del margen de dos años que concede el reglamento es permitir a las empresas y los organismos ajustarse paulatinamente a lo introducido por sus disposiciones. Es conveniente iniciar la implementación con carácter anterior a su aplicabilidad.

3. Principales cambios y novedades del nuevo Reglamento General de Protección de Datos

3.1 El ámbito territorial

LO 15/1999: La LOPD exigía la concurrencia de al menos un vínculo o nexo nacional para la aplicación de la protección.

RGPD 2016/679:

  • Se amplía el espectro territorial de protección para empresas de fuera de la UE que traten datos de ciudadanos de la UE cuando:
  • 1) Los datos se deriven de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea
  • 2) Su obtención sea consecuencia de una monitorización y seguimiento de su comportamiento

3.2 El consentimiento (Arts. 6 y ss. RGPD)

LO 15/1999: La LOPD permitía el consentimiento tácito.

RGPD 2016/679: Para recabar el consentimiento válidamente debe mediar una declaración del interesado o una acción positiva que manifieste su conformidad (ya no se permite el consentimiento tácito).

3.3 El deber de información (Arts. 13 y ss. RGPD)

Deber de información sobre:

  • Identidad y datos del responsable
  • Datos de contacto del DPO
  • Finalidad de recogida de los datos y base jurídica del tratamiento
  • Destinatarios o categorías de destinatarios
  • Derechos de los que disponen los interesados
  • Transferencias a terceros países
  • Plazos de conservación
  • Existencia de decisiones automatizadas
  • Si facilitar los datos responde a un requisito legal o contractual, o son requisito para suscribir un contrato; si está obligado a facilitarlos y consecuencias de no hacerlo.

Requisitos para proporcionar la información:

  • Forma concisa, transparente e inteligible
  • Fácil acceso
  • Lenguaje claro y sencillo

* Se reduce el plazo de información a los interesados sobre la obtención de sus datos de terceros: máximo un mes (o en el momento de la primera comunicación con el interesado o de la comunicación a un tercero, lo que ocurra antes).

3.4  Los derechos del interesado (Arts. 15 y ss. RGPD)

Al esquema de derechos ARCO (derechos de acceso, rectificación, cancelación y oposición) se le añaden las siguientes facultades:

  • Derecho a la transparencia de la información (art. 15) Lenguaje claro y sencillo
  • Derecho de supresión (art. 17) Obtener sin dilación indebida la eliminación de los datos personales del interesado
  • Derecho a la limitación  (art. 18) Suspensión del tratamiento de datos
  • Derecho a la portabilidad  (art. 20) Derecho a que el interesado reciba los datos que le incumben

3.5  La protección de datos desde el diseño y por defecto (Art. 25 RGPD)

  • Implantación de medidas previas que se traduzcan a garantías
  • Carácter organizativo y técnico
  • Códigos de conducta: determinar la aplicación de las obligaciones contenidas en el RGPD
  • Mecanismos de certificación: medio para demostrar el cumplimiento del RGPD. Plazo máximo de 3 años.

3.6 EL registro de actividades de tratamiento de datos (Art. 30 RGPD)

LO 15/1999: Inscripción de los ficheros en el Registro General de Protección de Datos de la AEPD.

RGPD 2016/679:

  • En el nuevo sistema bastará con que se haga un registro de tratamiento de datos, cuya responsabilidad recaerá sobre el responsable de los mismos.
  • Deberá contener información relativa a los fines del tratamiento, los datos personales que se traten, los destinatarios de los mismos, los plazos para la supresión y las medidas técnicas y organizativas adoptadas

3.7 Las medidas de seguridad (Art. 32 RGPD)

LO 15/1999: Niveles de protección básicos, medios o altos

RGPD 2016/679: Niveles de protección adecuados al riesgo. Medidas técnicas y organizativas apropiadas. Factores de determinación:

  • 1) Coste de la técnica
  • 2) Coste de la aplicación
  • 3) naturaleza, alcance, contexto y fines
  • 4) Riesgos para los derechos y libertades

3.8 La notificación de fallos ( Arts. 33 y ss. RGPD)

Contenido de la notificación: naturaleza de la violación, categoría de datos e interesados afectados, medidas adoptadas y aplicadas hasta el momento

  • Comunicación a la AEPD: Plazo de 72 horas desde su detección, salvo que sea improbable que constituya un riesgo para los derechos y libertades de los interesados
  • Comunicación a los interesados: Sólo si es probable que conlleve un alto riesgo para sus derechos y libertades.

3.9 La evaluación del impacto relativa a la protección de datos (Arts. 35 y ss. RGPD)

Evaluación con carácter previo en tratamientos de alto riesgo en los siguientes supuestos:

  • 1. Tratamiento automatizado
  • 2. Datos de categoría especial
  • 3. Zonas de acceso público

Si se determina un riesgo alto, deben tomarse medidas adecuadas al respecto

Deber de consultar a la autoridad si la organización u organismo no puede hacer frente a las contingencias que se deriven del tratamiento.

3.10 La nueva figura del data protection officer o el delegado de protección de datos (Arts. 37 y ss. RGPD)

DPO:

  • Respecto al DPO, es designado por el responsable y el encargado del tratamiento de datos en cuestión.
  • Sólo es necesario para aquellos supuestos en los que el tratamiento de datos sea llevado a cabo por una entidad u organismo público, o en los que la actividad del responsable y del encargado consista en operaciones de tratamiento que requieran una observación habitual o se refieran a categorías especiales de datos
  • Para informar y asesorar, tanto al responsable como a los empleados, de las obligaciones que les incumben en virtud del propio Reglamento y supervisar el cumplimiento del mismo
  • No tiene superior jerárquico, por lo que no puede percibir ninguna instrucción en lo concerniente al desempeño de sus funciones. Si tiene, en cualquier caso, el deber de mantener el secreto o la confidencialidad en lo que a su actividad respecta.

3.11 Las transferencias internacionales (Arts. 44 y ss. RGPD)

Están prohibidas como norma general.

Excepciones:

  • En base a decisión de adecuación
  • Garantías adecuadas
  • Consentimiento explícito del interesado

Países excluidos del EEE: obligación de reconocimiento del nivel de protección por la Comisión

Excepción a la prohibición de transferencia de datos a terceros países sin estándar.

Requisitos:

  • Satisfacer interés legítimo
  • Transferencia no repetitiva
  • Afecta a un número limitado de interesados

3.12 El régimen sancionador (Arts. 83 y ss. RGPD)

Multas hasta 10,000,000 o 2% del volumen de negocio global del último año:

  • Por Vulneración de las obligaciones del responsable y del encargado
  • Vulneración de obligaciones de certificación
  • Vulneración obligaciones de control

Multas hasta 20,000,000 o 4% del volumen de negocio global del último año

  • Vulneración de los principios básicos de tratamiento
  • Vulneración de los derechos de los interesados
  • Transferencia a terceros países
  • Incumplimiento de una resolución

*En caso de concurrencia, se impondrá la más alta.

Si te ha gustado este artículo, también puede interesarte el siguiente:

Evaluación de Impacto sobre la Protección de Datos, ¿Cuándo estoy obligado?

Y, si tienes dudas, contacta con nuestros profesionales expertos a través del buzón que aparece a continuación.