Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).

TIEMPO DE LECTURA:

  • Orden: Laboral
  • Fecha última revisión: 12/01/2017
  • Origen: Iberley

PLANTEAMIENTO

El Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal garantiza a las personas el poder de control sobre sus datos personales.

Análisis del contenido y novedades del Reglamento UE 2016/679, de 27 de abril de 2016

ANÁLISIS

El vigente Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, junto con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, configurarán desde el 25 de mayo de 2018 el nuevo marco europeo de protección de datos.

El nuevo Reglamento nace con un triple objeto:

- establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

- proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

- pretende que la libre circulación de los datos personales en la Unión no pueda ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

En relación con su ámbito de aplicación, se establecen dos distinciones:

Ámbito de aplicación material

El Reglamento se aplicará al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Por el contrario, no se aplica al tratamiento de datos personales:

  • a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
  • b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
  • c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
  • d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

Ámbito territorial

Como matiza el art. 3 del Reglamento se aplica “al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.” Adquiriendo especial relevancia el punto 3 del citado artículo al matizar la aplicación: “al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.” Es decir, el Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable al tratamiento de datos fuera de la Unión.

Principios rectores

La nueva norma se basa en los siguientes principios desarrollados en su capítulo II

  • Principios relativos al tratamiento. El responsable del tratamiento de los datos será responsable del cumplimiento y capaz de demostrarlo («responsabilidad proactiva»).
  • Licitud del tratamiento. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones especificadas en el apdo. 1, del art. 6.
  • Condiciones para el consentimiento. Cuando el tratamiento se base en el consentimiento se regulan las condiciones y características del mismo. En este apartado aparecen las «Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información»
  • Tratamiento de categorías especiales de datos personales. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física. Esto no será de aplicación cuando concurra una de las circunstancias del apartado 2, art. 9.
  • Tratamiento de datos personales relativos a condenas e infracciones penales. El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.
  • Tratamiento que no requiere identificación. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el Reglamento.

Fin de los derechos ARCO y llegada de transparencia, información, acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad de datos y oposición.

Los conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son el conjunto de derechos por los que actualmente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, garantiza a las personas el control sobre sus datos personales. No obstante, con la llegada en 2018 del nuevo Reglamento Europeo, nacerán nuevos derechos superpuestos a los existentes en la LOPD:

  • Derecho de acceso del interesado (Art. 15)
  • Derecho de rectificación (Art. 16)
  • Derecho de supresión («el derecho al olvido») (Art. 17)
  • Derecho a la limitación del tratamiento (Art. 15)
  • Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento (Art. 19)
  • Derecho a la portabilidad de los datos (Art. 20)
  • Derecho de oposición (Art. 21)
  • Derecho a presentar una reclamación ante una autoridad de control (Art. 77)
  • Derecho a la tutela judicial efectiva contra una autoridad de control (Art. 78)
  • Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento (Art. 79)
  • Representación de los interesados (Art. 80)
  • Suspensión de los procedimientos (Art. 81)
    Derecho a indemnización y responsabilidad (Art. 82)

¿Cuáles serán las novedades que incorporará el Reglamento?

La extensa regulación del Reglamento presentará novedades en aspectos como:

- Los ya citados principios aplicables al tratamiento de datos y Condiciones para el consentimiento.

- La regulación del denominado «derecho al olvido» o  derecho de supresión de los datos personales. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias citada en el Art. 17.

- Derecho a la portabilidad de los datos. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando se den las circunstancias citadas en el Art. 20.

- Responsabilidad del responsable del tratamiento. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

- Registro de las actividades de tratamiento. Cada responsable o encargado del tratamiento de datos (o su representante) realizarán un registro que deberá contener toda la información indicada en el art. 30

- Notificación de una violación de la seguridad de los datos personales a la autoridad de control. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

- Evaluación de impacto relativa a la protección de datos. El responsable del tratamiento de los datos realizará (en particular si utiliza nuevas tecnologías), antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

- Consulta previa a la autoridad de control en caso de identificarse riesgos en el tratamiento.  El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

- Regulación de las transferencias internacionales de datos. Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado (arts. 45-47).

- Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas (arts. 60 a 67).

Una nueva figura: el Delegado de protección de datos

Los arts. 37-39, crean una nueva figura, el Delegado de protección de datos, de esta forma a partir de 2018, El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

  • a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  • c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Este delegado tendrá como mínimo las siguientes funciones:

  • a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  • d) cooperar con la autoridad de control;
  • e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

BASE JURÍDICA

- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

- Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Datos personales
Tratamiento de datos personales
Persona física
Protección de datos
Responsable del tratamiento
Autoridad de control de datos
Supresión de datos personales
Derecho al olvido
Ejecución de las sanciones
ARCO
Portabilidad de datos personales
Limitación del tratamiento de datos
Datos personales relativos a condenas e infracciones penales
Dilaciones indebidas
Encargado del tratamiento
Tratamiento manual de datos
Derecho a la tutela judicial efectiva
Actividades de tratamiento de datos
Amenazas
Transferencia de datos personales
Afiliación sindical
Medidas de seguridad
Tratamiento de categorías especiales
Datos genéticos
Datos sobre la salud
Datos biométricos
Violación de la seguridad de los datos personales
Delegado de protección
Responsabilidad del responsable del tratamiento
Derecho a indemnización
Evaluación de impacto en protección de datos
Registro de las actividades de tratamiento
Categorías especiales de datos
Organismos públicos
Autoridad de control principal
Autoridad de control interesada
Documentos relacionados
Ver más documentos relacionados
  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Tratamiento de datos con fines de videovigilancia

    Orden: Administrativo Fecha última revisión: 12/02/2019

    En el caso de la videovigilancia, la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.El tratamiento con fines de videovigilancia se encuentra regulado en la LOPD...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados