<strong>El RGPD y la LOPDGDD: La protección de datos en España en 2022</strong>
Todas las noticias

El RGPD y la LOPDGDD: La protección de datos en España en 2022

Por 10 de noviembre de 2022No Comments

A pesar de ser un tema bastante complicado, la protección de datos es algo que no podemos ignorar y con la entrada en vigor de las normativas: Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) se modificó sustancialmente la forma en la que las empresas y organizaciones tratan los datos personales de sus clientes.

 ¿Qué es el RGPD?

El RGPD o Reglamento General de Protección de Datos, es la norma de referencia europea en materia de protección de datos, que refuerza y unifica la protección de los datos de los individuos en el seno de la Unión Europea.

Este reglamento entró en vigor en mayo de 2016 y es aplicable desde el 25 de mayo de 2018, y una de sus principales novedades es que extiende el campo de aplicación de la ley al conjunto de entidades u organizaciones, tengan o no sede en la Unión Europea, cuando recojan, guarden, traten, usen o gestionen algún dato con información personal de residentes europeos.

Además, no hace distinción entre empresas B2B y B2C y esto concierne a muchas actividades ya que la dirección de email profesional de un individuo pasa a considerarse ahora como información personal.

Puntos clave del RGPD

El RGPD es una reglamentación muy extensa en materia de protección de datos que ha introducido numerosos cambios que están sirviendo de referencia a nivel internacional en materia de protección de datos

Los principales cambios introducidos son:

  • Definición expandida de lo que es la información personal: Cualquier información que contribuya a la identificación de una persona física está incluida dentro de la nueva definición de “datos personales”.
  • Derechos individuales y condiciones para el consentimiento nuevas y fortalecidas: Se fortalecen los derechos de acceso, el derecho al olvido, y a la portabilidad de los datos. Los responsables y encargados del tratamiento de los datos personales tienen la obligación de comunicar de forma clara estos derechos a los individuos de los que toman los datos. Además, se establece la no admisión del consentimiento tácito, sino que este debe ser explícito y otorgado mediante una acción concreta.
  • Mayores responsabilidades para quienes tratan y procesan la información: Tanto los responsables de los datos personales, como los que los procesan (los encargados del tratamiento, como pueden ser terceros proveedores de servicios) deben cumplir con el RGPD y contra ellos pueden emprenderse acciones legales.
  • Efecto extraterritorial: El RGPD es de aplicación directa para todos aquellos que traten información personal de personas físicas que residan en la UE, independientemente de donde se encuentren.
  • Obligación de poner medidas preventivas de protección de datos: Es imprescindible realizar una evaluación de impacto y poner en marcha todas las medidas técnicas y organizativas necesarias con el fin de prevenir cualquier tipo de riesgo.
  • Deber de informar sobre brechas de seguridad: En caso de brecha de seguridad, el responsable de los datos deberá notificar a la autoridad nacional correspondiente en un plazo de 72 horas.
  • La figura del delegado de la protección de los datos (DPD): El Reglamento estipula que existen una serie de supuestos en los que una entidad debe designar a un Delegado de Protección de Datos, algo que en España ha ahondado la LOPDGDD.

 Todos estos cambios se traducen en la necesidad de las entidades de adoptar nuevas medidas organizativas, como la designación de un DPD, y nuevas técnicas relacionadas con la seguridad de los sistemas.

 ¿Cuál es la multa por incumplimiento del RGPD?

Las sanciones por incumplimiento estipuladas en el RGPD pueden alcanzar hasta los 20 millones de euros o el 4 % de los beneficios anuales, cualquiera que sea la mayor de las dos.

 

La LOPDGDD: la Ley de Protección de Datos en España

En España la protección del tratamiento de los datos personales estaba regulado por la Ley de Protección de Datos de Carácter Temporal de 1999, más conocida por la LOPD hasta la llegada en 2018 del RGPD, que al adaptarlo a la normativa española se tradujo en la nueva Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) que sustituye a la antigua LOPD.

El nuevo texto fue aprobado en el Congreso el 18 de octubre de 2018, fue publicado en el BOE el 6 de diciembre de ese mismo año.

¿Qué regula la LOPDGDD?

La Ley Orgánica 3/2018 consta de 97 artículos y precisa el alcance de algunos de los elementos introducidos en el RGPD. Las principales novedades son:

  • Los principios de protección de datos, así como su tratamiento y las formas óptimas de solicitar y otorgar el consentimiento.
  • La edad mínima para que los menores de edad den su consentimiento al tratamiento de sus datos personales, que queda fijada en los 14 años.
  • El modo en la que se tratan los datos de las personas fallecidas (los herederos o familiares tendrán derecho a acceder, modificar o borrar esos datos).
  • Los tratamientos concretos de datos, como pueda ser el caso de la información de carácter crediticio o de los datos relacionados con la realización de determinadas operaciones mercantiles.
  • La necesidad de verificar que los destinatarios no figuren en las Listas Robinson de exclusión publicitaria antes de enviar una comunicación comercial.

Además de estos puntos, otros elementos importantes que contempla la ley son los requisitos para la certificación de los Delegados de Protección de Datos y el régimen sancionador:

El Delegado de Protección de Datos en España

Según el RGPD hay que designar a un Delegado de Protección de Datos en tres supuestos:

  1. En el caso de que el tratamiento de los datos corresponda a una autoridad u organismo público.
  2. Cuando las actividades y operaciones principales del responsable de datos exijan un seguimiento regular y sistemático a gran escala.
  3. En el supuesto de que las actividades y operaciones principales del responsable requieran tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

En nuestro país, para aportar algo más de información, la LOPDGDD establece hasta 16 casos concretos en los que, de manera específica se exige su presencia, como por ejemplo: en los colegios profesionales, los centros de enseñanza, los establecimientos financieros de créditos, las aseguradoras o las empresas de servicios de inversión. Estos Delegados de Protección de Datos deben ser notificados a la AEPD.

El régimen sancionador en España

Como ya hemos comentado anteriormente el RGPD establece que, en caso de incumplimiento, las multas pueden llegar a ser de 20 millones o el 4 % del volumen de negocio anual global. En España la LOPDGDD ha concretado la clasificación de estas infracciones, dividiéndolas en tres apartados:

  • Muy graves: Aquellas que impliquen el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos y las transferencias internacionales de información sin garantías.
  • Graves: Aquellas que tengan que ver con datos de un menor recabados sin consentimiento, la no adopción de medidas técnicas y organizativas necesarias para la protección de datos efectiva, la falta del registro de actividades de tratamiento, la obstaculización de los derechos de rectificación o el incumplimiento de la obligación de nombrar un Delegado de Protección de Datos.
  • Leves: Todas las restantes, incluyendo, por ejemplo, no publicar o notificar los datos de contacto del Delegado de Protección de Datos.

Hay que señalar que, en el caso de España, la Agencia Española de Protección de Datos es una de las autoridades de control nacional que mayor número de sanciones ha impuesto desde la entrada en vigor del RGPD. Durante el año 2021 impuso 180 multas, de las cuales el caso más popular fue la sanción de 8 millones de euros a la empresas Vodafone España.