Академический Документы
Профессиональный Документы
Культура Документы
comunicacion.es.thomsonreuters.info/AranzadiFusion
Oh
happy
ley!
haz que tu trabajo sea mucho más cómodo, ágil y rentable
LA PRIMERA PLATAFORMA DIGITAL QUE RECOGE TODA LA INFORMACIÓN JURÍDICA DE
TU DESPACHO Y QUE, ADEMÁS, TE AYUDA A GESTIONARLO:
i ¡Que
T. 900 40 40 47
tengas
www.thomsonreuters.es/es/tienda.html
unMÁS INFORMACIÓN
buen día!
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
SUMARIO
INTRODUCCIÓN ................................................................................................................................. 4
ANÁLISIS .............................................................................................................................................. 7
El Reglamento Europeo y la futura
Ley General de Protección de Datos:
sus principales novedades ............................................................................................................. 7
Implementando el nuevo Reglamento General Europeo de Protección de Datos .................. 13
LESGISLACIÓN .................................................................................................................................. 16
Reglamento Europeo de Protección de
Datos Reglamento 2016/679/UE, de 27 de abril. LCEur 2016\605 ......................................... 16
Proyecto de Ley Orgánica de Protección
de Datos de Carácter Personal ..................................................................................................... 16
Ley de Protección de Datos 1999. Ley Orgánica 15/1999, de 13 de diciembre.
RCL 1999\3058 ............................................................................................................................. 16
TABLAS ............................................................................................................................................... 16
Tabla de equivalencias sumarios protección de datos .............................................................. 16
Tabla analítica de novedades ...................................................................................................... 22
PREGUNTAS CON RESPUESTA ........................................................................................................ 27
Dossier
Manual de las principales novedades del
Reglamento Europeo de Protección de Datos
A
Aunque entró en vigor el 25 de mayo de 2016, el próximo 25 de mayo comienza a ser directa y
efectivamente aplicable el Reglamento Europeo de Protección de Datos. Este desfase temporal
tenía como objetivo permitir que los Estados y las Instituciones de la Unión Europea y también
las organizaciones que tratan datos personales fueran, preparándose y adaptándose a dicho
momento.
En esta línea, y con el fin de adaptar la normativa española a las previsiones del citado Reglamento,
el pasado 10 de noviembre el Gobierno aprobó el Proyecto de Ley Orgánica de Protección de Datos
de Carácter Personal. El texto se encuentra actualmente en fase de presentación de enmiendas al
articulado, tras superar una enmienda a la totalidad. No obstante, por varias circunstancias existen
dudas razonables de que la norma nacional consiga estar aprobada para el próximo 25 de mayo, aunque
ello no es obstáculo para la aplicación e invocación directa del Reglamento Europeo.
Novedades, principios y directrices
Este dossier, elaborado por Thomson Reuters, le permitirá conocer cuáles son las principales novedades
reguladas en el Reglamento Europeo, así como los principios y directrices que están informando la
tramitación parlamentaria de la futura Ley Orgánica.
Destacamos como principales novedades las siguientes:
·D
erecho al olvido y derecho a la portabilidad: ambos mejoran la capacidad de decisión y
control de los ciudadanos sobre los datos personales que confían a terceros. El derecho al olvido
supone que los interesados puedan solicitar respecto a los datos que a ellos se refieran y resulten
obsoletos, incompletos, falsos, irrelevantes y sin interés público, el bloqueo de los resultados de los
buscadores en Internet. Por su parte, el derecho a la portabilidad implica que el interesado puede
solicitar a la entidad que esté tratando sus datos, su recuperación en un formato que permita su
traslado a otra entidad, incluso de forma directa. Pensemos en los sistemas de computación en
nube o cloud computing.
·E
l principio de responsabilidad activa (accountability), que viene a imponer al responsable y al
encargado del tratamiento estar en condiciones de demostrar que cumple con las previsiones
normativas en materia de protección de datos de carácter personal.
·Y
por último, el consentimiento para tratar datos personales que, con carácter general, debe ser
libre, informado, específico e inequívoco. Además, debe prestarse mediante una acción positiva del
interesado, es decir, no será válido el consentimiento tácito.
La transformación digital, una necesidad para los despachos de abogados
La incorporación a nuestro marco normativo de la legislación comunitaria requiere contar con
herramientas que nos permitan integrarla en estrategias exitosas. Solo aquellos despachos que hayan
avanzado en su transformación digital tendrán una ventaja competitiva sobre el resto ya que serán más
eficientes en sus procesos.
DOSSIER | 5
Con Aranzadi Fusión, la solución integral de Thomson Reuters, podrás conocer al instante los cambios
legislativos que afectan a tus expedientes. Entre otras herramientas, Aranzadi Fusión ofrece un sistema
de avisos de las novedades legislativas que afectan a los documentos asociados a los expedientes
sobre los que el abogado está trabajando, lo que le permite mantener sus expedientes completamente
actualizados a la legislación vigente. Ninguna modificación pasará desapercibida con Aranzadi Fusión.
Por tanto, la transformación digital, que toma cuerpo en las herramientas jurídicas de nueva generación,
se ha convertido en una necesidad para los despachos de abogados. Thomson Reuters te ofrece de
forma gratuita un vídeo formativo, en el que cuatro expertos en la materia debaten sobre dónde se
encuentran y a dónde deben llegar los despachos de abogados en materia de transformación digital y
te ofrecen las claves para definir una estrategia jurídica exitosa.
ACCEDA AL VIDEO
15% AHORRO
HASTA EL 31/03/2018
DIRECTOR
Alain Casanovas Ysla
Abogado, socio responsable de servicios
de Compliance en KPMG abogados
El futuro
del Compliance
https://congresocompliance.com
T. 900 40 40 47 | masinfo@thomsonreuters.com
ANÁLISIS
El Reglamento Europeo y la futura
Ley General de Protección de Datos:
sus principales novedades
Javier Álvarez Hernando
Abogado. Delegado de Protección de Datos
E
CAMBIO DE PARADIGMA EN LA REGULACIÓN DE PROTECCIÓN
DE DATOS A PARTIR DE MAYO DE 2018
El Diario Oficial de la Unión Euro- dose a lo que se refiere a: nuevo instrumento, parece preten-
pea publicó el 4 de mayo de 2016 der evitar, fundamentalmente, que
el esperado «Reglamento (UE) -
la definición de conceptos (no se continúen produciendo obstácu-
2016/679 del Parlamento Europeo siempre claros en el RGPD); los para el mercado interior de la
y del Consejo de 27 de abril de 2016 UE, lo que dificulta el ejercicio de
relativo a la protección de las perso- - la determinación de las condicio- actividades económicas a escala
nas físicas en lo que respecta al tra- nes del tratamiento, y comunitaria que está provocando, a
tamiento de datos personales y a la priori, un falseamiento de la compe-
libre circulación de estos datos y por - la ejecución de las habilitaciones tencia. En menor medida, también
el que se deroga la Directiva 95/46/ expresas contempladas en el el Reglamento pretende salvaguar-
CE (Reglamento general de protec- Reglamento. dar el derecho a la protección de da-
ción de datos, en adelante RGPD)». tos de los europeos.2
Si bien entró en vigor a los veinte En síntesis, puede decirse que el Novedades de la nueva regula-
días de su publicación en el Diario RGPD propone un cambio impor- ción
Oficial de la UE se establece que tante de modelo de protección
será aplicable a partir del 25 de de datos en Europa basado en El REPD y el Proyecto de LOPD in-
mayo de 2018, según señala el artí- criterios como la responsabilidad troducen novedades importantes
culo 99 del RGPD.1 Por tanto, hasta activa (accountability), la flexibili- que resumimos en los puntos si-
esta fecha son de aplicación la Ley dad, la importancia del contexto guientes:
Orgánica 15/1999, de 13 de diciem- en los tratamientos de datos y la
bre, de Protección de Datos (LOPD) cooperación entre autoridades 1. Derecho fundamental de ca-
y la Directiva 95/46/CE. con competencia en esta materia rácter no absoluto. Partimos de la
consideración de que la protección
Cabe añadirse, que el legislador Llama la atención que el RGPD con- de datos es considerada como un
español modificará la LOPD (actual- tiene un extenso apartado dedicado derecho fundamental que ostentan
mente en fase de proyecto de ley, a los «considerandos» (concreta- exclusivamente, las personas físicas,
aunque es probable que no llegue mente 173), que vienen a aclarar, que busca proteger los datos perso-
antes del 25 de mayo) y su Regla- motivar y justificar, en gran medida, nales que les conciernen frente a in-
mento de desarrollo RD 1720/2007 los artículos que figuran acto segui- tromisiones o violaciones ilegítimas
y los adaptará a las previsiones del do en la norma europea. de su intimidad o privacidad. En el
Reglamento Europeo durante ese nuevo RGPD se trata la protección
periodo transitorio, si bien limitán- El legislador europeo, con este de datos directamente como un de-
1. L os Reglamentos de la UE tienen un alcance general y son de obligatoria y directa aplicación en todos los Estados Miembros, es decir no necesitan ni admiten transposición,
aunque sí en su caso, desarrollo (artículo 288 del Tratado de Funcionamiento de la UE).
2. El Considerando (9) reconoce que, a pesar de la Directiva 95/46/CE, la protección de datos en la UE se está aplicando de manera fragmentada, existe inseguridad jurídica y una
percepción generalizada en la opinión pública de que existen riesgos para la protección de datos sobre todo en Internet. Todo ello puede suponer un obstáculo para la actividad
económica en la UE, falsear la competencia e impedir que las autoridades persigan los incumplimientos en materia de protección de datos debido a las divergencias en la aplica-
ción de la Directiva 95/46/CE.
3. Ee reconoce en el Considerando (1) del Reglamento Europeo que la protección de datos personales es un derecho fundamental. En este sentido, el art. 8.1 de la Carta de Derechos
Fundamentales de la UE y el art. 16.1 del Tratado de Funcionamiento de la UE (TFUE) establecen que toda persona tiene derecho a la protección de los datos que le conciernan.
El derecho a la protección de datos no es un derecho absoluto tal y como reconoce expresamente el Considerando (4), sino que debe entenderse en relación con su función en la
sociedad y mantener el equilibrio con otros derechos fundamentales, atendiendo al principio de proporcionalidad.
DOSSIER | 8 ANÁLISIS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
recho fundamental de carácter no llas empresas que realicen trata- del RGPD, los datos de contacto de
absoluto. Se positiviza un derecho miento de datos que deriven de la personas jurídicas en determinadas
que es de construcción jurispruden- oferta de bienes y servicios destina- circunstancias, se les excluía del
cial por nuestro Tribunal Constitu- dos a ciudadanos europeos, o bien ámbito de aplicación de la LOPD,
cional.3 como consecuencia de la monito- cuestión que parece cambiar con el
rización o seguimiento de su com- Reglamento Europeo que no hace
2. El objeto y el ámbito de aplica- portamiento. Estas organizaciones mención alguna a exclusiones para
ción material del nuevo instrumen- deben designar un representante en este tipo de datos, si bien el trata-
to europeo son los mismos que se la UE e informar de ello a los ciuda- miento de estos datos encontrará
recogen en la Directiva 95/46/CE. danos. su legitimación en la regla de pon-
deración de intereses del artículo
El art. 1 del RGPD se refiere a que Esto supone una importante no- 6.1 f) del RGPD, según establece el
éste establece las normas relativas a vedad que hará que las grandes Proyecto de reforma de la LOPD, en
la protección de las personas físicas multinacionales de Internet deban su artículo 12, siempre que se traten
en lo que respecta al tratamiento de ajustarse a las previsiones de la nor- los mínimos datos imprescindibles
los datos personales y las normas mativa europea, ya que su target so- de contacto, y se realice con fines
relativas a la libre circulación de mos los europeos y nuestros datos de mantenimiento de relaciones de
tales datos; y protege los derechos personales. cualquier tipo.
y libertades fundamentales de las
personas físicas y, en particular, su 4. Datos de fallecidos. El RGPD se 6. Bases jurídicas que legitiman el
derecho a la protección de los datos refiere, al tratar su ámbito de apli- tratamiento de datos.
personales. cación, a las personas fallecidas El RGPD mantiene los principios
indicando en su Considerando 27 ya recogidos tanto en la Directiva
Por su parte, el artículo 2.1 se re- que: «El Reglamento no se aplica 95/46/CE, como en la LOPD, con-
fiere al ámbito de aplicación mate- a la protección de datos personales sistente en que todo tratamiento de
rial indicando que el RGPD se aplica de personas fallecidas. Los Estados datos personales exige una base ju-
al tratamiento total o parcialmente miembros son competentes para rídica que lo legitime, a saber (artí-
automatizado de datos, así como al establecer normas relativas al tra- culo 6 RGPD):
tratamiento no automatizado de da- tamiento de los datos personales de
tos personales contenidos o destina- estas». - Consentimiento de afectado
dos a ser incluidos en un fichero.
- Existencia de una relación
Por su parte, en el Proyecto de
contractual.
Se excluye del ámbito de aplica- reforma de la LOPD regula, en su
ción del RGPD los tratamientos de artículo 3, el acceso a los datos de - Existencia de un interés legítimo
datos policiales y judiciales, a dife- personas fallecidas por parte de sus prevalente del responsable o
rencia de lo que ocurría en la Direc- herederos teniendo en cuenta las de terceros a los que se ceden o
tiva 95/46/CE, que no decía nada al instrucciones aportadas por aque- comunican los datos personales4.
respecto. En todo caso, en España, llas. En línea similar se pronuncia
la actual LOPD (y el nuevo Proyecto el Proyecto de LOPD (Disp. Adic. - Justificado en una necesidad vital
de LOPD) también contempla estos 7ª) respecto del acceso a los conte- del interesado.
tratamientos de datos, no estando nidos de personas fallecidas que se - Cuando resulte una obligación
excluida en el artículo 2 de la LOPD, encuentren en poder de prestadores legal para el responsable del
salvo terrorismo y delincuencia or- de servicios de la sociedad de la in- tratamiento.
ganizada. formación (sitios web, blogs, redes
sociales…). - Exista un interés público o se derive
3. Ámbito de aplicación territorial. del ejercicio de poderes públicos.
El Reglamento, según su artículo 3, 5. Tratamiento de datos de con-
es de aplicación tanto a entidades tacto y de empresarios indivi- 7. Consentimiento de afectado.
establecidas en la UE como a aque- duales. Hasta la entrada en vigor El Reglamento impone que el con-
4. A
lgunos supuestos en los que se ha reconocido la existencia de interés legítimo para el tratamiento de datos personales son los siguientes: Procedencia de que los
centros educativos (no universitarios) puedan facilitar a los progenitores o tutores de los alumnos mayores de edad las calificaciones de aquellos, siempre que exista una obli-
gación de los progenitores de hacerse cargo de los gastos de educación e instrucción de sus hijos y que el acceso se limite únicamente a las calificaciones de aquellos (Informe
0441/2015 del Gabinete Jurídico de la AEPD); Se recurrió a la prevalencia de interés legítimo como fundamento suficiente del tratamiento y de la comunicación a terceros,
cuando la Ley General de Telecomunicaciones permitió que la publicación de las guías de telecomunicaciones y los servicios de información sobre el número de los abonados
se prestaran en un régimen de libre competencia. Para ello, era necesaria la cesión de datos entre los operadores de telecomunicaciones, con el inconveniente de que no existía
una norma con rango de Ley que habilitara tal cesión; La regla del equilibrio de derechos e intereses también se ha demostrado aplicable en el ámbito de la videovigilancia. La
AEPD, en su Informe 0156/2014, consideró que existía la legitimación en el supuesto de que por las Fuerzas y Cuerpos de Seguridad se facilite a unas entidades (adheridas a un
convenio) las imágenes relacionadas con atracos o tentativas de atraco producidas en sucursales bancarias, «a fin de conocer la forma de actuación de los delincuentes y tratar
de prevenir la comisión de nuevos delitos». La finalidad del intercambio de la información sería la prevención de futuros hechos ilícitos con peligro para las personas y los bienes
en las sedes de las entidades financieras de crédito asociadas.
DOSSIER | 9 ANÁLISIS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
sentimiento para tratar datos perso- El Proyecto de reforma de la LOPD mación por capas, en determina-
nales, con carácter general, sea libre, dedica su Capítulo II al ejercicio de dos supuestos de obtención de da-
informado, específico e inequívoco derechos incorporando el derecho tos, debiendo el responsable remitir
(artículo 4.11 del RGPD). El consen- de acceso (art. 13); el de rectificación a una dirección electrónica para ac-
timiento debe prestarse mediante (art. 14); el de supresión (art. 15); de ceder a la restante información que
una acción positiva del interesado, limitación del tratamiento (art. 16); de se exige por el Reglamento.
es decir, no será válido como hasta portabilidad (art. 17) y de oposición
ahora, el consentimiento tácito. (art. 18). Igualmente, se introduce la 11. Una de las grandes novedades
obligación de bloqueo (art. 32) que que presenta el Reglamento Euro-
Por otro lado, para datos sensibles garantiza que esos datos queden a peo es el “principio de responsa-
(origen étnico, opiniones políticas, disposición de un tribunal, el Minis- bilidad activa” (accountability),
salud, orientación sexual,) se requie- terio Fiscal u otras autoridades com- que viene a imponer al responsable,
re un «consentimiento explícito», es petentes (como la AEPD) para la exi- y al encargado del tratamiento, es-
decir, que la declaración se refiera gencia de posibles responsabilidades tar en condiciones de demostrar que
de forma explícita al consentimiento derivadas de su tratamiento. cumple con las previsiones norma-
y al tratamiento en cuestión. tivas en materia de protección de
9. Se determina que la edad en que datos de carácter personal. Según el
Hay que tener presente que el con- los menores pueden consentir el RGPD (Art. 28.1 y Considerando 81),
sentimiento obtenido debe ser verifi- tratamiento de sus datos en Inter- el responsable debe adoptar medi-
cable, es decir, que la entidad que lo net, por ejemplo, en redes sociales, das apropiadas, incluida la elección
ha recogido esté en condiciones de es de 16 años. No obstante, el Pro- de encargados, de tal forma que
demostrar que la obtención del con- yecto de LOPD (artículo 7) señala garantice y esté en condiciones de
sentimiento respetó las directrices que el tratamiento de datos perso- probar que el tratamiento de datos
legales indicadas anteriormente. nales de un menor de edad única- se está realizando conforme a lo que
mente podrá fundarse en su con- establece el Reglamento Europeo.
8. El Reglamento Europeo configura, sentimiento cuando sea mayor de Esta previsión se extiende igualmen-
13 años. Actualmente en España es te al encargado cuando subcontra-
por un lado, la información como un
necesario contar con 14 años, si bien ten servicios que impliquen acceso a
derecho de los afectados, además de
por debajo de esta edad se requie- datos, con otros subencargados.
diferenciar los derechos a la rectifi-
re el consentimiento de los padres
cación y la supresión (olvido), que
o tutores. En todo caso, las empre- Con este objetivo de la responsabi-
lo trata de una forma expresa. En el
sas que recopilen estos datos deben lidad activa, se configuran una bate-
RGPD el derecho de oposición forma poder verificar dicha edad debiendo ría de medidas:
parte del derecho de supresión, y fi- redactar sus cláusulas de privacidad
nalmente, se crean dos nuevos dere- en un lenguaje claro que puedan en- a. La protección de datos desde el
chos: el de limitación y el de portabi- tender los menores. diseño (Privacy by Design) a fin
lidad (Capítulo III del RGPD). de asegurar que las garantías de
10. Principio de información y protección de los datos se incor-
El derecho al olvido (recogido en la transparencia. Ya hemos indicado, poran ya en la temprana fase de
Sentencia del TJUE de 13 de mayo de que con el RGPD la información se planificación de los procedimien-
2014) supone, entre otros, que el in- configura como un derecho de los in- tos y sistemas.
teresado pueda solicitar el bloqueo teresados, y encuentra su regulación
de los resultados de los buscadores en sus artículos 12, 13 y 14. Pues bien, b. Protección de datos por defec-
en Internet que se refieran a ellos y se va a requerir que los responsa- to. La configuración predefinida
estas resulten obsoletas, incomple- bles de tratamientos actualicen las de los mecanismos de recogida
tas, falsas o irrelevantes y no tengan advertencias o políticas de privaci- de datos personales sólo debe
un interés público. dad, ya que el RGPD impone la ne- recopilar aquellos datos que sean
cesidad, entre otras, de explicar con estrictamente necesarios.
Por su parte, el derecho a la portabi- un lenguaje sencillo y claro, la base
lidad implica que el interesado puede legal para el tratamiento de los da- c. Medidas de seguridad específi-
solicitar a la entidad que esté tratando tos, los periodos de retención de los cas, adecuadas al riesgo que ten-
sus datos de forma automatizada, su mismos, y que los interesados pue- ga la organización.
recuperación en un formato que per- den reclamar ante las Autoridades
mita su traslado a otra entidad res- de Protección de Datos. El art. 24.1 del REPD impone la obli-
ponsable, incluso de forma directa. gación de adoptar medidas técnicas y
Pensemos en los sistemas de compu- Asimismo, en el Proyecto de LOPD organizativas adecuadas a la natura-
tación en nube o cloud computing. se contiene un esquema de infor- leza, el ámbito, el contexto y los fines
DOSSIER | 10 ANÁLISIS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
del tratamiento, así como los riesgos manentemente accesible para - Si el tratamiento que se realiza
de diversa índole y gravedad para los aquellos que estén autorizados. incluye datos personales relati-
derechos de las personas. vos a condenas e infracciones
- La resiliencia (en inglés, resilien- penales.
El artículo 32 del RGPD, determina ce) en sistemas tecnológicos,
una serie de medidas que deben im- se define como la capacidad de Por su parte, el artículo 31 del Pro-
plementarse como mínimo, “tenien- un sistema de soportar y recu- yecto de reforma de la LOPD hace
do en cuenta el estado de la técnica, perarse ante desastres y per- mención al Registro de las actividades
los costes de aplicación, y la natura- turbaciones. de tratamiento, remitiendo, en gran
leza, el alcance, el contexto y los fines medida al contenido del RGPD ya in-
del tratamiento, así como riesgos de I V. La capacidad de restaurar la dicado, destacándose la obligación
probabilidad y gravedad variables disponibilidad y el acceso a los del responsable de hacer público, por
para los derechos y libertades de las datos personales de forma rápi- medios electrónicos, un inventario de
personas físicas, el responsable y el da en caso de incidente físico o sus actividades de tratamiento.
encargado del tratamiento aplica- técnico.
rán medidas técnicas y organizativas e. L a realización de evaluaciones
apropiadas para garantizar un nivel . Un proceso de verificación,
V de impacto sobre la protección
de seguridad adecuado al riesgo, evaluación y valoración regula- de datos (EIPD) –o por sus siglas
que en su caso incluya, entre otros:” res de la eficacia de las medidas en inglés: Privacy Impact Analysis
técnicas y organizativas para (PIAC) o Privacy Impact Assess-
I. La seudonimización. garantizar la seguridad del tra- ment (PIA)– es, básicamente, un
La seudonimización consiste en la tamiento. ejercicio de análisis de los riesgos
sustitución de un atributo (normal- que un determinado sistema de
mente un atributo único) por otro d. Mantenimiento de un registro de información, producto o servicio
en un registro. actividades de tratamientos. El puede entrañar para el derecho
a la protección de datos de los
RGPD, que se refiere a esta me-
II. El cifrado de datos personales. afectados cuyos datos se tratan
dida expresamente en su artículo
Cifrar es, en esencia, aplicar un y, como consecuencia de ese aná-
30, señala que los responsables y
conjunto de técnicas que per- lisis, la gestión de dichos riesgos
los encargados están obligados
miten asegurar que un mensaje mediante la adopción de las me-
solo es entendible por el destina- (en los supuestos que indicare- didas necesarias para eliminar o
tario del mismo. mos a continuación), a mantener mitigar en lo posible aquellos que
un registro de las actividades de se hayan identificado5.
III. La capacidad de garantizar tratamiento que realicen.
la confidencialidad, integridad, El Reglamento Europeo (RGPD)
disponibilidad y resiliencia per- La obligación de mantenimiento contempla la realización de Evalua-
manentes de los sistemas y ser- del registro, según el apartado 5º ciones de impacto en sus artículos
vicios de tratamiento; del citado artículo 30 del RGPD, 35 y 36. Se va a exigir la realización
se impone en el caso de empresas de una evaluación de impacto en los
- Confidencialidad implica que la u organizaciones que se encuen- supuestos siguientes:
información únicamente debe tren en alguno de los supuestos
ser accesible o divulgada a aque- siguientes: Empleen más de 250 - Cuando un tratamiento vaya a
llos que están autorizados. personas, a menos que: entrañar un alto riesgo para
los derechos y libertades de
- La integridad supone que la - el tratamiento que realice pue- las personas físicas, como por
información debe permanecer da entrañar un riesgo para los ejemplo en la monitorización
correcta (integridad de los da- derechos y libertades de los del comportamiento o la pu-
tos) y como el emisor la originó interesados y realicen trata- blicidad basada en el mismo,
(integridad de fuentes) sin que mientos con datos que no sea la elaboración de perfiles de
quepa la manipulación por ter- de forma ocasional; cualquier tipo, la verificación
ceros. de la idoneidad para determi-
- Si el tratamiento que se realiza nadas tareas, la evaluación de
- La disponibilidad implica que incluye categorías especiales la personalidad o de la situa-
la información debe estar per- de datos personales. ción financiera, laboral, social,
5. R
esulta muy interesante, como punto de referencia, la Guía de la AEPD para una Evaluación del Impacto en la Protección de Datos Personales, de 29 de octubre de 2014 (que
será actualizada próximamente), además de la Guía Práctica de evaluación de impacto de la Autoritat Catalana de Protecció de Dades, de junio de 2017.
DOSSIER | 11 ANÁLISIS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
familiar, formación, gustos o dispositivos permiten conver- será obligatoria la figura del DPO,
aficiones y las que impliquen el tir señales ópticas en señales encontrándose en este listado a
tratamiento de datos especial- electrónicas, o viceversa. Sus entidades aseguradoras, distri-
mente protegidos. aplicaciones son muy extensas buidores y comercializadores de
y variadas, pero fundamental- energía eléctrica o gas natural; en-
- Cuando se realice una evalua- mente se aplican en circuitos tidades responsables de sistemas
ción sistemática y exhaustiva de comunicaciones, sistemas de información crediticia; entida-
de aspectos personales de de señalización, y productos de des que desarrollen actividades de
personas físicas que se base consumo masivo, entre otros. publicidad que impliquen análisis
en un tratamiento automati- de preferencias o elaboración de
zado, como, por ejemplo, la f.
Nombramiento de un delegado perfiles; centros sanitarios; centros
elaboración de perfiles, y sobre en protección de datos. docentes que ofrezcan enseñanzas
cuya base se tomen decisiones regladas y Universidades; colegios
que produzcan efectos jurídicos El Reglamento Europeo incorpo- profesionales; y entidades dedica-
para las personas físicas o que ra como otra gran novedad, en su das al juego on line, entre otros.
les afecten significativamente Sección 4.ª (artículos 37, 38 y 39) la
de modo similar; figura del delegado de protección g.
Notificación de violaciones o
de datos, o DPO, por sus siglas en quiebras de la seguridad de los
- Cuando se realice un trata- inglés (Data Protection Officer). datos, tanto a las Autoridades de
miento a gran escala de las Protección de Datos, como in-
categorías especiales de da- El DPO, en el nuevo marco refor- cluso a los propios afectados, en
tos (contemplados en el artícu- zado de cumplimiento basado en determinados supuestos, que se
lo 9, apartado 1 del RGPD), o de la responsabilidad, es la persona recogen en los artículos 33 y 34
los datos personales relativos a encargada informar a la entidad del RGPD.
condenas e infracciones pena- responsable o al encargado del
les (a que se refiere el artículo tratamiento sobre sus obligaciones Con base en el principio de res-
10 del RGPD). Recordamos que legales en materia de protección de ponsabilidad proactiva, en el su-
las categorías especiales de da- datos, así como de velar o supervi- puesto de que el responsable del
tos personales son las que reve- sar el cumplimiento normativo al tratamiento detecte una violación
len el origen étnico o racial, las respecto, y de cooperar con la au- de la seguridad de los datos perso-
opiniones políticas, las convic- toridad de control y actuar como nales, está obligado a notificarla, sin
ciones religiosas o filosóficas, o punto de contacto entre ésta y la dilación indebida, a la autoridad de
la afiliación sindical, y el trata- entidad responsable del tratamien- control competente (AEPD o Agen-
miento de datos genéticos, da- to de datos. cias autonómicas) y, de ser posible,
tos biométricos dirigidos a iden- a más tardar 72 horas después de
tificar de manera unívoca a una No siempre va a ser necesario que haya tenido constancia de ella.
persona física, datos relativos a en una organización contar con un
la salud o vida sexual u orienta- DPO. El Reglamento señala deter- Esta obligación no se impone en
ción sexual.
El Considerando minados supuestos en los que sí el caso de que “sea improbable que
(91) del RGPD aclara que el tra- será obligatorio: dicha violación de la seguridad cons-
tamiento de datos personales tituya un riesgo para los derechos y
no debe considerarse a gran - Cuando el tratamiento lo lleve las libertades de las personas físicas”.
escala si se realiza, respecto de a cabo una entidad pública. Es, decir, el responsable debe anali-
datos personales de pacientes Se exceptúan los juzgados y tri- zar subjetivamente el supuesto con-
o clientes, un solo médico, otro bunales que actúen en ejercicio creto y determinar ese improbable
profesional de la salud o abo- de su función judicial. riesgo. En cualquier caso, tal y como
gado. En estos casos, la eva- apunta el apartado 5º del artículo 33,
luación de impacto no debe ser - Entidades de naturaleza priva- el responsable del tratamiento debe
obligatoria. da que realizan tratamientos documentar cualquier violación de la
de datos «especiales» a gran seguridad de los datos personales,
- En supuestos de observación escala atendiendo a su natu- incluidos los hechos relacionados con
sistemática a gran escala de raleza, alcance y fines; o aten- ella, sus efectos y las medidas correc-
una zona de acceso públi- diendo a las categorías espe- tivas adoptadas. Es decir, únicamen-
co, como, por ejemplo, según ciales de datos que se tratan. te se impone la obligación de notifi-
el Considerando (91) RGPD, cación en los casos de violaciones de
cuando se utilicen dispositivos El Proyecto de LOPD, en su art. 34, seguridad que constituyan un riesgo
optoelectrónicos. Esta clase de se refiere a los supuestos en los para los derechos y libertades.
DOSSIER | 12 ANÁLISIS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
El artículo 34 del REPD se refiere a - Una descripción de las medi- - suponga un esfuerzo despro-
la “comunicación de una violación das adoptadas para corregir la porcionado. En este caso, se
de la seguridad de los datos per- violación o, al menos, mitigar optará en su lugar por una co-
sonales al interesado”. Señala este sus efectos. municación pública o una me-
precepto, en similares términos que dida semejante por la que se
decíamos en el apartado anterior, Sin embargo, esta comunicación informe de manera igualmente
que cuando sea probable que la vio- NO es necesaria si se cumplen AL- efectiva a los interesados
lación de la seguridad de los datos GUNA de las condiciones siguien-
personales entrañe un alto riesgo tes: h. Promoción de códigos de con-
para los derechos y libertades de las ducta y esquemas de certifica-
personas físicas, el responsable del - el responsable del tratamiento ción. El RGPD (art. 28.5) prevé
tratamiento lo deberá comunicar al haya adoptado medidas técni- que la adhesión a códigos de con-
interesado sin dilación indebida. cas y organizativas de protec- ducta o la posesión de un certifi-
ción apropiadas sobre los da- cado de protección de datos pue-
En esta comunicación al interesa- tos afectados por la violación den servir como mecanismos de
do debe indicarse, con un “lenguaje de la seguridad, en particular prueba. En todo caso, no es un ca-
claro y sencillo”, como mínimo: aquellas que hagan ininteligi- tálogo numerus clausus, pudien-
bles los datos personales para do el responsable acreditarlo de
- La naturaleza de la violación de personas no autorizadas, como cualquier otra forma, que debería
la seguridad de los datos per- el cifrado; ser valorada, llegado el caso, por
sonales. la autoridad de control.
- el responsable del tratamiento
- Nombre y datos de contacto haya tomado medidas ulterio-
del DPO de la organización. res que garanticen que ya no
exista la probabilidad de que
- Una descripción de las posibles se concretice el alto riesgo para
consecuencias de la violación los derechos y libertades del in-
de seguridad. teresado;
DOSSIER | 13 ANÁLISIS
C
Catedrático de Derecho Civil Universidad de Valencia
Conviene recordar que el Regla- olvido (que ya había sido reconocido p.e. datos de salud o que revelen
mento General de Protección de por el TJUE en el caso Mario Costeja ideología) así como los datos relati-
Datos, Reglamento 2016/679, de 27 vs. Google), o el derecho de porta- vos a condenas e infracciones pena-
de abril de 2016 (LCEur 2016, 605), bilidad, o el de control de los datos les a que se refiere el artículo 10 del
relativo a la protección de las perso- personales frente al big data o el RGPG.
nas físicas en lo que respecta al tra- nuevo modo de obtener el consenti-
tamiento de datos personales y a la miento válido en materia de protec- Por tanto, para el sector público
libre circulación de estos datos y por ción de datos y que impide su obten- el impacto será mucho mayor, ya
el que se deroga la Directiva 95/46/ ción de forma presunta… que necesariamente tiene que tener
CE ( LCEur 1995, 2977 ), ya ha entra- un DPO, si bien cuando el responsa-
do en vigor pese a que o será plena- Data Protection Officer ble o el encargado del tratamiento
mente aplicable hasta 25 de mayo Entre las que no son todavía obli- sea una autoridad u organismo pú-
del 2018. gatorias, pero hay que tener ya en blico, se podrá designar un único
las previsiones de planificación, es- delegado de protección de datos
Pero más allá de que esa plena pecialmente de personas jurídicas para varias de estas autoridades u
eficacia quede demorada, lo cierto púbicas y privadas, está la figura del organismos, teniendo en cuenta su
es que hay ya preceptos que son de Delegado de protección de datos o estructura organizativa y tamaño.
aplicación y que esa moratoria se Data Protection Officer (a partir de Igualmente, en el sector privado, un
debe a la complejidad que lleva di- ahora, DPO), ya que será obligatorio grupo empresarial podrá nombrar
cha implementación, por los que las en tres supuestos: un único delegado de protección
personas físicas y jurídicas públicas de datos siempre que sea fácilmen-
y privadas deben de comenzar ya En primer lugar, cuando el trata-
te accesible desde cada estableci-
su aplicación, y deben de hacerlo ya miento lo lleve a cabo una autoridad
miento.
pensando en la existencia de un De- u organismo público, excepto los tri-
legado de Protección de Datos y en bunales que actúen en ejercicio de su
El DPO, tanto en el sector público
el cambio de sistema de accountabi- función judicial. Por tanto, el impacto
lity que impone el citado Reglamen- de este Reglamento en el sector pú- como en el privado, será designado
to, especialmente cuando sea de blico es enorme, ya que va obligar a atendiendo a sus cualidades profe-
aplicación su régimen sancionador, todo el sector público a tener un DPO sionales y, en particular, a sus conoci-
ya que las multas por infracción a y el mero hecho de no tenerlo asig- mientos especializados del Derecho
las previsiones legales de este nue- nado puede suponer una multa de (en lo que refiere tanto a las nuevas
vo Reglamento General Europeo hasta diez millones de euros. tecnologías en general como a la
en materia de protección de datos protección de daos en particular).
pueden llegar a los diez millones de En segundo lugar, ya en el sector
euros por el mero hecho de no cum- privado, cuando las operaciones de Y, por supuesto, tanto en el sector
plir los requisitos legales básicos y a tratamiento de datos personales, público como en el privado, el de-
veinte millones de euros para infrac- por razón de su naturaleza, alcance legado de protección de datos po-
ciones al nuevo marco de protección y/o fines, requieran una observación drá formar parte de la plantilla del
del derecho de protección de carác- habitual y sistemática de la protec- responsable del tratamiento o bien
ter personal (artículo 83); todo ello ción de datos a gran escala. desempeñar su función de forma ex-
al margen de la responsabilidad civil terna a la organización del respon-
pertinente que se superpondría a Y en tercer lugar, también en el sable del tratamiento en el marco
esta sanción administrativa. sector privado, cuando se produz- de un contrato de servicios (como
can actividades que consistan en el los que puede ofrecer un despacho
Como aspectos que, en mi opi- tratamiento a gran escala de catego- de abogados o una consultaría, me-
nión, ya resultan de aplicación en- rías especiales de datos personales diante contratos de outsourcing , mi-
contramos el llamado Derecho al especialmente protegidos (como nuta…).
DOSSIER | 14 ANÁLISIS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
Por tanto, conviene en este año que tenerlo previsto en el presu- de Datos de la Unión Europea es la
2017 tener claro si el DPO estará inte- puesto del 2018 y se debe de contra- obligatoriedad en el sector público
grado o formará parte de la empresa o tar conforme a la normativa de con- y la cuasi obligatoriedad en el sec-
de la Administración Pública o si será tratación del sector público. tor privada (bien porque se tratan
un profesional jurídico-técnico exter- un elevado volumen de datos o bien
no, sabiendo que en todo caso va a Además, la AEPD ya ha comenza- porque se tratan datos sensibles) en
tener una enorme responsabilidad, do a publicar diversas guías, como la tener un DPO que supervise, coordi-
como prevenir y evitar las conductas relativa al nuevo modo en que se tie- ne, gestione y lleve la implantación
que pueden terminar con una sanción ne que obtener el consentimiento, o continua y las auditorías internas en
administrativa tan desproporcionada. las relaciones entre encargado y res- materia de protección de datos, con
En ese sentido, el DPO desempeña- ponsable del tratamiento o la imple- el fin de prevenir y evitar conductas
rá sus funciones prestando la debida mentación en pymes, que dan cuen- o praxis que pueden desembocar en
atención a los riesgos asociados a las ta de lo importante y conveniente grandes multas administrativa (de
operaciones de tratamiento, teniendo que es comenzar ya a implementar 10 o 20 millones de euros) para las
en cuenta la naturaleza, el alcance, el el nuevo Reglamento General Euro- entidades públicas y privadas res-
contexto y fines del tratamiento. peo de Protección de Datos. ponsables del tratamiento de datos
personales.
Dichas previsiones son especial- En definitiva, una de las conse- * Artículo publicado en: Revista Aranzadi de Dere-
mente necesarias en la Administra- cuencias más importantes del Re- cho y Nuevas Tecnologías num.43/2017
ción y el sector público, ya que hay glamento General de Protección Editorial Aranzadi, S.A.U.
CONTRACT EXPRESS
Automatización y
seguimiento de contratos
¿Cómo podemos ayudarte hoy en día a racionalizar de forma rigurosa el
proceso de elaboración de documentos de tu trabajo?
Algunos de los despachos de abogados y empresas más prestigiosos del mundo
recurren a Contract Express para aumentar su eficiencia a la hora de redactar documentos.
Han descubierto que esta herramienta les permite reducir horas de trabajo no recuperables
y aumentar su rentabilidad.
CONTRACT EXPRESS MARCA LA DIFERENCIA
Nuestra acreditada herramienta de creación de plantillas basadas en Microsoft® Word, es uno de los
sistemas más avanzados y sencillos de utilizar disponibles en la actualidad. Su lenguaje de marcado
extensible y natural elimina retrasos, errores, gastos, pérdidas de confianza y la falta general de
viabilidad propia de las herramientas de sistemas heredados. Contract Express permite a los abogados
realizar el trabajo por sí mismos sin necesidad de recurrir constantemente a los programadores de IT
para automatizar las plantillas de los documentos jurídicos.
https://www.thomsonreuters.es/es/tienda.html
T. 900 40 40 47 | masinfo@thomsonreuters.com
LEGISLACIÓN
Reglamento Europeo de Protección de
Datos Reglamento 2016/679/UE, de 27 de abril.
LCEur 2016\605
PROTECCIÓN DE DATOS. Protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por el que
se deroga la Directiva 95/46/CE (LCEur 1995\2977)
Parlamento Europeo y Consejo
DOL 4 mayo 2016, núm. 119, [pág. 1].
VER REGLAMENTO
TITULO II. Principios de la CAPÍTULO II. PRINCIPIOS TÍTULO II. Principios de protección de
protección de datos Artículo 5. Principios relativos al tratamiento. datos.
Artículo 4. Calidad de los datos. Artículo 6. Licitud del tratamiento Artículo 4. Inexactitud de los datos.
Artículo 5. Derecho a información en la Artículo 7. Condiciones para el consentimiento. Artículo 5. Deber de confidencialidad.
recogida de datos. Artículo 8. Condiciones aplicables al consentimiento del Artículo 6. Tratamiento basado en el
Artículo 6. Consentimiento del afectado. niño en relación con los servicios de la sociedad de la consentimiento del afectado.
Artículo 7. Datos especialmente protegidos. información. Artículo 7. Consentimiento de los menores
Artículo 8. Datos relativos a la salud. Artículo 9. Tratamiento de categorías especiales de datos de edad.
Artículo 9. Seguridad de los datos. personales. Artículo 8. Tratamiento de datos amparado
Artículo 10. Deber de secreto. Artículo 10. Tratamiento de datos personales relativos a por la ley.
Artículo 11. Comunicación de datos. condenas e infracciones penales. Artículo 9. Categorías especiales de datos.
Artículo 12. Acceso a los datos por cuenta Artículo 11. Tratamiento que no requiere identificación. Artículo 10. Tratamiento de datos de
de terceros. naturaleza penal.
TITULO III. Derechos de las personas CAPÍTULO III. DERECHOS DEL INTERESADO TÍTULO III.
Artículo 13. Impugnación de valoraciones. SECCIÓN 1ª. Transparencia y modalidades Derechos de las personas
Artículo 14. Derecho de consulta al Registro Artículo 12. Transparencia de la información, CAPÍTULO I. Transparencia e información
General de Protección de Datos. comunicación y modalidades de ejercicio de los derechos Artículo 11. Transparencia e información al
Artículo 15. Derecho de acceso. del interesado. afectado.
Artículo 16. Derecho de rectificación y
SECCIÓN 2ª. Información y acceso a los datos CAPÍTULO II. Ejercicio de los derechos
cancelación.
personales Artículo 12. Disposiciones generales sobre
Artículo 17. Procedimiento de oposición,
Artículo 13. Información que deberá facilitarse cuando los ejercicio de los derechos.
acceso, rectificación o cancelación.
datos personales se obtengan del interesado. Artículo 13. Derecho de acceso.
Artículo 18. Tutela de los derechos.
Artículo 14. Información que deberá facilitarse cuando los Artículo 14. Derecho de rectificación.
Artículo 19. Derecho a indemnización.
datos personales no se hayan obtenido del interesado. Artículo 15. Derecho de supresión.
Artículo 15. Derecho de acceso del interesado. Artículo 16. Derecho a la limitación del
tratamiento.
SECCIÓN 3ª. Rectificación y supresión
Artículo 17. Derecho a la portabilidad.
Artículo 16. Derecho de rectificación
Artículo 18. Derecho de oposición.
Artículo 17. Derecho de supresión («el derecho al
olvido»).
Artículo 18. Derecho a la limitación del tratamiento.
Artículo 19. Obligación de notificación relativa a la
rectificación o supresión de datos personales o la
limitación del tratamiento.
Artículo 20. Derecho a la portabilidad de los datos.
SECCIÓN 4ª. Derecho de oposición y decisiones
individuales automatizadas
Artículo 21. Derecho de oposición.
Artículo 22. Decisiones individuales automatizadas,
incluida la elaboración de perfiles.
SECCIÓN 5ª. Limitaciones
Artículo 23. Limitaciones.
DOSSIER | 18 TABLAS COMPARATIVAS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
TITULO V. Movimiento internacional de CAPÍTULO V. TRANSFERENCIAS DE DATOS TÍTULO VI. Transferencias internacionales
datos PERSONALES A TERCEROS PAÍSES U de datos
Artículo 33. Norma general. ORGANIZACIONES INTERNACIONALES Artículo 40. Régimen de las transferencias
Artículo 34. Excepciones. Artículo 44. Principio general de las transferencias. internacionales de datos.
Artículo 45. Transferencias basadas en una decisión de Artículo 41. Supuestos de adopción por la
adecuación. Agencia Española de Protección de Datos.
Artículo 46. Transferencias mediante garantías Artículo 42. Supuestos sometidos a
adecuadas. autorización previa de la Agencia Española
Artículo 47. Normas corporativas vinculantes. de Protección de Datos.
Artículo 48. Transferencias o comunicaciones no Artículo 43. Supuestos sometidos a
autorizadas por el Derecho de la Unión. información previa a la autoridad de
Artículo 49. Excepciones para situaciones específicas. protección de datos competente.
Artículo 50. Cooperación internacional en el ámbito de
la protección de datos personales.
TITULO VI. Agencia de protección de CAPÍTULO VI. AUTORIDADES DE CONTROL TÍTULO VII. Autoridades de protección
datos INDEPENDIENTES de datos
Artículo 35. Naturaleza y régimen jurídico. SECCIÓN 1ª. Independencia CAPÍTULO I. La Agencia Española de
Artículo 36. El Director. Artículo 51. Autoridad de control Protección de Datos
Artículo 37. Funciones. Artículo 52. Independencia. Sección 1.ª Disposiciones generales
Artículo 38. Consejo Consultivo. Artículo 53. Condiciones generales aplicables a los Artículo 44. Disposiciones generales.
Artículo 39. El Registro General de miembros de la autoridad de control. Artículo 45. Régimen jurídico.
Protección de Datos. Artículo 54. Normas relativas al establecimiento de la Artículo 46. Régimen económico
Artículo 40. Potestad de inspección. autoridad de control. presupuestario y de personal.
Artículo 41. Órganos correspondientes de SECCIÓN 2ª. Competencia, funciones y poderes Artículo 47. Funciones y potestades de la
las Comunidades Autónomas. Artículo 55. Competencia. Agencia Española de Protección de Datos.
Artículo 42. Ficheros de las Comunidades Artículo 56. Competencia de la autoridad de control Artículo 48. El Presidente de la Agencia
Autónomas en materia de su exclusiva principal. Española de Protección de Datos.
competencia. Artículo 57. Funciones. Artículo 49. Consejo Consultivo de la
Artículo 58. Poderes. Agencia.
Artículo 59. Informe de actividad. Artículo 50. Publicidad.
Sección 2.ª Potestades de investigación y
planes de auditoría preventiva
Artículo 51. Ámbito y personal competente.
Artículo 52. Deber de colaboración.
Artículo 53. Alcance de la actividad de
investigación.
Artículo 54. Planes de auditoría preventiva.
Sección 3.ª Otras potestades de la Agencia
Española de Protección de Datos
Artículo 55. Potestades de regulación.
Circulares de la Agencia Española de
Protección de Datos.
Artículo 56. Acción exterior.
CAPÍTULO II. Autoridades autonómicas
de protección de datos
Sección 1.ª Disposiciones generales
Artículo 57. Autoridades autonómicas de
protección de datos.
Artículo 58. Cooperación institucional.
Artículo 59. Tratamientos contrarios al
Reglamento (UE) 2016/679 y la presente
ley orgánica.
Sección 2.ª Coordinación en el marco de
los procedimientos establecidos en el
Reglamento (UE) 2016/679.
Artículo 60. Coordinación en caso de
emisión de dictamen por el Comité
Europeo de Protección de Datos.
Artículo 61. Intervención en caso de
tratamientos transfronterizos.
Artículo 62. Coordinación en caso de
resolución de conflictos por el Comité
Europeo de Protección de Datos.
DOSSIER | 20 TABLAS COMPARATIVAS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
TITULO VII. Infracciones y sanciones CAPÍTULO VIII. RECURSOS, RESPONSABILIDAD Y TÍTULO IX. Régimen sancionador
Artículo 43. Responsables. SANCIONES Artículo 70. Sujetos responsables.
Artículo 44. Tipos de infracciones. Artículo 77. Derecho a presentar una reclamación ante Artículo 71. Infracciones.
Artículo 45. Tipo de sanciones. una autoridad de control. Artículo 72. Infracciones consideradas muy
Artículo 46. Infracciones de las Artículo 78. Derecho a la tutela judicial efectiva contra graves.
Administraciones públicas. una autoridad de control. Artículo 73. Infracciones consideradas
Artículo 47. Prescripción. Artículo 79. Derecho a la tutela judicial efectiva contra graves.
Artículo 48. Procedimiento sancionador. un responsable o encargado del tratamiento. Artículo 74. Infracciones consideradas
Artículo 49. Potestad de inmovilización de Artículo 80. Representación de los interesados. leves.
ficheros. Artículo 81. Suspensión de los procedimientos. Artículo 75. Interrupción de la prescripción.
Artículo 82. Derecho a indemnización y responsabilidad. Artículo 76. Sanciones y medidas
Artículo 83. Condiciones generales para la imposición correctivas.
de multas administrativas. Artículo 77. Régimen aplicable a
Artículo 84. Sanciones. determinadas categorías de responsables o
encargados del tratamiento.
Artículo 78. Prescripción de las sanciones.
DOSSIER | 21 TABLAS COMPARATIVAS
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS
DISPOSICIONES FINALES CAPÍTULO XI. DISPOSICIONES FINALES Disposición final primera. Naturaleza de la
Primera. Habilitación para el desarrollo Artículo 94. Derogación de la Directiva 95/46/CE. presente ley.
reglamentario. Artículo 95. Relación con la Directiva 2002/58/CE. Disposición final segunda. Título
Segunda. Preceptos con carácter de Ley Artículo 96. Relación con acuerdos celebrados competencial.
ordinaria anteriormente. Disposición final tercera. Modificación
Tercera. Entrada en vigor. Artículo 97. Informes de la Comisión. de la Ley 1/2000, de 7 de enero, de
Artículo 98. Revisión de otros actos jurídicos de la Unión Enjuiciamiento Civil.
en materia de protección de datos. Disposición final cuarta. Modificación de la
Artículo 99. Entrada en vigor y aplicación. Ley 29/1998, de 13 de julio, reguladora de
la Jurisdicción Contencioso-Administrativa.
Disposición final quinta. Entrada en vigor.
DOSSIER | 23
TRATAMIENTO DE DATOS Directiva 95/46: sin regulación Proyecto LOPD: continúa contemplando su
LOPD: no excluye estos datos de su regulación, salvo terrorismo y delincuencia
POLICIALES Y JUDICIALES regulación, salvo terrorismo y delincuencia organizada.
organizada.
DATOS DE PERSONAS LOPD: acceso a los datos por los herederos Reglamento 2016/679: No se aplica a la
conforme a las instrucciones dadas por el protección de datos de personas fallecidas.
FALLECIDAS titular fallecido. Remisión a la regulación por los Estados
miembros.
Proyecto LOPD: regulación similar a
la LOPD respecto a los datos del titular
fallecido en poder de prestadores de
servicios de la sociedad de la información.
Proyecto LOPD
Derecho de información: esquema de
información por capas, en determinados
supuestos de obtención de datos:
el responsable de be remitir a una
dirección electrónica para acceder a la
restante información que se exige en el
Reglamento.
Derecho de acceso
Derecho de rectificación
Derecho de supresión
Derecho de limitación de tratamiento
Derecho de portabilidad
Derecho de oposición
Incorporación de la obligación de
bloqueo: garantiza que los datos queden
a disposición de un Tribunal, Ministerio
Fiscal u otras autoridades
- Nombramiento de un Delegado de
Protección de Datos (Data Protection
Officer DPO) (RGPD)
PRINCIPIO DE - Obligatoriedad de su nombramiento:
RESPONSABILIDAD ACTIVA NO EXISTE · En entidades públicas. Excepto juzgados
y tribunales cuando ejerzan la función
“ACCOUNTABILITY” judicial.
· Entidades de naturaleza privada que
realizan tratamientos de datos especiales
a gran escala atendiendo a su naturaleza,
alcance y fines o a las categorías
especiales de datos que se tratan.
Proyecto de LOPD: listado en los que será
obligatoria la designación de un DPO.
Art. 34 (aseguradoras, distribuidores y
comercializadores de energía eléctrica o
gas natural, responsables de sistemas de
información crediticia, centros sanitarios,
centros docentes de enseñanzas regladas
y Universidades, juegos on line....)
• La obligatoriedad de que las personas que quieran ver certificadas dichas competencias deban
ser evaluadas por entidades de certificación acreditadas por ENAC de acuerdo con los requisi-
tos establecidos en la norma ISO 17024 que garantiza su competencia técnica e imparcialidad.
De esta manera las empresas dispondrán de una información transparente y veraz sobre las compe-
tencias que le aporta una persona que vaya a contratar como DPO si dicha persona ha sido certificada
dentro del esquema de la AEPD.
DOSSIER | 29 PREGUNTAS CON RESPUESTA
MANUAL DE LAS PRINCIPALES NOVEDADES DEL REGLAMENTO
EUROPEO DE PROTECCIÓN DE DATOS