Reglamento general de protección de datos (RGPD)

 

SÍNTESIS DEL DOCUMENTO:

Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

¿CUÁL ES EL OBJETIVO DE ESTE REGLAMENTO?

• El Reglamento general de protección de datos (RGPD) protege a las personas cuando sus datos están siendo tratados por el sector privado y la mayor parte del sector público. En cambio, el tratamiento de los datos por parte de las autoridades competentes con fines policiales está sujeto a la Directiva sobre protección de datos en el ámbito penal (véase la síntesis).
• Permite que las personas controlen mejor sus datos personales. Asimismo, moderniza y unifica las normas que permiten a las empresas reducir la burocracia y beneficiarse de una mayor confianza por parte de los consumidores.
• Crea un sistema de autoridades de control completamente independientes a cargo de supervisar y velar por su cumplimiento.
• Es parte de la reforma de protección de datos de la Unión Europea (UE), junto con la Directiva sobre protección de datos en el ámbito penal y el Reglamento (UE) 2018/1725 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la UE (véase la síntesis).

PUNTOS CLAVE

Los derechos individuales

El RGPD refuerza los derechos existentes, genera nuevos derechos y ofrece a las personas un mayor control sobre sus datos personales. Incluye lo siguiente.

• Acceso más sencillo a los datos propios de una persona. Esto incluye proporcionar más información sobre cómo se tratan esos datos y garantizar que la información esté disponible de una forma clara y comprensible.
• Un nuevo derecho a la portabilidad de los datos. Esto facilita la transmisión de datos personales entre proveedores de servicios.
• Un derecho de supresión más claro (el derecho al olvido). Cuando una persona no desee que se sigan tratando sus datos y no exista ninguna razón legítima para conservarlos, se suprimirán los datos.
• El derecho a saber cuando exista una violación de la seguridad de los datos personales. Las empresas y organizaciones deben notificar a la autoridad de control pertinente encargada de la protección de datos y, en caso grave de violación de la seguridad de los datos, a las personas afectadas.

Normas para las empresas

El RGPD establece igualdad de condiciones para todas las empresas que desarrollen sus operaciones en el mercado interior de la UE, adopta un planteamiento neutro desde el punto de vista tecnológico y estimula la innovación mediante de una serie de pasos, que incluyen lo siguiente:

• Un conjunto único de normas aplicable en toda la UE. Una única ley de protección de datos para toda la UE aumenta la seguridad jurídica y reduce la carga administrativa.
• Un delegado de protección de datos. Una persona responsable de la protección de datos debe ser designada por las autoridades públicas y las empresas que procesan los datos a gran escala, o cuya actividad principal es el procesamiento de categorías especiales de datos, como los datos relativos a la salud.
• Ventanilla única. Las empresas solo tienen que tratar con una sola autoridad de control (en el Estado miembro de la UE en el que tienen su establecimiento principal); las autoridades de control pertinentes cooperan en el marco del Comité Europeo de Protección de Datos para los casos transfronterizos.
• Normas de la UE para las empresas de fuera de la UE. Las empresas con sede fuera de la UE deben aplicar las mismas normas al ofrecer productos o servicios o realizar una supervisión del comportamiento de las personas dentro de la UE.
• Normas que promuevan la innovación. Una garantía de que se integren salvaguardias relativas a la protección de datos en los productos y servicios desde las primeras etapas del desarrollo (protección de datos desde el diseño y por defecto).
• Técnicas respetuosas con la privacidad. Se fomenta la utilización de técnicas como la seudonimización (cuando los campos identificativos de un registro de datos se sustituyen por uno o más identificativos artificiales) y el cifrado (cuando se codifican los datos de tal manera que solamente puedan leerlos las partes autorizadas) para limitar la invasión al tratamiento.
• Eliminación de notificaciones. El RGPD elimina la mayoría de las obligaciones de notificación y los costes asociados a estas. Uno de sus objetivos es eliminar los obstáculos a la libre circulación de datos personales en la UE. Esto facilitará la expansión de las empresas en el mercado único digital.
• Evaluaciones de impacto relativa a la protección de datos. Las organizaciones deben llevar a cabo evaluaciones de impacto cuando el tratamiento de datos pueda ocasionar un riesgo elevado para los derechos y libertades de las personas.
• Mantenimiento de registros. Las pymes no están obligadas a mantener registros de sus actividades de tratamiento, salvo que dichas actividades sean regulares o puedan ocasionar un riesgo para los derechos y las libertades de la persona cuyos datos están siendo procesados, o incluyan categorías sensibles de datos.
• Un conjunto de herramientas moderna para las transferencias internacionales de datos. El RGPD ofrece varios instrumentos para transferir datos fuera de la UE, incluidas las decisiones de adecuación adoptadas por la Comisión Europea cuando el país no perteneciente a la UE ofrece un nivel adecuado de protección, cláusulas contractuales (tipo) preaprobadas, normas corporativas vinculantes, códigos de conducta y certificación.

Revisión

La Comisión presentó un informe sobre la evaluación y la revisión del Reglamento en junio de 2020. La próxima evaluación está prevista para 2024.

¿DESDE CUÁNDO ESTÁ EN VIGOR EL REGLAMENTO?

El RGPD está en vigor desde el 25 de mayo de 2018.

ANTECEDENTES

Para más información, véanse:

• Reforma de las normas de protección de datos de la UE (Comisión Europea)
• Normas de la Unión Europea para la protección de datos (Comisión Europea)
• Informe de la Comisión: las normas de protección de datos de la UE empoderan a los ciudadanos y están adaptadas a la era digital; comunicado de prensa (Comisión Europea)
• Reforma de la protección de datos; comunicado de prensa (Comisión Europea)
• Protección de datos personales (Comisión Europea).

Tras la pandemia de COVID-19 y la introducción de medidas para hacer frente a los efectos de la crisis, la Comisión ha adoptado:

• la Recomendación (UE) 2020/518 de la Comisión, de 8 de abril de 2020, relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados.

DOCUMENTO PRINCIPAL

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1-88).

Las sucesivas modificaciones del Reglamento (UE) 2016/679 se han incorporado al texto original. Esta versión consolidada solo tiene valor documental.

DOCUMENTOS CONEXOS

Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, pp. 89-131).

Véase la versión consolidada.

Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.^o 45/2001 y la Decisión n.^o 1247/2002/CE (DO L 295 de 21.11.2018, pp. 39-98).

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, pp. 37-47).

Véase la versión consolidada.

última actualización 07.01.2022