¿Qué es el RGPD o Reglamento General de Protección de Datos?

El Reglamento General de Protección de Datos o RGPD es el nombre que recibe en español la nueva normativa europea conocida como “General Data Protection Regulation” o “GDPR”.

Como su propio nombre indica, se trata de un reglamento europeo que establece el nuevo marco regulatorio en materia de protección de datos de carácter personal. Constituye la norma de referencia en esta materia para todos los estados miembros ya que, a diferencia de su predecesora (la Directiva 95/46/CE), el RGPD es directamente aplicable, sin necesidad de una ley nacional que transponga sus disposiciones.

¿Por qué es necesario el RGPD?

Los motivos que han llevado a la promulgación de esta nueva normativa son principalmente dos:

1. Lograr una regulación uniforme de protección de datos a nivel europeo
2. Dar respuesta a las oportunidades y amenazas derivadas del nuevo escenario tecnológico

Así, por un lado, a pesar de que la Directiva del año 95 pretendía establecer una normativa común en todos los estados, lo cierto es que dejaba bastante margen a la hora de su transposición. De tal manera que el resultado fue un marco regulatorio con distintos grados de protección y distintos requisitos dentro de la propia Unión Europea.

Por este motivo, esta vez -aprendiendo de los errores pasados- se decidió utilizar la fórmula de un reglamento europeo que, como hemos adelantado, es obligatorio y directamente aplicable, sin necesidad de transposición.

Si bien es cierto que actualmente algunos países europeos están tramitando e, incluso ya han aprobado su propia ley de protección de datos, en línea con lo establecido en el RGPD. En España, de hecho, se está tramitando en la actualidad el proyecto de la nueva LOPD. No obstante lo anterior, la única finalidad de estas leyes nacionales es clarificar y complementar alguno de los puntos del Reglamento, sin perder de vista que la norma principal es, en todo caso, el RGPD.

En segundo lugar, debemos tener presente que las normas de protección de datos de los países europeos son de finales de los 90 por lo que, a la vista de la evolución tecnológica de los últimos veinte años, han quedado claramente desfasadas y obsoletas.

La cuarta revolución industrial, el big data, el internet de las cosas, etc, han cambiado por completo el escenario en el que nos movemos, creando nuevas oportunidades pero también nuevas amenazas para la privacidad de las personas. No en vano se dice que los datos son el petróleo del  siglo XXI.

Por este motivo, se ha hecho necesaria una nueva regulación que proteja adecuadamente a las personas, que regule la forma en que las empresas tratan y comparten esos datos y que, además, sea uniforme en toda la Unión Europea.

¿Cuándo entra en vigor el RGPD?

El RGPD entró en vigor el 25 de mayo de 2016. No obstante, se concedió un plazo de dos años para que todas las organizaciones pudieran adaptarse a sus disposiciones.

¿Dónde se aplica el RGPD?

Con carácter general, podemos afirmar que el RGPD se aplica en el ámbito de la Unión Europea.

• Bien porque el responsable o encargado del tratamiento esté establecido en dicho territorio
• O bien porque el tratamiento afecte a ciudadanos europeos.

Así, por un lado, el RGPD se aplica a todos aquellos tratamientos de datos personales efectuados en el contexto de cualquier establecimiento situado en la Unión Europea, con independencia de la nacionalidad o lugar de residencia de las personas cuyos datos se tratan o de si el tratamiento tienen lugar efectivamente o no en la Unión Europea.

A estos efectos, lo relevante es que dicho establecimiento lleve a cabo el ejercicio real y efectivo de una actividad, con independencia de la forma jurídica (filial, sucursal, etc.).

Asimismo, el RGPD se aplica a aquellos tratamientos de datos de ciudadanos europeos, aún cuando el responsable del tratamiento esté establecido fuera de la Unión Europea, siempre que éste las actividades del tratamiento estén relacionadas con la oferta bienes o servicios o el control de su comportamiento.

¿Cuáles son las principales novedades de este Reglamento?

El RGPD supone un gran cambio en la concepción de la normativa de protección de datos, por cuanto se pasa de una aproximación represiva a una aproximación proactiva. En este sentido, los dos pilares fundamentales de esta nueva regulación son:

1. El enfoque basado en el riesgo. Hasta ahora, se establecían las medidas de seguridad a aplicar en función del tipo de datos (nivel básico, medio, alto) y del tipo de tratamiento (automatizado/ no automatizado). Ahora ya no se dispondrá de un catalogo cerrado de medidas de seguridad obligatorias, sino que las empresas deberán analizar qué datos tratan, cómo y con qué finalidad, para -en función de los riesgos de probabilidad y gravedad variables- establecer las medidas de seguridad apropiadas.
2. El principio de responsabilidad activa. Al no existir un catálogo cerrado de medidas de seguridad, la empresa tiene que asegurarse que ha adoptado las medidas adecuadas para cumplir con el RGPD y además tiene que poder demostrarlo. Ello supone una actitud consciente, diligente y proactiva, incorporando a sus procesos principios como la privacidad por defecto y la privacidad desde el diseño.

Las principales novedades del RGPD son las siguientes:

• Nuevo régimen sancionador. Las sanciones por infracciones de las obligaciones del RGPD pueden ascender hasta 10 millones de euros o el 2% de la facturación mundial anual (el que sea mayor) o hasta 20 millones de euros o el 4% de la facturación mundial anual (el que sea mayor). Como se puede apreciar, el RGPD sólo define los límites máximos de la sanción. El importe de la multa en cada caso será la que resulte de aplicar los criterios de ponderación previstos en la nueva LOPD.
• Delegado de Protección de Datos (en inglés, Data Protection Officer – DPO). Es una figura novedosa que será obligatoria para determinadas empresas (en la nueva LOPD puedes encontrar un listado indicativo). Sus funciones son, entre otras, las de informar y asesorar a la empresa en el cumplimiento de sus obligaciones de protección de datos, supervisar el cumplimiento de lo dispuesto en la normativa y en los protocolos internos, concienciar y formar a los empleados, realizar las auditorías y ser el enlace con la Agencia Española de Protección de Datos (AEPD). Puede ser alguien interno de la organización o un experto externo, pero es imprescindible que cuente con formación y experiencia en el asesoramiento en protección de datos.
• Reforzamiento del deber de información. Con el RGPD se amplían las cuestiones de las que la empresa debe informar a los interesados antes de llevar a cabo un tratamiento de sus datos como, por ejemplo, la identidad y datos de contacto del DPO, el plazo de conservación de los datos, si se van a hacer transferencias internacionales, los nuevos derechos de los afectados…
• Cambios en la forma de obtención del consentimiento. El RGPD establece que, cuando el tratamiento de datos personales se base en el consentimiento del interesado, éste deberá ser claro, informado e inequívoco. Esto implica que la autorización de la persona debe provenir de una manifestación o clara acción afirmativa, quedando excluida -en consecuencia- la posibilidad de obtener consentimientos de manera tácita (lo que sí estaba permitido, en determinados casos, por la anterior LOPD).
• Evaluación de Impacto en la Privacidad de los Datos (en inglés, Privacy Impact Assesment – PIA). En aquellos casos en los que, tras la evaluación de riesgos, se detecte que un determinado producto, servicio o proyecto conlleva un riesgo alto para la privacidad, debe realizarse una Evaluación de Impacto con carácter previo a realizar cualquier tratamiento. Lo anterior, que no es más que una determinada metodología para evaluar los riesgos asociados a un tratamiento (de todo tipo, no sólo los de cumplimiento normativo) es además obligatoria para determinados tratamientos listados en el RGPD.
• Obligación de notificación de violaciones de la seguridad de los datos personales. Por último, en el supuesto de que se produzca una violación en la seguridad de los datos tratados por la organización, ésta deberá notificarlo en el plazo máximo de 72 horas a la AEPD y también a los afectados, cuando dicha violación suponga un riesgo alto para  su privacidad.