por 
1. ¿Qué regula el RGPD?
El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas física en lo que respecta al tratamiento de datos personales (en adelante, “Reglamento General de Protección de Datos” o “RGPD”) es la normativa europea que regula la protección de los datos personales y la libre circulación de esos datos entre los Estados Miembros.
Entró en vigor el 24 de mayo de 2016 y fue aplicable a partir del 25 de mayo de 2018, dejando obsoleta la Ley Orgánica de Protección de Datos vigente en ese momento en España, la ya derogada Ley Orgánica 15/1999 de protección de datos personales. Con la aplicabilidad del RGPD, en España se aprobó la actual Ley 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
El RGPD establece los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y, además, ofrece un conjunto de derechos digitales para los ciudadanos de la Unión Europea.
Ello obedece al aumento sustancial de los flujos transfronterizos de datos personales. La parte expositiva del RGPD reconoce que en toda la Unión Europea se ha incrementado el intercambio de datos personales entre operadores públicos y privados, y la rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales.
Con todo, el derecho a la protección de datos personales no es un derecho absoluto, y el propio RGPD establece que éste debe considerarse en relación con su función en la sociedad, de forma que se mantenga un equilibrio entre el derecho a la protección de datos personales y otros derechos fundamentales.
2. ¿Cuál es el ámbito de aplicación del RGPD?
El RGPD establece las normas relativas a la protección de personas físicas en lo que respecta al tratamiento de sus datos personales. En particular, se aplica al tratamiento total o parcialmente automatizado de datos, además de al tratamiento no automatizado, siempre que este tratamiento se realice en el contexto de las actividades de un establecimiento del responsable o encargado del tratamiento en la Unión Europea, independientemente de que el tratamiento tenga lugar en la Unión Europea.
También se aplica el RGPD a los tratamientos de datos personales de interesados que residan en la Unión Europea, por parte de un responsable o encargado no establecido en la Unión, cuando las actividades del tratamiento estén relacionadas con la oferta de bienes y servicios o al control de su comportamiento. Es decir, el tratamiento de datos personales llevado a cabo por una empresa establecida en EEUU, de usuarios residentes en la Unión Europea, deberá estar sometido a las normas establecidas en el RGPD.
En cambio, no se aplica al tratamiento de datos personales en el ejercicio de una actividad no comprendida en el ámbito de aplicación del derecho de la Unión Europea ni al tratamiento efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. Tampoco se aplica a tratamientos realizados por autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales.
El RGPD tampoco es aplicable al tratamiento de datos personales relativos a personas jurídicas, ni a personas físicas fallecidas.
3. Estructura del RGPD
El RGPD está estructurado en once capítulos, algunos de los cuales están divididos en secciones.
- Capítulo I. Disposiciones generales.
- Capítulo II. Principios.
- Capítulo III. Derechos del interesado.
- Capítulo IV. Responsable del tratamiento y encargado del tratamiento.
- Capítulo V. Transferencias de datos personales a terceros países u organizaciones internacionales.
- Capítulo VI. Autoridades de control independientes.
- Capítulo VII. Cooperación y coherencia.
- Capítulo VIII. Recursos, responsabilidad y sanciones.
- Capítulo IX. Disposiciones relativas a situaciones específicas de tratamiento.
- Capítulo X. Actos delegados y actos de ejecución.
- Capítulo XI. Disposiciones finales.
El Capítulo primero establece las disposiciones generales como el objeto del RGPD, su ámbito de aplicación material y su ámbito territorial. Además, define una serie de conceptos básicos, como “datos personales”, “tratamiento”, “responsable del tratamiento” o “encargado del tratamiento”, entre otros.
El Capítulo II establece los principios fundamentales del derecho a la protección de datos. Se definen los principios relativos al tratamiento como la licitud del tratamiento, las condiciones que deben darse para entender que el tratamiento se basa en el consentimiento del interesado, y cómo deben efectuarse los tratamientos de categorías especiales de datos personales o los datos relativos a condenas e infracciones penales.
El Capítulo III, por su parte, detalla cuáles son y en qué consisten los derechos del interesado. Entre ellos, se incluye el derecho de transparencia de la información, el derecho de acceso, el derecho de rectificación y supresión (o derecho al olvido), el derecho a la limitación del tratamiento, el derecho a la portabilidad de los datos y el derecho de oposición, incluyendo la oposición a decisiones individuales automatizadas.
El Capítulo IV define quiénes son los responsables y encargados del tratamiento de los datos personales. Se establecen las obligaciones generales de cada uno de ellos, la seguridad del tratamiento que debe garantizarse y la manera en que deben realizarse evaluaciones de impacto de las operaciones de tratamiento en la protección de datos personales. Además, este capítulo delimita la figura del Delegado de Protección de Datos y establece cuándo será obligatorio designar a uno y cuáles son sus funciones.
El Capítulo V se ocupa de regular las transferencias de datos personales a terceros países u organizaciones internacionales, que deben hacerse con las garantías adecuadas.
Por su parte, el Capítulo VI se dedica a definir quiénes serán las autoridades de control independientes que supervisen la aplicación del RGPD, cuáles son sus competencias, funciones y poderes.
El Capítulo VII establece una obligatoria cooperación entre la autoridad de control principal y las demás autoridades de control interesadas y un mecanismo de coherencia entre las autoridades de control. En este Capítulo se crea, además, el Comité Europeo de Protección de Datos, como organismo de la Unión Europea compuesto por el director de una autoridad de control de cada Estado Miembro.
En el Capítulo VIII se establece el derecho de los interesados a presentar reclamaciones ante las autoridades de control, en caso de considerar infringidos sus derechos en virtud del RGPD. Se afirma, así, que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o del encargado del tratamiento una indemnización.
El Capítulo IX establece ciertas disposiciones relativas a situaciones específicas de tratamiento. Concretamente, se afirma que los Estados Miembros deberán conciliar el derecho a la protección de datos personales con el derecho a la libertad de expresión y de información. También se hace referencia a la protección de datos en iglesias y asociaciones religiosas y a los tratamientos con fines de archivo en interés público, fines de investigación científica o histórica, o fines estadísticos.
El Capítulo X, por su parte, otorga poderes para adoptar actos delegados y finalmente, el último capítulo realiza una serie de disposiciones finales, entre las que se deroga la Directiva 95/46/CE, la norma anterior relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y la libre circulación de los mismos.
Descárguese aquí el texto completo y vigente del Reglamento General de Protección de Datos.
Contacte con abogados especializados en protección de datos y privacidad.
