El nou Reglament general de protecció de dades (RGPD) és una norma directament aplicable, que no requereix normes internes de transposició ni tampoc, en la majoria dels casos, normes de desenvolupament o d’aplicació. Per això, abans de res cal que els responsables assumeixin que la norma de referència és l’RGPD i no les normes nacionals, com havia estat fins ara amb la Directiva 95/46. No obstant això, la llei que substituirà l'actual Llei orgànica de protecció de dades (LOPD) sí que podrà incloure algunes precisions o desenvolupaments en matèries en les quals l’RGPD ho permet.

L’RGPD es va publicar al maig de 2016 i, tot i que va entrar en vigor el 24 de maig de 2016, serà aplicable a partir del 25 de maig de 2018. En aquest període transitori, i tot i que les disposicions de la Directiva 95/46 i les normes nacionals de desenvolupament continuen vigents, els responsables i els encarregats de tractament han d'anar preparant i adoptant les mesures necessàries per estar en condicions de complir amb les previsions de l’RGPD en el moment en què sigui aplicable.

Fins al 25 de maig de 2018, la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) i el seu Reglament de desenvolupament (RLOPD), aprovat pel Reial decret 1720/2007, de 21 de desembre, continuen sent de plena aplicació.

A partir d'aquesta data, alguns aspectes de l’LOPD i de l’RLOPD quedaran desplaçats per l’RGPD. Altres aspectes, en canvi, poden continuar sent aplicables, bé perquè queden fora de l'àmbit d'aplicació de l’RGPD o perquè el mateix RGPD en permet la regulació d’àmbit estatal.

L’RGPD preveu expressament la possibilitat que en un estat hi pugui haver diverses autoritats de protecció de dades. En qualsevol cas, l’RGPD no afecta l'àmbit d'actuació de l’APDCAT establert per l’EAC i la Llei 32/2010, si bé pot caldre adaptar aquesta llei a la nova regulació de les funcions de les autoritats de control.


L’RGPD introdueix nous drets per a les persones afectades, com el dret a l'oblit, que es vincula al dret de cancel·lació, el dret a la portabilitat o el dret a la limitació del tractament.

Però, a més, el nou Reglament estableix altres garanties per a les persones afectades:

D'una banda, estableix l'aplicabilitat de la normativa europea no només quan l'establiment del responsable o de l'encarregat estigui en un estat de la Unió Europea, sinó en qualsevol altre cas en què el tractament es faci en ocasió d'una oferta de béns i serveis als interessats o de control del seu comportament, si tenen lloc a la Unió Europea. Això reforça especialment l'aplicabilitat de la normativa europea en els serveis prestats a la xarxa.

D'altra banda, també els garanteix el dret a ser informats sense dilacions indegudes de les violacions de seguretat que comporten un risc alt per als seus drets i llibertats, perquè puguin adoptar les mesures pertinents.

Finalment, en tractaments en què hi pugui haver elements d'internacionalitat, el mecanisme de la finestreta única (one stop shop) que preveu l’RGPD permet que els ciutadans no s’hagin de relacionar amb autoritats de control diferents de la de l'estat en què resideixen, per plantejar reclamacions o denúncies.

No. En aquest àmbit, cal tenir en compte la Directiva (UE) 2016/680 del Parlament i del Consell, de 27 d'abril de 2016, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a finalitats de prevenció, recerca, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, i a la lliure circulació d'aquestes dades i per la qual es deroga la Decisió marc 2008/977/JAI del Consell.

Els estats membres de la Unió Europea han de transposar aquesta directiva abans del 6 de maig de 2018.

 

Data d'actualització:  23.01.2017