01/06/2023

El reglamento europeo de protección de datos cumple 5 años

El pasado 25 de mayo de 2023 se cumplieron cinco años de la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos (más conocido coloquialmente como Reglamento Europeo de Protección de Datos) que deroga la Directiva 95/46/CE.

Si bien, como hemos adelantado, es de aplicación obligatoria para todos los Estados miembros de la Unión Europea desde el 25 de mayo de 2018, la entrada en vigor del mismo tuvo lugar con fecha 24 de mayo de 2016 si bien se concedió a los estados miembros el plazo de dos años para adaptarse a dicha normativa-

A parte de los notables y considerados cambios que supuso, y que expondremos más adelante, hizo que quedara obsoleta la normativa española en materia de protección de datos vigente en aquel momento (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal), lo que dio lugar a la publicación de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de derechos digitales (LOPDGDD).

A nuestro juicio, el RGPD supuso, por encima de todo, la utilización del instrumento jurídico adecuado –Reglamento- para conseguir la aplicación directa de la normativa europea sobre los estados miembros de la UE, frente a la utilización de una Directiva como se había venido haciendo hasta dicha fecha. También el RGPD supo poner fin al “mercadeo” incontrolado, gratuito e inconsciente de datos personales en distintos ámbitos, así como introducir la concienciación del valor –sobre todo económico- de los datos personales y el respeto a la privacidad de las personas en cuanto al tratamiento de sus datos de carácter personal se refiere.

Parece una cuestión baladí, pero en este punto es conveniente remarcar que tanto el RGPD como su homónimo español, la LOPDGDD, sólo se aplican al tratamiento de datos personales de personas físicas (y con excepción hecha de las actividades estrictamente personales o domésticas, las cuales quedan fuera del ámbito de aplicación de dicha normativa); quedando expresamente excluido, por tanto, el tratamiento de las entidades jurídicas.

Derechos ARCO

Sin duda, el cambio más importante y trascendental devino con la incorporación de nuevos derechos a los ya existentes en la normativa anterior, reforzando con ello la posición “volitiva” del interesado sobre sus propios datos, es decir, otorgando mayor capacidad de acción al interesado para decidir qué hacer con el tratamiento que se pudiera hacer de sus datos personales.

De esta manera, se pasó de los denominados derechos ARCO (derecho de acceso, rectificación, cancelación y oposición) a los denominados derechos ARSULIPO (derechos de acceso, rectificación, supresión u olvido, limitación del tratamiento y oposición), poniendo especial interés el legislador en que el interesado reciba en todo momento por todos aquellos que traten sus datos información de dichos derechos así como los medios para su ejercicio.

Derecho al olvido

De todos los derechos destacamos, por distintas cuestiones, el derecho de supresión, que el RGPD denomina “derecho al olvido” y que se incorporó a la normativa europea a raíz de la archiconocida sentencia del Tribunal de Justicia de la Unión Europea dictada con fecha 13 de mayo de 2014 en el asunto C‑131/12, a raíz de la cuestión prejudicial planteada por un tribunal español –Audiencia Nacional- en relación al derecho de un ciudadano español para que su nombre fuera eliminado de todos los motores de búsqueda. Dicho derecho de supresión o derecho de olvido consiste en impedir la difusión indiscriminada de datos personales de los motores de búsqueda generales (e.g Google) cuando la información es obsoleta o ya no tiene relevancia ni interés público, es decir, cuando dicha información no cumple los requisitos de adecuación y pertinencia previstos en el RGPD.

Con el RGPD desaparece la obligación de inscribir ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la AEPD en el caso de España, si bien el RGPD prevé nuevas obligaciones de documentación del tratamiento en empresas de más de 250 trabajadores: deberán mantener un registro de actividades de tratamiento que deberá contener la información que recoge al respecto el artículo 30 del RGPD.

Protección de datos desde el diseño y por defecto

Destacamos, igualmente, la introducción en el RGPD que hace el legislador de los conceptos de protección de datos desde el diseño y por defecto (Privacy from design or by default). Es decir: la aplicación de las medidas técnicas y organizativas adecuadas (como por ejemplo la seudonimización) para cumplir todos los principios y garantías en materia de protección de datos, así como para garantizar que, por defecto, sólo se traten los datos personales necesarios para cada finalidad específica del tratamiento.

Delegado de protección de datos

Otra cuestión novedosa del RGPD es la aparición de la figura del delegado de protección de datos (más conocido como DPO –Data Protection Officer), así como las figuras de responsable de tratamiento y el encargado del tratamiento.

La figura del DPO ha sido creada por el legislador europeo del RGPD y viene a ser el garante del cumplimiento de la normativa de protección de datos en aquellas organizaciones que deban designarlo como obligación, así como en aquellas que lo hagan voluntariamente. En este punto, la normativa española (LOPDGDD) ha sido más exhaustiva que la europea regulando de forma expresa en el artículo 34 aquellas entidades u organizaciones.

Las empresas han sabido reconocer la importancia de contar con Delegados de Protección de Datos con perfiles cualificados como herramienta imprescindible para aplicar la normativa de protección de datos, saber reaccionar ante situaciones de riesgo extremo como aparición de brechas de seguridad, implementar cuantas medidas sean necesarias para minimizar los riesgos y, en definitiva, asegurar la protección en el tratamiento de datos personales. De hecho, son muchas las empresas que, aún no teniendo obligatoriedad de nombrar esta figura, cuentan con ella en plantilla o con profesionales externos.

Régimen sancionador

Es conveniente resaltar también el modelo del régimen sancionador que introduce el RGPD, con cuantiosas sanciones y elevadas multas: Hasta 20 millones de euros o el 4% de la facturación global. Hasta la presente, la mayor multa de la historia del RGPD se dirige contra Meta (denominación social actual de Facebook: 1.200 millones de euros por haber desobedecido el mandato europeo y continuar transfiriendo datos personales de sus usuarios europeos a la sede social en EEUU, amparándose en el Privacy Shield que nuestro más alto tribunal europeo sentenció allá por 2020 con un nivel no adecuado de protección.

En HispaColex llevamos realizando desde 2018 la adaptación de las empresas a la normativa europea y española en materia de protección de datos, contando con un departamento especializado en Protección de Datos con profesionales formados en dicha materia, con el fin de dotar de asesoramiento y ágil respuesta tanto a empresas en el cumplimiento de dicha normativa, como a personas físicas –interesados- para el ejercicio de sus derechos en el tratamiento de sus datos personales.

Para resolver cualquier duda al respecto o cualquier otra cuestión relativas a la Protección de Datos, puedes contactar con nuestro equipo de abogados especializados, o si prefieres, ven a visitarnos a nuestras oficinas de Granada, Málaga o Jaén. Estaremos encantados de ayudarte a resolver cualquier pregunta que nos plantees.

Otras publicaciones de HispaColex que te pueden interesar:

Ana Isabel Caballero Ferrer - HispaColex

Si tiene dudas sobre como aplicar este artículo a su caso, puede realizarnos una consulta a través de nuestro formulario