El próximo 25 de mayo de 2018 será aplicable el nuevo Reglamento Europeo de Protección de Datos (RGPD) 2016/679. Hasta ese momento sigue vigente la normativa actual.

El principio de responsabilidad proactiva y el enfoque a riesgos son las dos principales novedades. Así pues cada responsable deberá analizar los datos* que trata, identificar con qué fines y qué operaciones de tratamiento hace. Hay que aplicar las medidas técnicas y organizativas adecuadas para garantizar y poder demostrar que el tratamiento es correcto de acuerdo al RGPD. Estas medidas tendrán en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento así como el riesgo por los derechos y libertades de las personas.

En el análisis de los datos a tener en cuenta entre otros:

  • Documentar e identificar la base legal de todos los tratamientos de datos

  • Asegurar que el consentimiento es inequívoco (2)

El registro de actividades (3) que incluye entre otros la descripción de las medidas técnicas y organizativas aplicadas así como los plazos de suspensión de los datos, es necesario tanto por el responsable como por el encargado de tratamiento.

El análisis de riesgo es necesario para todos los responsables de datos, siendo de menor complejidad en el caso de que no se traten datos especiales, o gran cantidad de datos, o la elaboración de perfiles o la utilización de tecnologías invasivas a la privacidad como la geolocalización.

Cuando haya probabilidad de alto riesgo (4) en el tratamiento de los datos será necesario realizar una evaluación de impacto, que incluya entre otras las medidas previstas para afrontar los riesgos y que permitan demostrar el cumplimiento del RGPD.

Las medidas de seguridad a adoptar serán consecuencia de estos análisis de riesgo y evaluaciones de impacto, las cuales se aplicarán desde antes del inicio del tratamiento de los datos y mientras se estén utilizando. (5)

La elección de un encargado de tratamiento que cumpla con el RGPD también es una de las medidas a adoptar, consecuentemente habrá que adaptar todos los contratos de Encargado de tratamiento actuales.

El RGPD establece la figura del Delegado de Protección de datos (DPP o DPO) (6) que será el encargado de informar y asesorar de las obligaciones, supervisar su cumplimiento, y ofrecer asesoramiento al responsable de los datos. También tiene la función de cooperar con la autoridad de control.

El plazo de comunicación de las violaciones de seguridad se establece en 72h. Serán comunicadas a la autoridad de control siempre que haya un riesgo para los derechos y libertades de los afectados. A los mismos interesados les serán comunicadas sólo en caso de que este riesgo sea alto.

Se amplían los derechos para las personas con algunas peculiaridades:

  • Derecho al olvido o derecho de suspensión. Como responsable será necesario disponer de medidas técnicas para informar a todos los demás responsables a quien haya traspasado estos datos; por ejemplo cuando se hayan hecho públicos los datos. (7)

  • Derecho a la limitación del tratamiento. Se podrá ejercer por parte del interesado aunque ya sea durante el borrado de las mismas.

  • Derecho a la portabilidad. Es una ampliación del derecho de acceso en el que se da al interesado (8) una copia de los datos en formato estructurado y de lectura mecánica.

El derecho de oposición también aplicará a la utilización de los datos para la elaboración de perfiles y el marketing directo.

El modelo de transferencias internacionales diseñado por RGPD sigue los mismos criterios.

La edad mínima para realizar el consentimiento es de 16 años según el RGPD, aunque cada Estado miembro podrá establecer una edad inferior que no sea menor de 13 años.

Resumen de los principales cambios

  • Realizar un registro de todas las actividades

  • Eliminar los datos cuando ya no sean necesarios o no tengamos consentimiento

  • Pedir el consentimiento y demostrar que se ha obtenido

  • Actualizar la cláusula de recogida de datos (deber de informar)

  • Realizar un análisis de riesgos de todos los tratamientos de datos

  • Realizar una evaluación de impacto cuando sea necesaria

  • Establecer medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad

  • Establecer un proceso de verificación y evaluación de las medidas técnicas y organizativas

  • Actualizar los contratos de encargado de tratamiento

  • Elaborar procedimientos para dar respuesta a todos los derechos de los interesados (acceso, rectificación, olvido, limitación de tratamiento, portabilidad, oposición); así como las notificaciones de violaciones de seguridad

  • Decidir la voluntad o necesidad de disponer de un Delegado de Protección de Datos

A fecha de hoy este es el resumen de las novedades en la aplicación del RGPD, mientras estamos a la espera de la aprobación de la ley orgánica española.

(1) Los datos especialmente protegidos (nivel alto) pasan a llamarse “categorías especiales de datos”. Se añaden a este grupo los datos genéticos y datos biométricos relativos a características físicas, fisiológicas o conductuales de una persona física.


(2) El consentimiento a parte de inequívoco también debe ser explícito en el tratamiento de datos especiales, en la utilización de decisiones automatizadas y en las transferencias internacionales.


(3) Según el artículo 30 del RGPD no es necesario para empresas ni organizaciones con menos de 250 trabajadores, excepto que haya un riesgo para los derechos y libertades, o se traten datos de categorías especiales o condenas e infracciones penales.


(4) Se considera alto riesgo, entre otros, cuando:

  • Se elaboran perfiles y se tomen decisiones que les puedan afectar,
  • tratamiento a gran escala de datos especiales,
  • la observación sistemática a gran escala de una zona de acceso público.


(5) Hay que aplicar la protección desde el Diseño, es decir cuando se diseña un tratamiento, un producto o servicio que implique datos personales.


(6) El DPO será obligatorio para autoridades y organismos públicos, o cuando la actividad principal sea la observación habitual y sistemática de datos a gran escala o por el tratamiento a gran escala de datos especiales.


(7) El derecho al olvido no se aplicará en casos de libertad de expresión, obligación legal, interés de salud pública o archivo de interés público.


(8) Se enviará directamente a otro responsable cuando sea técnicamente posible. No se podrá remitir si los datos han sido proporcionados por terceros responsables.