Introducción a la protección de datos. Reglamento General de Protección de Datos (RGPD) y LO 3/2018 de 5 de diciembre (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 07/02/2019

El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE), conocido como «Reglamento General de Protección de Datos» o  RGPD, entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena comenzó el 25 de mayo de 2018.

Por su parte, el 7 de diciembre de 2018 entró en vigor la normativa que transpone al derecho español dicho reglamento y que amplía algunas de las lagunas o preceptos indeterminados, en concreto la denominada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, también denominada LOPDGDD.

REGLAMENTO GENERAL DE PROTECCION DE DATOS

El nuevo RGPD nació con un triple objeto:

  • establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
  • proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
  • pretende que la libre circulación de los datos personales en la Unión no pueda ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

En relación con su ámbito de aplicación, se establecen dos distinciones:

- Ámbito de aplicación material (artículo 2) . El Reglamento se aplicará al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Por el contrario, no se aplica al tratamiento de datos personales:

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

b)por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

d)por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

- Ámbito territorial (artículo 3). Como matiza el art. 3 del Reglamento se aplica ?al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. Adquiriendo especial relevancia el punto 3 del citado artículo al matizar la aplicación: "al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público." Es decir, el Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable al tratamiento de datos fuera de la Unión.

* Principales novedades del RGPD

La extensa regulación del Reglamento presentará novedades en aspectos como:

  1. Los principios aplicables al tratamiento de datos y condiciones para el consentimiento.
  2. La regulación del denominado «derecho al olvido» o derecho de supresión de los datos personales. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias citada en el artículo 17.
  3. Derecho a la portabilidad de los datos. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando se den las circunstancias citadas en el artículo 20.
  4. Responsabilidad del responsable del tratamiento. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
  5. Registro de las actividades de tratamiento. Cada responsable o encargado del tratamiento de datos (o su representante) realizarán un registro que deberá contener toda la información indicada en el artículo 30.
  6. Notificación de una violación de la seguridad de los datos personales a la autoridad de control. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
  7. Evaluación de impacto relativa a la protección de datos. El responsable del tratamiento de los datos realizará (en particular si utiliza nuevas tecnologías), antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
  8. Consulta previa a la autoridad de control en caso de identificarse riesgos en el tratamiento. El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.
  9. Regulación de las transferencias internacionales de datos. Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado (artículos 45 a 47)
  10. Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas (artículos 60 a 67)
 LEY ORGANICA DE PROTECCION DE DATOS Y GARANTÍA DE LOS DERECHOS DIGITALES

Esta nueva Ley Orgánica consta de 97 artículos estructurados en diez títulos, 22 disposiciones adicionales, 6 disposiciones transitorias, 1 disposición derogatoria y 16 disposiciones finales.

La LOPDGDDderoga en su totalidad a la tan conocida LOPD 15/1999, no obstante, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal se mantiene en tanto no se oponga o resulte incompatible con el RGPD y la presente LOPDGDD. Esta nueva LO aporta algo de luz al marco normativo de la protección de datos personales si bien, siguen quedando lagunas que previsiblemente se disiparán con el desarrollo reglamentario de la ley en el futuro.

Básicamente, además de transponer la directiva europea, añade una serie de novedades destacables tales como:

  1. Protección de datos de las personas fallecidas (artículo 3) -> contempla que las personas vinculadas al fallecido por razones familiares o de hecho, herederos, así como las personas o instituciones que el fallecido hubiese designado al efecto,  podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión. No podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. También se contemplan las especialidades en el caso de fallecimiento de menores y de personas con discapacidad. A su lado y como uno de los derechos digitales en el  art. 96, el “Derecho al testamento digital”.
  2. Tratamiento de datos por obligacion legal, interés público o ejercicio de poderes públicos (artículo 8) -> aclara que podrá considerarse fundado el cumplimiento de una obligación legal exigible al responsable cuando lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo, así como las cesiones que procedan. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras.
  3. Reconocimiento del Delegado de Protección de Datos como órgano intermedio de control (artículo 37) -> se permite que el afectado, cuando se hubiese nombrar un DPD, con carácter previo a la presentación de una reclamación, se dirija con el Delegado de la entidad contra la que reclame, que deberá comunicar su decisión en el plazo máximo de 2 meses desde la recepción de la reclamación.
  4. Obligación de nombramiento del DPD -> se incorpora un extenso listado de entidades obligadas a nombrar un Delegado de Protección de Datos y se estipula el plazo máximo de 10 días para su comunicación a la AEPD desde su nombramiento.
  5. Derecho de acceso (artículo 13) -> plantea la posiblidad de que se cree una aplicación o módulo en el que el interesado pueda acceder a sus datos de forma remota, directa segura y fácil.
  6. Información por capas (artículo 11) -> se regula la posiblidad de su uso para facilitar la información a los interesados en cualquier situación en la que sea conveniente, y no solo, como ya se venía realizando, en las cookies o en la información de videovigilancia. Además se reduce el contenido mínimo de la primera capa.
  7. Consentimiento de menores -> se establece en 14 años la edad necesaria para prestar el consentimiento para el tratamiento de los datos. No obstante, podrán tratarse los datos de menores de 14 años en tanto se cuente con el consentimiento por parte del titular de la patria potestad.
    Además se refuerza la protección del menor garantizando la seguridad de los menores frente a internet y promoviendo la lucha contra la discriminación y la violencia ejercida sobre estos mediante el uso o abuso de las nuevas tecnologías.
  8. Denuncias anónimas -> las empresas podrán establecer canales internos y anónimos para que los empleados y terceros puedan efectuar denuncias con respecto a esta materia, aplicando además importantes medidas de confidencialidad.
  9. Bloqueo de datos (artículo 32) -> se introduce como una nueva obligación cuando un interesado ejercite el derecho de rectificación o supresión. Se deberán bloquear los datos, identificándolos e impidiendo su tratamiento, inclusive su visualización, mientras no se haya resuelto la solicitud del referido ejercicio de derechos. Los datos tratados no podrán ser tratados para ninguna finalidad distinta. Cuando la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos
  10. Evaluación de impacto (artículo 28)-> facilita una serie de supuestos concretos en los que sería necesario realizar una EIPD al ser tratamientos que implican un alto riesgo para los derechos y libertades de los ciudadanos.
  11. Videovigilancia y grabación de audio en el ámbito laboral -> se precisan los límites y cómo y cuando se debe informar a los empleados de esta circunstancia. Se podrá realizar siempre que la finalidad sea preservar la seguridad de las personas y bienes e instalaciones o control laboral. Las imágenes deberán suprimirse a los 30 días, salvo si se cometen actos contra la seguridad. En este caso, las grabaciones deberán ser puestas a disposición de las fuerzas de seguridad antes de las 72 horas desde el suceso. En caso de la videovigilancia de empleados, éstos siempre deberán tener información previa, expresa, clara y concisa. 
  12. Sobre la licitud -> se recogen una serie de supuestos concretos en los que se considería lícito el tratamiento sin necesidad de haber obtenido el consentimiento del interesado por ejemplo porque exista un interés público para su tratamiento.
  13. Desarrolla el régimen sancionador y el catálogo de sanciones, diferenciando entre leves, graves y muy graves, así como los plazos de prescripción y los supuestos de suspensión.
  14. Se amplían las exigencias y condiciones exigidas para el tratamiento de deteminadas categorías de datos especiales -> se limita la validez del consentimiento
  15. Competencia desleal en materia de protección de datos -> la Disposición Adicional decimosexta define el concepto de prácticas agresivas por parte de consultoras.
  16. Introduce un nuevo título referente a los Derechos Digitales -> La nueva LOPDGDD desarrolla el artículo 18.4 de la Constitución Española, en cuanto a garantizar el uso de la informática para garantizar el derecho al honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, entre los que destacan el testamento digital y el derecho a la desconexión digital del empleado, desarrollando tambien la protección de su intimidad en el ámbito laboral.

A grosso modo las arriba mencionadas serías las novedades más significativas de la nueva normativa española, si bien, no podemos dejar de tener presente que en sus Disposiciones Finales se introducen modificaciones relevantes en otras normas (tales como LOPJ, LEC, ET, LOREG, LPAC, TTBG, LGS, etc).



A contiunación, iremos analizando todos estos aspectos, tanto en cuanto al RGPD como a la LOPDGDD, en los diversos temas de esta materia.

No hay versiones para este comentario

Datos personales
Protección de datos
Tratamiento de datos personales
Persona física
Responsable del tratamiento
Autoridad de control de datos
Supresión de datos personales
Dilaciones indebidas
Encargado del tratamiento
Violación de la seguridad de los datos personales
Actividades de tratamiento de datos
Tratamiento manual de datos
Amenazas
Ejecución de las sanciones
Portabilidad de datos personales
Derecho al olvido
Delegado de protección
Interés publico
Transferencia de datos personales
Autoridad de control principal
Autoridad de control interesada
Discapacidad
Acceso a datos personales
Testamento
Menor de catorce años
Grabación
Poderes públicos
Violencia
Plazo de prescripción
Consentimiento del interesado
Patria potestad
Evaluación de impacto en protección de datos
Categorías de datos personales
Derecho al honor
Prácticas agresivas

Ley 1/2000 de 7 de Ene (Enjuiciamiento civil) VIGENTE

Boletín: Boletín Oficial del Estado Número: 7 Fecha de Publicación: 08/01/2000 Fecha de entrada en vigor: 08/01/2001 Órgano Emisor: Jefatura Del Estado

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

RDLeg. 2/2015 de 23 de Oct (Estatuto de los Trabajadores) VIGENTE

Boletín: Boletín Oficial del Estado Número: 255 Fecha de Publicación: 24/10/2015 Fecha de entrada en vigor: 13/11/2015 Órgano Emisor: Ministerio De Empleo Y Seguridad Social

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Real Decreto 1720/2007 de 21 de Dic (Reglamento de desarrollo de la LO 15/1999, de proteccion de datos de caracter personal) VIGENTE

Boletín: Boletín Oficial del Estado Número: 17 Fecha de Publicación: 19/01/2008 Fecha de entrada en vigor: 19/04/2008 Órgano Emisor: Ministerio De Justicia

Ley 30/1992 de 26 de Nov (Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común) DEROGADO

Boletín: Boletín Oficial del Estado Número: 285 Fecha de Publicación: 27/11/1992 Fecha de entrada en vigor: 27/02/1993 Órgano Emisor: Jefatura Del Estado

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

  • Tratamiento de datos con fines de videovigilancia

    Orden: Administrativo Fecha última revisión: 12/02/2019

    En el caso de la videovigilancia, la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.El tratamiento con fines de videovigilancia se encuentra regulado en la LOPD...

  • Objeto y ámbito de aplicación del RGPD y de la LOPDGDD

    Orden: Administrativo Fecha última revisión: 07/02/2019

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento General de Protección de Datos (en adelante RGPD),  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros, que actualmente s...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados