Catedra Fundación Ramón Areces de Distribución Comercial
Catedra Fundación Ramón Areces de Distribución Comercial
Universidad de Oviedo
Catedra Fundacion Ramon Areces de Distribucion Comercial
El nuevo Reglamento General de Protección de Datos

El nuevo Reglamento General de Protección de Datos

15 Jun 2018

 

    El Reglamento General de Protección de Datos resulta aplicable dos años después de su entrada en vigor, a partir del 25 de mayo de 2018. El Reglamento va a tener una repercusión importante entre los ciudadanos, que van a ver ampliados sus derechos y reforzado el control sobre sus datos personales en un mundo en el que la tecnología adquiere cada vez más importancia.

    En primer lugar, cabe resaltar la decisión de la Unión Europea de regular esta materia a través de un Reglamento, norma de aplicación directa desde su entrada en vigor, sin necesidad de transposición por parte de los Estados miembros. Esta regulación contrasta con la anterior contenida en la Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

    Por otro lado, la entrada en vigor del presente Reglamento no implica per se la derogación de la Ley Orgánica de Protección de Datos que seguirá siendo aplicable en todas aquellas cuestiones no reguladas por el Reglamento. Si bien es cierto que, con la aprobación del Reglamento, el legislativo español ha comenzado a trabajar sobre una nueva ley orgánica de protección de datos que se ajuste y desarrolle la norma europea. A este respecto, cabe señalar el Considerando octavo del Reglamento, en donde el legislador comunitario previendo que se va a producir una repetición de normas entre el derecho nacional de cada Estado miembro y el derecho comunitario permite excepcionalmente a los legisladores nacionales la incorporación de parte del Reglamento en su Ley nacional de desarrollo.

    En lo que respecta al ámbito de aplicación, por un lado, el ámbito territorial del Reglamento se extiende más allá del espacio comunitario, pues resultará aplicable siempre que afecte a un ciudadano o residente de la Unión Europea. Se observa así el especial interés de la Unión Europea por la defensa del derecho a la protección de datos. Por otro lado, en cuanto al ámbito material es la protección de datos personales. A este respecto, debe quedar claro que el derecho fundamental a la protección de datos no se integra dentro del derecho a la intimidad. El derecho fundamental a la protección de datos consiste en el poder de disposición que se atribuye a los datos de carácter personal. Es por ello que la Carta de Derechos Fundamentales de la Unión Europea los regula separadamente, en el artículo 7 el derecho a la intimidad de las personas y en el artículo 8 la protección de datos de carácter personal. A tal fin, se puede afirmar que la protección de datos hace años que se emancipo del derecho fundamental a la intimidad.

    La principal innovación que introduce el Reglamento es la inclusión delmprincipio de responsabilidad proactiva, en virtud del cual el responsable del tratamiento de datos debe ser capaz de demostrar que el tratamiento se ajusta a los principios establecidos en el artículo 1 del Reglamento, es decir, asumir la protección de datos desde el punto de vista preventivo para evitar que haya que actuar una vez que el daño a los ciudadanos ya se ha producido.

    Para ello, el artículo 24 del Reglamento señala que los responsable y encargados, tendrán que tomar las medidas técnicas que sean necesarias para adaptar el Reglamento y demostrar que lo han adaptado. Sin embargo, no se especifica cuáles son estas medidas concretas. Al contrario, se deja a la libre determinación de los responsables las medidas que consideren necesarias de acuerdo con el riesgo. En suma, este nuevo modelo regulatorio atribuye un especial protagonismo a la implantación.

    También, el sistema de sanciones ha sufrido una importante modificación, no solo en lo referente a la cuantía de las sanciones, sino también respecto a los sujetos sancionables. El Reglamento, a diferencia de la LOPD, permite sancionar a las Administraciones Públicas. Para las Administraciones Públicas una de las principales novedades se produce con la exigencia de un consentimiento expreso del responsable del tratamiento. Esta nueva regulación afecta notablemente al modelo español actual, ya que las Administraciones cuando no se trata de un tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, admiten el consentimiento tácito: si no hay expresa oposición se entiende consentido el tratamiento.

    Dentro de las medidas que el Reglamento establece en el marco del principio de responsabilidad proactiva se incluye la figura del Delegado de Protección de Datos. Esta figura constituye uno de los elementos claves del Reglamento y un garante del cumplimiento de la normativa de protección de datos en las organizaciones. La designación de un Delegado de Protección de Datos será obligatoria en todas las Administraciones públicas, excepto los tribunales que actúen en ejercicio de su función judicial. Asimismo, cuando las actividades principales del responsable sean operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o se trate de categorías especiales de datos personales (art. 9 RGPD) o de datos relativos a condenas e infracciones penales (art. 10 RGPD). Ello sin perjuicio de que la normativa de desarrollo de cada Estado miembro amplíe los supuestos obligatorios, así, claro está, de la designación voluntaria. Respecto a las funciones del Delegado, se recogen en el artículo 39 y se concretan en funciones de información, asesoramiento y supervisión.

    La figura del Delegado de Protección de Datos, sin duda, abre un nuevo camino para los profesionales del Derecho, quienes podrán ejercer como Delegados independientes de organismos y, en muchos casos, especialmente cuando traten categorías especiales de datos o datos sobre infracciones y sanciones de clientes, deberán designar un Delegado.

    En resumen, el 25 de mayo de 2018 se cumplieron dos años desde que se publicó el Reglamento General de Protección de Datos y, a partir de ese día se inició su plena aplicabilidad. A partir de esa fecha tanto los responsables como los encargados del tratamiento de datos personales deberán cumplir con los requerimientos y obligaciones que incluye esta nueva normativa. Mientras estamos a la espera de la aprobación de la Ley Orgánica de Protección de Datos de Carácter Personal.

 

*** La Cátedra Fundación Ramón Areces de Distribución Comercial organizó una Jornada técnica en las que se trataron las principales innovaciones del Reglamento. Si está interesado puede leer las conclusiones de la Jornada en: http://catedrafundacionarecesdcuniovi.es/noticia-ya-disponibles-las-conclusiones-de-la-jornada-proteccion-y-libre-circulacion-de-datos-personales--el-nuevo-reglamento-general-de-proteccion-de-datos-es.html