El 25 de mayo de 2018 entró en vigor la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD). A efectos prácticos, supuso una adaptación del Reglamento Europeo de Protección de Datos, e incluyó novedades, entre las que destacó la incorporación de un nuevo título exclusivamente dedicado a los derechos digitales (Internet, educación digital o el derecho a la seguridad de las comunicaciones, entre otros aspectos)
Estos son los principales puntos de una ley que afecta tanto a instituciones públicas como empresas privadas:
- Perspectiva: ¿Qué es el RGPD?
- Objetivos del RGPD
- Mayor seguridad y sanciones directas del RGPD
- Nuevos derechos
- Figuras internas del RGPD
Perspectiva: ¿Qué es el RGPD?
El Reglamento General de Protección de Datos (RGPD), también conocido por su sigla en inglés GDPR (General Data Protection Regulation) es la legislación vigente en materia de protección de datos a nivel europeo que deben cumplir, desde el pasado 25 de mayo de 2018.
El RGPD, en marcha desde mayo de 2018, deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.
En España, esta Directiva fue adaptada por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y posteriormente el Real Decreto 1720/2007, de 21 de diciembre, desarrolló mandatos adicionales para precisar algunos de sus principios.
Objetivos del RGPD
El objetivo principal de la ley de Protección de Datos y Garantía de los Derechos Digitales es mejorar el nivel de protección de datos de las personas físicas. Para ello, en la redacción de la ley se puso énfasis en:
- Informar mejor de lo que ocurre con los datos personales una vez se comparten.
- Facilitar la comprensión de las políticas de privacidad mediante iconos normalizados y un lenguaje claro y sencillo.
- Reformular los diferentes derechos para mejorar su acceso, especialmente en el caso de menores.
- Aumentar los derechos sobre los datos personales incorporando el de portabilidad entre proveedores de servicios.
- Salvaguardar el tratamiento realizado con fines de archivo para investigación o interés estadístico.
Mayor seguridad y sanciones directas del RGPD
El Reglamento vigente establece nuevas medidas de seguridad, la obligación de designar a un responsable de la protección de datos para garantizar el cumplimiento de la normativa en determinadas organizaciones, y sanciones en caso de incumplimiento.
Qué cambia con la normativa
El Reglamento General de Protección de Datos introdujo importantes novedades respecto al régimen actual y nuevas obligaciones, siendo estas más estrictas cuanto mayor sea el riesgo para los datos personales. En este sentido, las multas previstas por el RGPD son mucho mayores que por la LOPD. Los interesados podrán reclamar ante una autoridad de control cuando no se cumplan las normas de protección de datos y las sanciones a las que se enfrentan los responsables del tratamiento pueden ser de hasta:
- 10 millones de euros o el 2% del volumen de negocio total anual del ejercicio financiero anterior cuando se trate de una empresa.
- 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior cuando se trate de una empresa.
- En determinadas circunstancias, también pueden interponer un recurso las organizaciones de protección de datos.
Nuevos derechos del RGPD
La ley ha supuesto una ampliación directa de los derechos básicos que se implementaron en la Directiva 95/46/CE (acceso, rectificación, cancelación y oposición) con los siguientes aspectos a tener en cuenta:
- Derecho a la supresión o al olvido: puede solicitarse cuando se hayan recabado datos para un fin no autorizado, se traten ilícitamente o se retire el consentimiento. Debe aplicarse de tal forma que se supriman enlaces, copias o réplicas de tales datos.
- Derecho a la limitación del tratamiento: puede solicitarse cuando se traten ilícitamente o ya no se necesiten, y debe constar claramente en el sistema como tratamiento limitado.
- Derecho a la portabilidad de los datos: puede solicitarse un archivo en formato estructurado para transmitirlo a otra empresa o país.
- Derecho a ser informado de posibles violaciones en los datos personales, no más tarde de 72 horas después de haber constatado el problema de seguridad.
- El consentimiento: aspecto esencial del nuevo reglamento. El RGPD estipula que el consentimiento debe darse de forma inequívoca, informada y explícita por parte del interesado para cada una de las actividades de tratamiento. Si hubiese más de un fin para los datos, deberá solicitarse para cada uno de ellos.
No son válidas aceptaciones tácitas como ocurría hasta ahora en la LOPD con casillas ya marcadas: el interesado debe realizar por tanto una acción afirmativa para dar consentimiento.
Además, el interesado puede retirar el consentimiento en cualquier momento y debe poder hacerlo con la misma facilidad que para darlo.