En este artículo se presenta en alto nivel el Reglamento General de Protección de Datos en España (RGPD, o GDPR, por sus siglas en inglés, General Data Protection Regulation). A continuación se citan dos elementos de carácter general que constituyen la mayor innovación del RGPD para las organizaciones, proyectándose sobre todas las obligaciones de las mismas: el principio de responsabilidad proactiva y el enfoque al riesgo para los derechos y libertades de las personas cuyos datos son tratados.
EL RGPD EN ESPAÑA
En España y, en general, en la Unión Europea (UE), el Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016; siendo aplicable desde el 25 de mayo de 2018.
El gobierno español presentó ante el Congreso de Diputados el proyecto en noviembre de 2017, manifestando una tramitación parlamentaria más demorada de lo deseado, sin contar a estas alturas con una ley de adaptación al nuevo marco jurídico europeo; para el 25 de mayo de 2018 solo Alemania, Austria y Reino Unido tenían aprobadas sus respectivas leyes.
Algunas cuestiones necesitaban ser reguladas para hacer efectiva la protección de datos y, en particular, la actividad de supervisión y control (como venía manifestando la Agencia Española de Protección de Datos), que con su Directora Mar España al frente, llevó a cabo una labor ímproba y ejemplar para facilitar al máximo el tránsito al nuevo modelo de privacidad que el reglamento trae consigo, el cual se basa en la responsabilidad proactiva y el enfoque al riesgo de quienes manejan datos personales.
Para agilizar la situación y mientras no se apruebe la nueva Ley Orgánica, el Gobierno ha aprobado el Real Decreto Ley 5/2018, publicado en el BOE del 30 de julio de 2018. La norma no regula el contenido esencial del derecho a la protección de datos porque no puede hacerlo, pero sí regula cuestiones relevantes como la inspección en materia de protección de datos, el régimen sancionador y los procedimientos en caso de una posible vulneración de la normativa sobre protección de datos. Además, atribuye a la Agencia Española de Protección de Datos la representación ante el Comité Europeo de Protección de Datos, regulando la publicación de las resoluciones de la Agencia y el régimen transitorio, tanto de procedimientos como de la adecuación de contratos de encargo del tratamiento.
Las modificaciones que trae consigo en el ámbito de procedimientos y sanciones es capital, los primeros pueden internacionalizarse en el ámbito de la Unión Europea (procedimientos transfronterizos) y las segundas se incrementan notablemente (hasta 20 millones de euros), por lo que era imprescindible regular la actividad investigadora, la tramitación de procedimientos de reclamación, la prescripción de infracciones y sanciones, la colaboración con las autoridades de protección de datos del resto de los países de la Unión Europea y la determinación del alcance territorial (nacional o europeo) de los procedimientos. En resumen, el Real Decreto Ley 5/2018 es esencial para la plena aplicabilidad del nuevo marco europeo de protección de datos, ahora sólo falta que la nueva ley se apruebe cuanto antes.
En esta regulación el legislador decidió utilizar la figura del Reglamento, dada la dispar transposición por parte de cada Estado Miembro a la Directiva 95/46 (en España supuso el desarrollo de la Ley 15/99 el 13 de diciembre, de protección de datos de carácter personal y el RD 1720/2007 el 21 de diciembre), disparidad que generaba inseguridad jurídica, además de la percepción generalizada de la existencia de riesgos en la protección de las personas físicas, especialmente en lo relacionado al tráfico de datos de carácter personal a través de Internet. Así fue como se apostó por una regulación que pudiera ser directamente aplicable a todos los Estados Miembros, dejando así un escaso margen a la regulación a nivel nacional.
El RGPD es pues una norma directamente aplicable a todos los Estados Miembros, con la misma categorización que las leyes emanadas de los parlamentos nacionales, no requiriendo de normas internas de transposición, ni de normas de desarrollo o aplicación (en la mayoría de los casos), surtiendo efecto pleno sin necesidad de que se dicten normas nacionales. Cabe señalar que un reglamento europeo relega la aplicación de cualquier norma nacional que contraponga lo dispuesto en él.
Por ello, los responsables deben asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46. No obstante, la futura ley que sustituirá a la actual Ley Orgánica de Protección de Datos en España, LOPD, Ley 15/99, del 13 de diciembre, sí podrá incluir algunas precisiones o desarrollos en materias que permite el RGPD; mismo que señala expresamente qué determinados puntos sean decididos de forma definitiva por los Estados Miembros, siendo la razón de que tenga que existir también una nueva ley nacional de protección de datos en cada uno de los Estados Miembros. *Lo que aplica es el RGPD y, completando el esquema, la ley nacional.
El RGPD contiene obligaciones que deben ser analizadas y aplicadas por cada organización, tomando en cuenta sus propias circunstancias. Estas obligaciones se cumplirán, porque el respeto de un derecho fundamental como la protección de datos personales es un valor en sí mismo, además de evitar sanciones económicas o bien porque el daño reputacional de no hacerlo es inasumible. En este sentido, dos elementos de carácter general constituyen la mayor innovación del RGPD para los responsables y se proyectan sobre todas las obligaciones de las organizaciones: el principio de responsabilidad proactiva y el enfoque de riesgo para los derechos y libertades de las personas cuyos datos son tratados.
Principio de la responsabilidad proactiva
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas, con el fin de garantizar y poder demostrar que el tratamiento es conforme al RGPD.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo (Registro de Actividades de Tratamiento, RAT). A partir de este conocimiento, deben describir la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que son las adecuadas para cumplir con el mismo y que pueden demostrarlo ante los interesados y las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo (Registro de Actividades de Tratamiento, RAT).
Enfoque de riesgo para los derechos y libertades de las personas
El RGPD señala que las medidas dirigidas para garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
Por lo tanto, la aplicación de las medidas previstas por el RGPD debe adaptarse a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado. *No es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.
CUMPLIR CON EL RGPD | DELEGADO DE PROTECCIÓN DE DATOS
Cumplir con el Reglamento General de Protección de Datos de la Unión Europea no es sencillo y conlleva costes. En algunos casos implica la obligación de designar a un Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés: Data Protection Officer).
El DPD es un profesional que cuenta con la experiencia y formación que exige el Esquema de Certificación de la Agencia Española de Protección de Datos (AEPD), cuya función consiste en coordinar y controlar el cumplimiento del RGPD en las organizaciones.
¿Deseas conocer la información completa?
Descarga el artículo técnico y conoce cada detalle de este Reglamento.