¿Qué cambios nos han traído el RGPD y la LOPD-GDD?

El Día de la Protección de Datos en Europa comenzó a celebrarse en el año 2006, cuando el Comité de Ministros del Consejo de Europa estableció la celebración anual del Día de la Protección de Datos en Europa el día 28 de enero, en conmemoración del aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal.

El objetivo que persigue esta celebración es concienciar a los ciudadanos y organizaciones de la importancia del tratamiento de los datos personales.

Desde Sigea nos sumamos a esta celebración y queremos resumir muy brevemente los cambios que nos han traído el RGPD y la LOPD-GDD.

Obligación de nombrar a un Delegado de Protección de Datos

El artículo 37 del RGPD y el artículo 34 de la LOPD-GDD detallan todos los supuestos en que es obligatorio nombrar un DPD.

Nuestros artículos ¿Cuándo designar un DPD? y ¿Cuáles son las funciones del delegado de protección de datos? te pueden ayudar.

Tratamiento de datos basado en el consentimiento

El artículo 7 del RGPD y el artículo 6 de la LOPD-GDD definen las condiciones que el Responsable del Tratamiento debe cumplir para asegurar la validez del consentimiento:

  • Debe ser capaz de demostrar que el interesado consintió el tratamiento.
  • La solicitud de consentimiento debe ser comprensible, clara y accesible; y el consentimiento se debe dar de forma libre, específica, informada e inequívoca mediante una clara acción afirmativa por parte del interesado.
  • Si el consentimiento se solicita para varias finalidades, debe constar de manera específica e inequívoca que éste se da para todas ellas.
  • Retirar el consentimiento debe ser tan sencillo como darlo.
  • No está permitido condicionar la ejecución de un contrato a que el interesado consienta el tratamiento de sus datos para finalidades que no estén relacionadas con la relación contractual.

Deber de información

Los artículos 13 y 14 del RGPD y el artículo 11 de la LOPD-GDD establecen los requisitos de información. En nuestro artículo LOPD vs RGPD: Cambios en el deber de informar analizamos qué ha cambiado.

Derechos de los interesados

El RGPD reconoce seis derechos a los interesados sobre el tratamiento que se da a sus datos personales: Acceso, Rectificación, Oposición, Supresión, Limitación del tratamiento y Portabilidad de los datos; sumando esos dos últimos a los derechos ARCO que ya contemplaba la L.O. 15/1999. Asimismo, se reconoce a los interesados el derecho a solicitar, en cualquier momento, la revocación del consentimiento otorgado.

A grandes rasgos, el interesado que ejercite sus derechos ante el Responsable del Tratamiento podrá obtener:

  • Acceso: La confirmación de si se están tratando, o no, sus datos personales.
    Más información en los artículos 15 y 13 del RGPD y LOPD-GDD, respectivamente.
  • Rectificación: La rectificación de sus datos personales, bien porque sean inexactos o bien porque estén incompletos.
    Más información en los artículos 16 y 14 del RGPD y LOPD-GDD, respectivamente.
  • Supresión: La supresión de sus datos personales, siempre que se dé alguna de las circunstancias que recoge el artículo 17 del RGPD. También se llama “derecho al olvido”.
    Más información en el artículo 15 de la LOPD-GDD.
  • Limitación del tratamiento: La limitación del tratamiento de sus datos cuando se cumpla alguna de las condiciones que detalla el artículo 18 del RGPD.
    Más información en el artículo 16 de la LOPD-GDD.
  • Portabilidad de los datos: Los datos personales que haya facilitado a un Responsable del Tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable, sin que lo impida el “primer Responsable del Tratamiento”. En el artículo El derecho a la portabilidad de los datos detallamos en qué casos se puede ejercitar este derecho.
    Más información en los artículos 20 y 17 del RGPD y LOPD-GDD, respectivamente.
  • Oposición: El interesado tiene el derecho a oponerse a que sus datos personales sean tratados para el cumplimiento de una misión realizada en interés público (artículo 6.1.e del RGPD), para la satisfacción de intereses legítimos perseguidos por el Responsable del Tratamiento (artículo 6.1.f del RGPD) o para la elaboración de perfiles.
    Más información en los artículos 21 y 22 del RGPD y en el artículo 18 de la LOPD-GDD.

Protección de datos desde el diseño

Es uno de los grandes cambios respecto a la legislación anterior, ya que el RGPD y la LOPD-GDD no establecen qué medidas de seguridad, organizativas y técnicas, se deben implementar, tal y como detallaba el RD 1720/2007.

Según detalla el artículo 25 del RGPD, ahora es el Responsable del Tratamiento quien debe analizar la probabilidad y gravedad de los riesgos que entraña el tratamiento de los datos personales para los derechos y libertades de los interesados y, en consecuencia, aplicar las medidas de protección adecuadas, para garantizar el cumplimiento de los requisitos de la legislación y, especialmente, de los derechos de los interesados.

Puedes ayudarte con la Guía práctica de Análisis de riesgos en los tratamientos de datos personales sujetos al RGPD que publicó la AEPD.

Corresponsabilidad en el tratamiento

La figura de los corresponsables del tratamiento no existía hasta la entrada en vigor del RGPD. Se da esta circunstancia cuando dos o más Responsables del Tratamiento determinan de forma conjunta cómo se va a llevar a cabo el tratamiento y qué responsabilidades tendrá cada uno.

Más información en los artículos 26 y 29 del RGPD y LOPD-GDD, respectivamente.

Encargado del tratamiento

La legislación anterior ya contemplaba esta figura. El artículo 28.3 del RGPD detalla el contenido del acuerdo de encargo de tratamiento, que presenta algunos pequeños cambios. Puedes consultar nuestros artículos ¿Qué es un encargado de tratamiento?¿Qué debe contener un acuerdo de encargo de tratamiento?

Asimismo, la LOPD-GDD incluye algunos matices en su artículo 33 y en la “Disposición transitoria quinta. Contratos de encargado del tratamiento”, que recoge que los contratos suscritos antes del 25 de mayo de 2018, al amparo del artículo 12 de la L.O. 15/1999, podrán mantener su vigencia hasta su fecha de vencimiento. En caso de haberse pactado con carácter indefinido, mantendrán su validez hasta el 25 de mayo de 2022.

Registro de las actividades de tratamiento

Este registro sustituye la obligación de la L.O. 15/1999 de inscribir los ficheros de datos personales ante la AEPD. La nueva legislación requiere, tanto a Responsables del Tratamiento como a Encargados, la llevanza de un registro de las actividades de tratamiento efectuadas bajo su responsabilidad en los casos que detalla el artículo 30 del RGPD, donde también se detalla su contenido.

El artículo 31 de la LOPD-GDD incluye qué sujetos están obligados a hacer público su registro.

Brechas de seguridad

Esta obligación es otra novedad respecto a la anterior legislación. Las organizaciones deben desarrollar un procedimiento de comunicación de incidentes que determine en qué casos, según lo dispuesto en los artículos 33 y 34 del RGPD, comunicarán una brecha en la seguridad de los datos personales tanto a la AEPD como a los interesados.

La Guía para la gestión y notificación de brechas de seguridad de la AEPD puede aportar ideas para el desarrollo del procedimiento.

Evaluación de impacto relativa a la protección de datos

Esta obligación está relacionada con la protección de datos desde el diseño. El artículo 35 del RGPD dicta que el Responsable del Tratamiento debe realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales siempre que un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas. En algunos casos también será necesario considerar lo dispuesto en el artículo 36 del RGPD, y consultar a la AEPD.

La AEPD publicó la Guía práctica para las Evaluaciones de Impacto en la Protección de los datos sujetas al RGPD para orientar a los responsables en su realización.

Transferencia internacional

La principal diferencia es que los datos personales pueden circular libremente a través de los países que integran la Unión Europea, siempre que se cumplan los requisitos que exige el RGPD. En caso de países que no pertenecen a la Unión Europea, existen otros supuestos que permiten la transferencia, por ejemplo, las decisiones de adecuación, garantías adecuadas, normas corporativas vinculantes… Puedes consultar todo lo relativo a la transferencia internacional de datos en el capítulo V del RGPD y en el capítulo VI de la LOPD-GDD.