Inicio » Artículos jurídicos » El Reglamento General de Protección de Datos no es una amenaza, sino una oportunidad
El Reglamento General de Protección de Datos no es una amenaza, sino una oportunidad

El Reglamento General de Protección de Datos no es una amenaza, sino una oportunidad

Por Miguel Ortego Ruiz. Abogado y profesor en Derecho. Socio fundador de Medialaw Abogados. CIPP/E

 

En breve: Si somos capaces de mirar a medio o largo plazo, podremos identificar que el Reglamento General de Protección de datos, a punto de cumplir un año de inicio de aplicación en Europa, es una oportunidad de poner orden al mundo digital, y lograr trasladar todos los derechos fundamentales que hasta ahora hemos ido conquistando como sociedad, en concreto el derecho fundamental a la intimidad y privacidad de las personas, al ecosistema online para seguir generando una convivencia pacífica y prosperidad.

En este sentido, el RGPD no pretende ser un stopper, sino una herramienta fundamental para que todos aquellos que traten datos personales (responsables y encargados principalmente) cumplan con la protección de datos en función de sus capacidades y uso efectivo de los datos, evitando imponer la misma carga de obligaciones a situaciones radicalmente diferentes, en la búsqueda de una cultura de cumplimiento generalizado que garantice a todos las personas un nivel de compromiso por parte de aquellas empresas cuyo negocio, eficiencia y explotación económica se basa en los datos personales -las data driven companies-.

Sumario: 

  1. Novedades fundamentales del RGPD y la LOPDGDD
  2. ¿Cuándo y cómo aplicar el RGPD?
  3. Conclusiones

 

NOVEDADES FUNDAMENTALES DEL RGPD Y LA LOPDGDD

 

El 25 de mayo de 2018 comenzó a aplicarse en todos los Estados miembros de la Unión Europea (en adelante, UE) el Reglamento (UE) 2016/679, Reglamento General de Protección de Datos (en adelante, RGPD), y el pasado 7 de diciembre de 2018 hacía lo propio la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD). Desde entonces está en marcha, el conjunto al que podemos denominar la nueva Normativa de Protección de Datos Personales, y regula una cuestión no menor como es el derecho fundamental a la intimidad y privacidad personales. Y todavía está por llegar un Reglamento en materia de cookies (el denominado Reglamento ePrivacy) que sustituya a la actual Directiva ePrivacy1, aunque parece que su entrada en escena se hará esperar.2

A pesar de que los cambios introducidos -por el RGPD fundamentalmente- respecto de la normativa española de protección de datos clásica -la LOPD y su Reglamento de desarrollo- son cuantiosos, y algunos de ellos bastante revolucionarios, muchas cuestiones se han clarificado y simplificado en pro de un sistema más flexible y adaptable a la realidad económica actual, que fundamentalmente se basa en lo digital -y es ahí donde los datos son la piedra angular de todo el sistema-.

El RGPD ha supuesto que desaparezca el rígido y burocrático sistema de comunicación y alta de los ficheros ante la Agencia Española de Protección de Datos (en adelante, AEPD), o el encorsetado procedimiento de niveles y medidas de seguridad de los datos en función de su tipología -de nivel básico, medio y alto-.

La novedad de la nueva Normativa de Protección de Datos Personales busca ser más flexible y adaptativa, ya que aborda el sistema de protección de datos personales de tal forma que los obligados a cumplirla lo puedan hacer en función del caso particular, de los datos, fines y tratamientos que realicen.

La LOPDGDD, por su parte, básicamente se dedica a regular por remisión al articulado del RGPD la mayoría de las cuestiones, como no podía ser de otra manera, dado que el RGPD es de aplicación directa en todos los Estados miembros y no necesita del mecanismo clásico de las Directivas europeas de la transposición al Derecho interno. Pero, además, ha introducido alguna que otra novedad como la regulación del derecho a la protección de datos de los fallecidos, los derechos de rectificación y actualización de informaciones en los medios de comunicación digitales,3 o los inéditos hasta ahora en nuestro Ordenamiento Jurídico “derechos digitales” y sus garantías -un conjunto de desiderata en relación a éstos más que una regulación propiamente dicha, pero por algo se empieza-.

Junto con las clásicas figuras del responsable del tratamiento -aquél que decide cuáles son los fines y medios del tratamiento-, el encargado del tratamiento -aquél que trata los datos por cuenta, encargo, del responsable- y el interesado -cualquier persona física identificada o identificable cuyos datos se tratan-, el RGPD ha introducido una figura que si bien no es inédita, sí que es la primera vez que se incorpora expresamente a la regulación de obligado cumplimiento en Europa: el Delegado de Protección de Datos o Data Protection Officer (en adelante, DPO). El DPO básicamente es un experto en la materia cuya misión es ayudar a los responsables y encargados a cumplir la Normativa de Protección de Datos Personales.

El DPO es voluntario para todos aquellos que quieran contratar uno -pudiendo incluso un mismo DPO actuar como tal para varios responsables y/o encargados- y una figura obligatoria para los responsables en ciertos casos, esto es, (1) cuando el tratamiento de datos lo realice una Autoridad u Organismo Público; (2) cuando se realice un tratamiento a gran escala de los denominados datos sensibles y sobre condenas penales; (3) cuando el tratamiento consista en una observación habitual y sistemática de interesados a gran escala; o (4) si una Ley de un Estado miembro así lo exige.

Otra de las novedades fundamentales del RGPD son las denominadas Evaluaciones de Impacto de Protección de Datos (en adelante, EIPD) y que responden al cambio de enfoque que ha implicado la nueva Normativa de Protección de Datos. En resumidas cuentas, ahora los responsables y encargados deben conocer a ciencia cierta qué datos y qué tratamientos de los mismos realizan, y determinar el riesgo asociado a todo ello, esto es, deben realizar un mapa de riesgos (risks assessment en inglés) sobre el cual se fundamentará toda su política y obligaciones de privacidad y protección de datos.

Las EIPD son voluntarias -aunque muy recomendables en todo caso- y, bajo ciertas circunstancias, el responsable o encargado está obligado a afrontarla de manera obligatoria; esto es: (1) cuando se realice una evaluación sistemática y exhaustiva de los interesados que se base en un tratamiento automatizado que sirva de base para tomar decisiones (lo que en marketing digital se denomina “perfilado” o elaboración de perfiles de usuarios); (2) cuando se realicen tratamientos a gran escala de datos sensibles o sobre condenas penales; (3) cuando se lleve a cabo una observación sistematizada a gran escala de una zona de acceso público; y (4) cuando así lo determine expresamente la AEPD, pudiendo añadir o modificar este listado según lo vaya considerando oportuno.

Por último, y en lo que a este breve repaso general de algunas de las novedades del RGPD respecta, éste ha introducido esencialmente el denominado principio de responsabilidad proactiva o accountability, cuyo fin primordial es que la actitud de los responsables y encargados -y de la sociedad en general- no sea meramente defensiva, generando un cierto rechazo hacia la materia, sino proactiva y basada en la iniciativa por cumplir una Normativa de Protección de Datos que a la postre lo que nos está haciendo es una colectividad más respetuosa para con uno de los pilares del Estado Social y Democrático de Derecho -también a un nivel europeo, de la UE-. En muy poco tiempo, la regulación de protección de datos será tan común y corriente para todos, como lo es hoy en día el sistema tributario o mercantil, por ejemplo, que lo raro será no pensar en las implicaciones que cualquier actividad económica tiene en la privacidad y los datos de los individuos. De hecho, nadie concibe hoy que alguien entre en tu casa sin tener permiso, o te grabe en la intimidad de tu salón sin tu permiso y se lucre con ese contenido, pues son pilares nucleares de nuestra sociedad; ¿por qué nos parece tan raro que queramos regular conductas análogas en el mundo digital, que, lógicamente, conlleva realizar ciertos comportamientos?

Como partes esenciales de la accountability destacan los principios de “privacidad por defecto” y “privacidad en el diseño” y qué pocas palabras consisten en la obligación de todo responsable de valorar -con DPO si es posible- que implicaciones -impacto fundamentalmente- puede tener un nuevo producto o servicio en la privacidad e intimidad de los ciudadanos a los que se dirige; en sus datos personales. Esta evolución, que debe de hacerse desde el punto de vista de los riesgos, debe quedar registrada de alguna forma por si fuera pertinente en algún momento.

Las sanciones administrativas (que no impiden indemnizaciones civiles añadidas) también se han visto modificadas -considerablemente- por el RGPD. Hasta 2018, en España, la sanción máxima, para infracciones muy graves, era de 600.000 €; ahora, con el RGPD, las sanciones llegan hasta los diez millones de euros, o hasta veinte millones de euros (las más graves), sin perjuicio de que las empresas puedan verse involucradas en multas muy superiores a esas cifras. 

El resto del contenido es exclusivo para suscriptores
Inicie sesión si usted ya es suscriptor o  si aún no lo es Suscríbase aquí
Por tan solo 9,9€/mes (IVA no incluido)

Contenidos relacionados

Ver Todos >>

El Constitucional dicta sentencia sobre Lexnet por inducción a error e indefensión

El Constitucional dicta sentencia sobre Lexnet por inducción a error e indefensión

Redacción editorial Manuel Rodríguez Domínguez   Estimado el recurso de amparo presentado por una abogada laboralista, al verse perjudicada por la plataforma Lexnet, causándole indefensión  (art. 24.1 CE) . La abogada en el intento de registro de recurso de casación para la unificación de doctrina, fue considerado como recurso de casación común. El Tribunal Constitucional considera que Lexnet “no es ... Leer Más »

¿Cómo puede el abogado refutar los argumentos adversos?

¿Cómo puede el abogado refutar los argumentos adversos?

Por Oscar León Refutar, palabra procedente del verbo latino refutare, viene a significar rechazar, destruir o desbaratar, definiéndose en nuestro diccionario como contradecir impugnar con argumentos o razones lo que otros dicen. En base a ello, la refutación supone una negación u objeción para, posteriormente, pasar a esgrimir las razones que justifican dicha oposición. Igualmente, puede definirse como un argumento ... Leer Más »

¿Cómo se solicita la triple de la mayor? Estado actual y propuestas de futuro

¿Cómo se solicita la triple de la mayor? Estado actual y propuestas de futuro

Por Puerto Solar Calvo. Jurista de Instituciones Penitenciarias. Doctora en Derecho   En breve: El presente trabajo pretende aportar una visión actual sobre la aplicación del artículo 76 del Código Penal de acuerdo con la jurisprudencia más reciente en la materia. La necesidad de trabajar por el retorno social de los condenados a pena privativa de libertad, promueve que busquemos la ... Leer Más »

Las relaciones laborales en las nuevas plataformas digitales

Las relaciones laborales en las nuevas plataformas digitales

Por Alberto González Gómez. Director GD Legal Laboral.   En breve: Los últimos conflictos laborales con los riders de Glovo y Deliveroo han puesto el foco en un debate que ya se encontraba abierto en el ámbito jurídico. Estamos ante el reto improrrogable de regular los nuevos modos de prestación de servicios en las plataformas digitales para poder encuadrarlos dentro de ... Leer Más »

La exceptio non adimpleti contractus y la exceptio non rite adimpleti contractus

La exceptio non adimpleti contractus y la exceptio non rite adimpleti contractus

Por Javier Tarjuelo Pozo. Abogado asociado de litigación y arbitraje de Pérez-Llorca   En breve: Las excepciones de contrato no cumplido (exceptio non adimpleti contractus) y de contrato no cumplido adecuadamente (exceptio non rite adimpleti contractus) constituyen dos remedios defensivos, creados por la jurisprudencia, a los que puede acudir el deudor de una obligación recíproca, en el marco de un contrato ... Leer Más »

Ver más contenidos en esta categoría >>

Economist & Jurist