¿Cuándo entrará en vigor el RGPD?

El nuevo Reglamento General de Protección de Datos (RGPD) es una norma directamente aplicable, que no requiere de normas internas de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46. No obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

El RGPD fue publicado en mayo de 2016 y, aunque entró en vigor el 24 de mayo de 2016, será aplicable a partir del 25 de mayo de 2018. En este periodo transitorio y aun cuando siguen vigentes las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que sea de aplicación.

¿Se deroga la LOPD y el Reglamento que la desarrolla (RLOPD)?

Hasta el 25 de mayo de 2018, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Reglamento de desarrollo (RLOPD), aprobado por el Real Decreto 1720/2007, de 21 de diciembre, siguen siendo de plena aplicación.


A partir de esta fecha, algunos aspectos de la LOPD y del RLOPD quedarán desplazados por el RGPD. Otros aspectos, en cambio, pueden seguir siendo aplicables, bien porque queden fuera del ámbito de aplicación del RGPD o porque el mismo RGPD permite su regulación a nivel estatal.

¿Cómo afecta el RGPD a la Ley de la Autoridad Catalana de Protección de Datos?

El RGPD prevé expresamente la posibilidad de que en un Estado puedan existir varias autoridades de protección de datos. En cualquier caso, el RGPD no afectaría al ámbito de actuación de la APDCAT establecido en el EAC y la Ley 32/2010, si bien puede hacer necesario adaptar esta ley a la nueva regulación de las funciones de las autoridades de control.


¿Cuál es la autoridad de control competente en materia de transferencias internacionales?

El RGPD dispone que cada estado miembro debe establecer que la supervisión de la aplicación del RGPD sea responsabilidad de una o varias autoridades públicas independientes. Así, prevé de forma expresa la posibilidad que en un estado pueda haber varias autoridades de protección de datos. 

De acuerdo con el RGPD la autoridad de control competente en materia de transferencias internacionales respecto a las entidades incluidas en el ámbito de actuación de la Autoridad Catalana de Protección de Datos será esta misma Autoridad, dado que en los estados donde exista más de una autoridad corresponde a cada una de ellas ejercer la totalidad de las funciones establecidas al artículo 57, incluidas las previstas en la letra r) en relación con las transferencias internacionales.

¿Se pueden seguir realizando tratamientos basados en el consentimiento tácito iniciados antes de 25 de mayo de 2018?

El RGPD establece que el consentimiento debe consistir en una declaración o un acto afirmativo claro, que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le afecta. Por lo tanto, el silencio, las casillas ya marcadas o la inacción (como, por ejemplo, el consentimiento tácito) no constituyen un consentimiento válido de acuerdo con el RGPD.

De acuerdo con ello, los tratamientos de datos iniciados antes del 25 de mayo de 2018, basados en un consentimiento tácito, deben ajustarse a los requisitos del RGPD antes de esta fecha, ya sea mediante la obtención de un nuevo consentimiento que reúna los requisitos establecidos por el RGPD o mediante otra de las bases jurídicas establecidas por el RGPD.

¿Hay que volver a informar a las personas afectadas que ya lo habían sido de acuerdo con la LOPD, para informarlas de los nuevos aspectos que exigen los artículos 13 y 14 del RGPD?

El RGPD amplía las cuestiones sobre las que hay que informar a las personas afectadas y modifica algunos aspectos de la forma cómo se debe hacer.

Sin embargo, respecto a los datos recogidos antes del 25 de mayo de 2018, no es preceptivo informar nuevamente con los requisitos establecidos el RGPD. La obligación de informar según lo que establece el RGPD será exigible sólo respecto a los datos recogidos con posterioridad a esta fecha. Sin embargo, si las circunstancias lo permiten, una buena práctica recomendable puede ser aprovechar los actos de comunicación con las personas afectadas para informarlas de los nuevos extremos establecidos por el RGPD.

¿Cuál es el plazo para adaptar al RGPD todos los encargos del tratamiento formalizados antes del 25 de mayo de 2018?

A partir del día 25 de mayo de 2018, cualquier encargo del tratamiento establecido con anterioridad a esta fecha debe adaptarse a la nueva regulación, ya que el RGPD no prevé un plazo de adaptación más allá de esta fecha. 

Actualmente, se está tramitando una nueva ley orgánica de protección de datos personales que sustituirá a la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, para adaptar el ordenamiento jurídico español al RGPD y complementar sus disposiciones. Este proyecto de ley (disposición transitoria quinta) establece un periodo transitorio para adaptar al RGPD todos los encargos del tratamiento formalizados antes del 25 de mayo de 2018: por un lado, establece que los contratos de encargo de tratamiento con una duración determinada mantendrán la vigencia hasta su fecha de vencimiento o en el momento de su prórroga; por otro lado, cuando se trate de encargos con duración indefinida, mantendrán la vigencia hasta transcurridos cuatro años a partir del 25 de mayo de 2018.

¿Es necesario hacer una evaluación de impacto sobre la protección de datos de los tratamientos iniciados antes de 25 de mayo de 2018, incluidos en los supuestos previstos en el RGPD?

El Grupo de Trabajo del artículo 29, en sus directrices WP 248, considera que no se requiere una evaluación de impacto cuando las operaciones de tratamiento hayan sido comprobadas por una autoridad de control antes de mayo de 2018 y se realicen de la misma forma desde aquella comprobación. En cambio, se deben someter a una evaluación de impacto las operaciones de tratamiento que hayan cambiado desde la anterior comprobación realizada y, previsiblemente, puedan presentar un alto riesgo para los derechos y libertades de las personas interesadas.

¿Qué perfil profesional y titulación debe tener el Delegado de Protección de Datos?

El RGPD no requiere una titulación específica para el delegado de protección de datos. Sólo requiere que tenga conocimientos especializados en derecho, sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y un profundo conocimiento del RGPD, que le permita identificar los riesgos asociados a las operaciones del tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y las finalidades del tratamiento. Por lo tanto, se deberá determinar en función de las operaciones de tratamiento de datos que se realicen y de la protección requerida para los datos personales tratados.

En cualquier caso, debe tener conocimientos del sector de la actividad de que se trate, de la organización, de las operaciones de tratamiento que se lleven a cabo y de los sistemas de información.

¿Puede ser designado como Delegado de Protección de Datos el responsable de seguridad?

El delegado de protección de datos puede formar parte de la plantilla del responsable o del encargado del tratamiento, o bien ejercer sus funciones en el marco de un contrato de servicios. Puede realizar otras tareas y funciones diferentes a las que estrictamente correspondan al delegado de protección de datos. 

Ahora bien, para garantizar la independencia a la hora de ejercer sus funciones, el responsable o el encargado del tratamiento deben evitar que la asunción de estas otras tareas pueda dar lugar a un conflicto de intereses. Consiguientemente, no se puede designar como delegado de protección de datos a una persona que, al mismo tiempo, tenga atribuidas tareas que impliquen participar en el proceso de toma de decisiones sobre los tratamientos o en su implementación, en aspectos tan esenciales como el establecimiento de las medidas de seguridad, como es el caso del responsable de seguridad de la información.

¿Cómo refuerza el nuevo Reglamento los derechos de las personas?

El RGPD introduce nuevos derechos para las personas afectadas como el derecho al olvido, que se vincula al derecho de cancelación, el derecho a la portabilidad o el derecho a la limitación del tratamiento.

Pero, además, el nuevo Reglamento establece otras garantías para las personas afectadas:

Por un lado, establece la aplicabilidad de la normativa europea no sólo en los casos en los que el establecimiento del responsable o del encargado esté en un estado de la Unión Europea, sino en cualquier otro caso en el que el tratamiento se haya hecho con ocasión de una oferta de bienes y servicios o del control del comportamiento de interesados que se encuentran en la Unión Europea. Esto refuerza especialmente la aplicabilidad de la normativa europea en los servicios prestados en la red.

Por otra parte, también les garantiza el derecho a ser informados sin dilaciones indebidas de las violaciones de seguridad que comporten un riesgo alto para sus derechos y libertades, para que puedan adoptar las medidas pertinentes.

Finalmente, en tratamientos en los que pueda haber elementos de internacionalidad, el mecanismo de la ventanilla única (one stop shop) previsto en el RGPD permite que los ciudadanos no tengan que relacionarse con autoridades de control distintas de la del Estado en el que residan, para plantear reclamaciones o denuncias.

¿Se pueden seguir aplicando las medidas de seguridad que preveía el RLOPD?

El RGPD  no establece ningún listado de medidas de seguridad basado en los niveles de seguridad básico, medio y alto, como preveía el RLOPD, sino que deja a criterio del responsable y del encargado, previa evaluación de los riesgos, determinar qué medidas de seguridad se deberán implementar en cada caso.

En todo caso, las medidas de seguridad deben ser apropiadas para garantizar un nivel de protección adecuado al riesgo, estableciéndose las medidas organizativas y técnicas adecuadas. Las medidas previstas en el RLOPD que ya estén implantadas pueden ser útiles, pero se deberá analizar en cada caso si son suficientes o es necesario modificarlas. 

¿El RGPD es de aplicación a los tratamientos que se realizan en el ámbito policial y judicial penal?

No. En este ámbito hay que tener en cuenta en este ámbito la Directiva (UE) 2016/680 del Parlamento y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

Los estados miembros de la Unión Europea deben transponer esta directiva antes del 6 de mayo de 2018.  

¿Cómo debe organizarse el registro de operaciones de tratamiento? 

El registro se puede organizar en torno a operaciones de tratamiento concretas, vinculadas a una finalidad básica común de todas ellas (por ejemplo "gestión de clientes", "gestión contable" o "gestión de recursos humanos y nóminas"), o bien de acuerdo a otros criterios distintos.

Una posibilidad para organizar el registro de actividades de tratamiento es partir de los ficheros que los responsables habían notificado al Registro de Protección de Datos de Cataluña, y detallar todas las operaciones que se realizan sobre cada conjunto estructurado de datos. Los archivos que tenía declarados en el Registro de Protección de Datos de Cataluña se pueden descargar en este enlace.

La APDCAT ha desarrollado una aplicación sencilla para llevar el registro de actividades del tratamiento para que  los responsables y los encargados del tratamiento que lo deseen, la puedan utilizar. Se puede descargar en este enlace.

Fecha de actualización:  23.01.2017