// RGPD

Reglamento General de Protección de Datos

El RGPD proporciona protección a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. ¿Realmente lo estás cumpliendo?

Índice de contenidos

¿Qué es el RGDP?

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, más conocido como RGPD, es el escenario normativo en materia de protección de datos, de aplicación directa para todos los Estados miembros de la Unión Europea (UE) desde el 25 de mayo de 2018, lo que conlleva la necesidad de adoptar decisiones organizativas y técnicas para propiciar su cumplimiento, tanto en el sector público como en el privado.

A diferencia de la anterior Directiva 95/46/CE no necesita ser transpuesta al ordenamiento jurídico español. No obstante, el RGPD permite que los Estados miembros incorporen al derecho nacional previsiones contenidas específicamente en el RGPD, en la medida en que sea necesario por razones de coherencia y comprensión para sus destinatarios. 

Es por ello que en España se aprobó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) que ha sustituido casi en su totalidad, puesto que aún mantiene en parte su vigor, a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

 

¿Qué regula el RGDP?

El RGPD supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la normativa. El RGPD proporciona protección a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales.

El RGPD no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas.

El RGPD refuerza la seguridad jurídica y transparencia a la vez que permite garantizar un nivel uniforme y elevado de protección de las personas físicas. Esto implica que debe garantizarse en toda la UE que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas, en relación con el tratamiento de datos personales, sea coherente y homogénea.

La protección efectiva de los datos personales exige que se refuercen y especifiquen los derechos de las personas físicas y las obligaciones de quienes tratan y determinan el tratamiento de los datos personales, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos personales y las infracciones se castiguen con sanciones equivalentes.

Que regula el RGPD

¿Quién debe cumplir con este Reglamento?

¿Qué consecuencias tiene no cumplir con el Reglamento?

Deben cumplir con las obligaciones impuestas por el RGPD los responsables (persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determinan los fines y medios del tratamiento de datos personales) y/o los encargados de tratamiento (persona física o jurídica, autoridad pública, servicio u otro organismo que traten datos personales por cuenta del responsable del tratamiento) cuando se den algunas de las siguientes circunstancias:

  • Tratamientos de datos personales de responsables y/o encargados establecidos en la UE, independientemente de que el tratamiento tenga lugar en la UE o no.
  • Tratamientos de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados en la UE, independientemente de si a estos se les requiere su pago y/o el control de su comportamiento, en la medida en que este tenga lugar en la UE.
  • Tratamientos de datos personales por parte de un responsable que no esté establecido en la UE sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público

Cualquier responsable del tratamiento que participe en un tratamiento de datos personales responderá de los daños y perjuicios causados en caso de que dicho tratamiento no cumpla lo dispuesto en el RGPD. 

Un encargado del tratamiento únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del RGPD dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

El RGPD establece un régimen sancionador mediante el cual todo interesado tiene derecho a presentar una reclamación ante una Autoridad de Control (en el caso de España, la Agencia Española de Protección de Datos, AEPD), en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe lo dispuesto en el RGPD. 

Las consecuencias de incumplir lo dispuesto en el RGPD es la apertura de un expediente sancionador por parte de la Autoridad de Control que puede derivar en imposición de multas administrativas (sector privado) o de apercibimientos y exigencia de medidas correctoras (sector público).

Además, toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o del encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

// Asegúrate de que tu organización cumple con el Reglamento General de Protección de Datos (RGPD)

< REALIZAR TEST >

¿Cómo cumplir con el RGPD?

Como cumplir con el RGPD

Nuestra propuesta de solución de cumplimiento normativo tanto del RGPD como de la LOPDGDD permite adaptar e implantar los requisitos exigibles por estas normativas. 

Esta solución está fundamentada en la planificación de una hoja de ruta que contemple los servicios y actuaciones a desarrollar y ejecutar para garantizar dicho cumplimiento.

Se tendrá presente en todo momento el concepto de protección de datos desde el diseño y por defecto al objeto de cumplir los requisitos definidos en el RGPD, respetar los derechos de los interesados desde las primeras fases del tratamiento de datos y establecer las medidas técnicas y organizativas necesarias que garanticen el respeto a los derechos de las personas implicadas. 

Además de garantizar la licitud, limitación de la finalidad, minimización, exactitud y conservación de los datos, se tendrá especial consideración todo aquel tratamiento de datos personales que, por su naturaleza, sean de especial protección en relación a los derechos y las libertades fundamentales (categorías especiales de datos) y que por el contexto de su tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas. 

El análisis del nivel de seguridad de los datos personales que sean objeto de tratamiento estará basado en los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales. 

En este sentido, se establecerán mecanismos de control para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, restaurar la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico, garantizar la seguridad del tratamiento y permitir la seudonimización y el cifrado de datos personales.

Beneficios de cumplir con el Reglamento

Últimas actualizaciones del RGPD

Los beneficios de cumplir con lo dispuesto en el RGPD están sustentados en el cumplimiento del principio de responsabilidad proactiva que permita al responsable o encargado de tratamiento demostrar que efectivamente cumple con las obligaciones establecidas en el RGPD y del concepto protección de datos desde el diseño y por defecto a efectos de garantizar que se aplican las medidas técnicas y organizativas apropiadas para que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del mismo.

Además dicho cumplimiento permitirá al responsable o encargado de tratamiento obtener un control sistemático, metódico y documentado del nivel de riesgo asumido en cada tratamiento, una mejora de la gestión global de sus procesos y generar conocimiento y cultura de protección de datos en su organización. 

Dichos beneficios proporcionarán por tanto: 

  • Establecimiento de un modelo de cumplimiento normativo del RGPD y de la LOPDGDD
  • Prevención en la aplicación de sanciones e indemnizaciones
  • Garantía de cumplimiento del derecho de protección de datos personales.

Las nuevas directrices para la obtención del consentimiento impuestas por el RGPD han afectado a determinadas materias como en caso de la regulación de las cookies, especialmente en lo que se refiere a la validez de la opción “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios y la posibilidad de utilizar los conocidos como “muros de cookies”. 

En el primer caso, las referencias a “si sigue navegando por la página acepta la instalación de cookies” no constituye en ninguna circunstancia una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco. 

Será necesario que el usuario realice una acción que pueda calificarse como una clara acción afirmativa para que el consentimiento informado se considere válidamente otorgado. El mero hecho de permanecer visualizando la pantalla o hacer scroll tampoco se considera una clara acción afirmativa bajo ninguna circunstancia.

Respecto a los “muros de cookies”, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies. Se debe informar de forma transparente al interesado de la finalidad y uso de las cookies así como incorporar, en el caso de que se utilicen cookies analíticas y publicitarias (no técnicas), la opción del consentimiento para que el usuario pueda aceptarlas o rechazarlas.

Sanciones por incumplimiento del RGPD

En España, las reclamaciones planteadas con mayor frecuencia por los ciudadanos hacen referencia a servicios de internet, inserción indebida en ficheros de morosidad, videovigilancia, recepción de publicidad (excepto spam) y reclamación de deudas. 

Las áreas más frecuentes en los procedimientos sancionadores son videovigilancia, servicios de internet, Administraciones Públicas y telecomunicaciones. 

Por su parte, los sectores más sancionados con multa son las entidades financieras/acreedoras y las telecomunicaciones.

En el año 2020, podemos destacar, entre las multas impuestas por la AEPD, la impuesta a la Liga de Fútbol Profesional (250.000 euros), o Vodafone (120.000 euros). 

Sin embargo, a principios del año 2021 ha aumentado sensiblemente la cuantía de las multas impuestas. Entre finales de diciembre y principios de enero se registraron dos históricas sanciones a dos grandes entidades bancarias españolas: 

5 millones de euros a BBVA primero y 6 millones a CaixaBank después

En marzo de 2021 llegó un nuevo récord: 

8 millones de euros a Vodafone por vulnerar el RGPD.

La multa más elevada impuesta hasta la fecha por infracción del RGPD ha sido de 50.000.000 de euros a Google en 2019 por parte de la Comisión Nacional de Informática y Libertades (CNIL), el equivalente francés de la AEPD, que impuso dicha multa al conocido buscador por falta de transparencia, incumplimiento del deber de información y la falta de consentimiento válido para personalizar la publicidad.