Novedades del Reglamento General de Protección de Datos (RGPD)

El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD), que es de aplicación obligatoria para todos los países miembros de la Unión Europea. En España, la LOPD se ha modificado de forma sustanciosa para que dicho reglamento sea perfectamente aplicable sin interferencias. Son muchas las novedades que se plantean a través de esta norma. Hoy vamos a tratar por encima las cuestiones más importantes.

Reglamento General de Protección de Datos en la UE

1. ¿Quién debe cumplir el RGPD?

Además de todos los países miembros de la Unión Europea, los responsables de tratamiento que no se encuentren físicamente en la UE también tienen la obligatoriedad de acogerse al reglamento, siempre que el tratamiento de los datos personales afecte a personas que viven en el UE.

2. Modificaciones respecto a la LOPD

Son muchos los cambios del Reglamento General de Protección de Datos respecto a la antigua LOPD. No obstante, aquellas empresas que ya estuvieran cumpliendo la normativa española tendrán más facilidades para acogerse al RGPD. Los dos cambios más sustanciales son los siguientes:

• Responsabilidad proactiva: se establece la figura del responsable del tratamiento, que tendrá unas obligaciones inherentes al cargo. Este responsable deberá llevar a cabo tantas medidas como sean necesarias para garantizar el cumplimiento del Reglamento en cuestión.
• Enfoque de riesgo: todas las medidas que se lleven a cabo deben tener en cuenta el riesgo de su tratamiento. De hecho, en muchos casos, estas medidas solo deberán aplicarse cuando exista un riesgo claro ante los derechos de las personas. Por lo tanto, el RGPD se tiene que adaptar en función de las características propias de cada empresa, organización, asociación o negocio. Las medidas a adoptar no serán las mismas en grandes organizaciones que en pequeñas empresas, ya que el riesgo para las libertades y los derechos no es igual.

3. Datos de alto riesgo

Los datos de alto riesgo que se incluyen en la antigua LOPD se denominan ahora “categorías especiales de datos”. Además de los que ya recogía la normativa española de 1999, hay que sumar dos nuevos tipos de información de carácter especial:

• Datos biométricos.
• Datos genéticos: normalmente recogidos a través de muestras biológicas.

4. Consentimiento ante el tratamiento

La forma de obtener el consentimiento tácito que preveía la LOPD ya no sirve. El Reglamento General de Protección de Datos establece que el consentimiento ante el tratamiento de los datos ha de ser inequívoco y claro (mediante acción afirmativa). Esto elimina el consentimiento por omisión de la ecuación. Sin duda esta es una de las principales novedades del RGPD.

Además, aparece el consentimiento explícito. Este tipo de consentimientos debe otorgarse en varios casos: cuando se trata de categorías especiales de datos (antes alto riesgo), cuando las decisiones son automatizadas y en las transferencias internacionales de datos.

En cuanto a los menores, los países miembros de la Unión Europea tienen la opción de rebajar la edad de consentimiento válido de los 16 a los 13 años.

5. Nuevos derechos

Con el nuevo Reglamento General de Protección de Datos se establecen algunos derechos para los usuarios, que no se recogían de forma explícita en las anteriores normativas. De esta forma, los conocidos como Derechos ARCO desaparecen.

• Derecho al olvido: este nuevo derecho es uno de los que más ha dado que hablar en los últimos años. Se trata de la posibilidad de solicitar que se supriman los datos de alguien, siempre y cuando estos ya no sean aptos para la finalidad de su recogida. No obstante, el derecho al olvido tiene algunas excepciones, como el derecho a la libertad de expresión e información, entre otras.
• Derecho a la limitación del tratamiento: el interesado puede solicitar que no se tengan en cuenta sus datos en algunos casos. Por ejemplo, cuando se han ejercido los derechos de rectificación u oposición o cuando el tratamiento de los datos personales se considera ilícito.
• Derecho a la portabilidad: se trata de una visión renovada del antiguo derecho de acceso. Cualquier persona tiene el derecho de recibir debidamente aquellos datos que le afecten.

6. Notificación de ficheros

Con el Reglamento General de Protección de Datos desaparece la obligatoriedad de notificar y suscribir los diferentes ficheros. Este era uno de los pasos más importantes que exigía la LOPD. Así que ya no será necesario que ninguna empresa notifique sus ficheros al Registro de Protección de Datos.

7. Encargado de Tratamiento

La figura del encargado de tratamiento de datos se posiciona en el RGPD como el máximo responsable de los datos de cada entidad. Esta persona debe de tener un contrato claro y específico, en el que se detalle debidamente su objetivo, duración y todas las cláusulas necesarias que garanticen el mejor tratamiento de los datos personales.

Los encargados de tratamiento pueden estar adheridos a los códigos de conducta establecidos por las entidades. Una de las principales funciones del encargado de tratamiento es realizar una correcta evaluación de impacto antes de proceder a tratar con los datos.

8. Delegado de protección de datos

La figura del delegado de protección de datos depende del responsable de tratamiento. No todas las empresas u organizaciones están obligados a contar con un delegado. Su función es la de actuar a modo de enlace entre los trabajadores y el responsable del tratamiento de datos. Además, debe de comprobar que la RGPD se cumple debidamente.

9. Medidas de seguridad aplicables

El Reglamento General de Protección de Datos elimina las medidas de seguridad que establecía la LOPD. Ahora, a través del análisis de riesgo se deben evaluar e implantar las medidas de seguridad necesarias en cada caso y situación particular.