Utilizamos cookies para brindarle la mejor navegación por nuestra sede electrónica. Para más información consulte el enlace cómo utilizamos las cookies y cómo cambiar los ajustes.

Reglamento general de protección de datos

Infografía - Infografía - Reglamento de protección de datos

El Reglamento de protección de datos fija los derechos de las personas en este ámbito y establece las obligaciones de quienes tratan los datos y de los responsables de dicho tratamiento de datos.

El elemento central del conjunto legislativo de la Comisión es un Reglamento general de protección de datos. Este proyecto de Reglamento actualiza y moderniza los principios de la Directiva de protección de datos de 1995. En él se recogen los derechos de las personas y se establecen las obligaciones de los encargados y responsables del tratamiento de los datos. También se establecen los métodos para el cumplimiento de lo dispuesto en el Reglamento y el alcance de las sanciones para quienes infrinjan las normas.

En diciembre de 2015, el Consejo y el Parlamento Europeo alcanzaron un acuerdo sobre el proyecto de Reglamento.

El 8 de abril de 2016, el Consejo adoptó su posición en primera lectura. A continuación, el Parlamento Europeo adoptó el proyecto de Reglamento el 14 de abril de 2016.

En detalle

El Reglamento aborda varios aspectos fundamentales.

Derechos de los interesados

El Reglamento enumera los derechos de los interesados, que son las personas cuyos datos se someten a tratamiento. Estos derechos dan a las personas un mayor control sobre sus datos personales, en particular gracias a:

  • la necesidad de un consentimiento claro de la persona respecto del tratamiento de sus datos personales
  • un acceso más fácil del interesado a sus datos personales
  • los derechos de rectificación, supresión y «al olvido»
  • el derecho de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles
  • el derecho a la portabilidad de los datos de un prestador de servicios a otro

También se establece la obligación de los responsables (a quienes corresponde el tratamiento de los datos) de ofrecer información transparente y de fácil acceso a los interesados sobre el tratamiento de sus datos.

Cumplimiento

El Reglamento especifica las obligaciones generales de los responsables y de quienes tratan los datos personales en su nombre (encargados del tratamiento). Entre esas obligaciones se cuenta la de aplicar medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos que realicen (método basado en el riesgo). Los responsables deberán también en ciertos casos notificar las violaciones de datos personales. Todas las autoridades públicas y las empresas que proceden a determinadas operaciones arriesgadas de datos deberán también nombrar un delegado de protección de datos.

Seguimiento e indemnización

El proyecto de Reglamento confirma la obligación existente para los Estados miembros de crear una autoridad de control independiente a nivel nacional. También pretende establecer mecanismos para lograr una aplicación coherente de la legislación sobre protección de datos en toda la UE. En particular, en los casos transfronterizos importantes en que estén implicadas varias autoridades nacionales de supervisión, se adoptará una única decisión de supervisión. Este principio conocido como de ventanilla única significa que una empresa con filiales en varios Estados miembros solo tendrá que tratar con la autoridad de protección de datos del Estado miembro de su establecimiento principal.

El proyecto de acuerdo comprende la creación de un Consejo Europeo de Protección de Datos. Este Consejo estará formado por los representantes de cada una de las 28 autoridades de control independientes y sustituirá al actual Comité del artículo 29.

El Reglamento reconoce el derecho de los interesados a presentar una reclamación a la autoridad de control, así como su derecho al recurso judicial, la compensación y la responsabilidad. Para garantizar la proximidad de los particulares en relación con las decisiones que les afecten, los interesados tendrán derecho a que uno de sus órganos jurisdiccionales nacionales revise la decisión de su autoridad de protección de datos. Esto será independiente del Estado miembro en que esté establecido el responsable del tratamiento de que se trate.

Dispone sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos. Los responsables del tratamiento podrían ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual. Las autoridades de protección de datos nacionales serán las que impongan estas sanciones administrativas.

Transferencias a terceros países

El Reglamento también abarca la transferencia de datos personales a terceros países u organizaciones internacionales. Con este fin, encomienda a la Comisión la evaluación del nivel de protección que ofrece un territorio o un sector de tratamiento en un tercer país. Cuando la Comisión no haya adoptado una decisión de adecuación sobre un territorio o sector, la transferencia de datos personales se puede seguir realizando en casos especiales o cuando existan garantías apropiadas (cláusulas tipo de protección de datos, normas corporativas vinculantes, cláusulas contractuales).