• UNIA
  • Universidad de Málaga
  • Pablo Olavide
  • Universidad de Jaén
  • Universidad de Córdoba
  • Universidad de Almería
  • UNED
  • Universidad de Salamanca
  • Unicaja
  • Universidad de Leon
  • Universidad de Huelva
  • Universidade do Algarve
  • Universidad de Granada
  • Universidad de Cádiz
  • Universidade de Burgos
  • uva
  • Universidad Pontificia de Salamanca

La protección de los datos personales es un derecho constitucional de todo ciudadano, de modo que sólo éste tiene el poder de disposición sobre los mismos, pudiendo autorizar a un tercero para que los trate.

Para asegurar una adecuada protección de los datos personales, se ha establecido un marco normativo compuesto por cuatro pilares básicos:

  • Un marco regulatorio respecto al tratamiento de los datos, que implica el reconocimiento de derechos y el establecimiento de requisitos para que los datos personales puedan ser tratados.

  • El establecimiento de normas de publicidad de los ficheros de datos personales.

  • La creación de un organismo encargado de velar por el cumplimiento de la normativa de protección de datos personales (la Agencia Española de Protección de Datos).

  • Un régimen sancionador por infracciones en materia de protección de datos.

El nuevo RGPD no requiere normas internas de trasposición ni tampoco normas de desarrollo o aplicación. Es por ello que los responsables deberán ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como sucedía con la Directiva 95/46.

Dos elementos de carácter general constituyen la mayor innovación del RGPD para los responsables y se proyectan sobre todas las obligaciones de las organizaciones:

  • El principio de responsabilidad proactiva. Este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. Deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que las medidas son adecuadas, pudiéndose demostrar ante los interesados y las autoridades de supervisión. Este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

  • El enfoque del riesgo. De acuerdo con este enfoque, las medidas dirigidas a garantizar el cumplimiento del RGPD deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas. Sólo cuando exista un alto riesgo para los derechos y libertades se aplicarán algunas de las medidas que el RGPD establece. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

 El RGPD establece los siguientes derechos, obligaciones y medidas de responsabilidad activa.

Derechos:

  1. Procedimiento para el ejercicio.

  2. Derecho al acceso.

  3. Derecho al olvido.

  4. Limitación de tratamiento.

  5. Portabilidad.

 Obligaciones:

  1. Obligaciones específicas para los encargados del tratamiento de datos.

  2. Elección del encargado del tratamiento.

  3. Contenido del contrato de encargo.

 Medidas de responsabilidad activa:

  1. Análisis del riesgo.

  2. Registro de actividades de tratamiento.

  3. Protección de datos desde el diseño y por defecto.

  4. Medidas de seguridad.

  5. Notificación de “violaciones de seguridad de los datos”.

  6. Evaluación de impacto sobre la protección de datos.

  7. Delegado de Protección de Datos.