Blog

RGPD ¡Tómatelo en serio!

9 julio, 2018

RGPD – Normas de Protección de Datos

A partir del 25 de mayo de 2018, con la entrada en vigor del Reglamento general de protección de datos, hay un único conjunto de normas de protección de datos para todas las empresas que operan en la Unión Europea (UE), con independencia de dónde tengan su sede.

Las normas más estrictas en materia de protección de datos implican que:

  • las personas tienen más control sobre sus datos personales,
  • las empresas se benefician de igualdad de condiciones.

Derechos de los interesados

El Reglamento enumera los derechos de los interesados, que son las personas cuyos datos se someten a tratamiento. Estos derechos reforzados dan a las personas un mayor control sobre sus datos personales, en particular gracias a:

  • la necesidad de un consentimiento claro de la persona respecto del tratamiento de sus datos personales
  • un acceso más fácil del interesado a sus datos personales
  • los derechos de rectificación, supresión y «al olvido»
  • el derecho de oponerse incluso al uso de datos personales a efectos de elaboración de perfiles
  • el derecho a la portabilidad de los datos de un prestador de servicios a otro

También se establece la obligación de los responsables (a quienes corresponde el tratamiento de los datos) de ofrecer información transparente y de fácil acceso a los interesados sobre el tratamiento de sus datos.

Cumplimiento

El Reglamento especifica las obligaciones generales de los responsables y de quienes tratan los datos personales en su nombre (encargados del tratamiento). Entre esas obligaciones se cuenta la de aplicar medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos que realicen (método basado en el riesgo). Los responsables deberán también en ciertos casos notificar las violaciones de datos personales. Todas las autoridades públicas y las empresas que lleven a cabo determinadas operaciones arriesgadas de tratamiento de datos deberán también nombrar un delegado de protección de datos.

Seguimiento e indemnización

El Reglamento confirma la obligación existente para los Estados miembros de crear una autoridad de control independiente a nivel nacional. También pretende establecer mecanismos para lograr una aplicación coherente de la legislación sobre protección de datos en toda la UE. En particular, en los casos transfronterizos importantes en que estén implicadas varias autoridades nacionales de control, se adoptará una única decisión de control. Este principio, conocido como de ventanilla única, significa que una empresa con filiales en varios Estados miembros solo tendrá que tratar con la autoridad de protección de datos del Estado miembro de su establecimiento principal.

El acuerdo comprende la creación de un Comité Europeo de Protección de Datos. Este Comité estará formado por los representantes de cada una de las 28 autoridades de control independientes y sustituirá al actual Comité del artículo 29.

El Reglamento reconoce el derecho de los interesados a presentar una reclamación a la autoridad de control, así como su derecho al recurso judicial, la indemnización y la responsabilidad. Para garantizar la proximidad de los particulares en relación con las decisiones que les afecten, los interesados tendrán derecho a que uno de sus órganos jurisdiccionales nacionales revise la decisión de su autoridad de protección de datos. Esto será independiente del Estado miembro en que esté establecido el responsable del tratamiento de que se trate.

Dispone sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos. Los responsables del tratamiento podrían ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual. Las autoridades nacionales de protección de datos serán las que impongan estas sanciones administrativas.

Transferencias a terceros países

El Reglamento también abarca la transferencia de datos personales a terceros países u organizaciones internacionales. Con este fin, encomienda a la Comisión la evaluación del nivel de protección que ofrece un territorio o un sector de tratamiento en un tercer país. Cuando la Comisión no haya adoptado una decisión sobre el carácter adecuado de la protección en un territorio o sector, la transferencia de datos personales se puede seguir realizando en casos especiales o cuando existan garantías apropiadas (cláusulas tipo de protección de datos, normas corporativas vinculantes o cláusulas contractuales).