¿Para qué sirve la ley de protección de datos?

Hoy es 28 de enero, el Día Europeo de la Protección de Datos. Esta jornada, proclamada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los Estados miembros de la Unión Europea, tiene como finalidad informar acerca de los derechos y obligaciones que tienen todos los usuarios de internet. ¿Pero para qué sirve exactamente la ley de protección de datos y cómo nos afecta?

La Ley Orgánica de Protección de Datos en el ordenamiento jurídico español

En los últimos años hemos visto menciones a la Ley Orgánica de Protección de Datos o LOPD por todas partes. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, fue una ley que protegía y garantizaba las libertades públicas y también los derechos fundamentales de las personas físicas (especialmente el derecho al honor, a la intimidad y a la privacidad personal y familiar) en el ámbito del tratamiento de los datos personales.

Sin embargo, en mayo 2018 se aprobó para todos los países de la Unión Europea el Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés). Tras su entrada en vigor, se aprobó unos meses más tarde la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, quedando derogada la anterior.

¿Cuáles son los objetivos del Reglamento General de Protección de Datos?

El RGPD es un reglamento europeo con una particularidad: es directamente aplicable. Esto significa que no requiere de normas internas de transposición, desarrollo o aplicación. No obstante, España se curó en salud con una nueva LOPD. Los objetivos principales de la nueva ley de protección de datos son los siguientes:

• Mejorar la protección de los datos de las personas físicas cuyos datos se someten a tratamiento.
• Otorgar un mayor control sobre los datos de carácter personal a sus titulares.
• Aumentar las oportunidades de negocio en el mercado único digital mediante la reducción de carga administrativa.
• Mejorar la información acerca de lo que pasa con los datos personales tras ser compartidos.
• Facilitar la comprensión de las políticas de privacidad a través de iconos y un lenguaje sencillo.
• Protección de los datos guardados para realizar investigaciones o estadísticas.
• Unificar las normas europeas de los diferentes países de la Unión Europea.
• Facilitar la igualdad de tratamiento para que todas las empresas se puedan beneficiar de un mercado único digital.
• Aumentar la responsabilidad de los responsables del tratamiento.
• Garantizar el pleno cumplimiento de las nuevas normas.
• Creación de la figura del delegado de protección de datos (DPD o DPO), el responsable dentro de una organización de supervisar y controlar de si se cumple adecuadamente la normativa en materia de protección de datos personales.

¿A quién afecta?

El Reglamento General de Protección de Datos, como decíamos, es aplicable directamente a todos los Estados miembros. Asimismo, es vinculante para todas las empresas que tratan datos personales de ciudadanos europeos. Por otro lado, la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales es de obligado cumplimento para todas las empresas españolas que realicen tratamientos de datos personales.

¿Qué cambios introdujo el Reglamento General de Protección de Datos?

El Reglamento General de Protección de Datos introdujo una serie de importantes cambios y novedades con respecto a la ley de protección de datos de 1999. De esta forma, se establecen nuevas obligaciones. Cuanto mayor sea el riesgo para los datos personales, más estrictas serán las obligaciones. Las principales novedades de este reglamento son:

• La obligación de dar el consentimiento de manera libre, específica, inequívoca, explícita e informada por parte del interesado para cada una de las actividades de tratamiento.
• Dejan de ser válidas las casillas de consentimiento ya marcadas.
• El interesando debe poder dar y retirar el consentimiento con la misma facilidad.
• Derecho a la supresión o al olvido.
• Derecho a la limitación del tratamiento de datos.
• El derecho a la portabilidad de los datos a través de un archivo en formato estructurado para poder transmitirlo a otra empresa o país.
• El derecho a ser informado de posibles violaciones en los datos personales en un plazo máximo de 72 horas tras el descubrimiento del problema de seguridad.
• El principio de responsabilidad proactiva, es decir, la necesidad de que el responsable del tratamiento aplique medidas organizativas y técnicas para garantizar y demostrar que el tratamiento cumple las medidas del RGPD.
• Creación de las figuras del encargado del tratamiento y el delegado de protección de datos.
• Aumento de las sanciones por el incumplimiento de las normas de protección de datos. La cuantía de las sanciones puede alcanzar los 20 millones de euros o el 4% del volumen de negocio total.

¿Qué se entiende por datos personales?

A efectos del RGPD y la LOPD, los datos personales son cualquier información relacionada con una persona física identificada o identificable, también llamada el "interesado". Por ejemplo, el nombre y apellidos, la dirección, los ingresos, el perfil anual, la IP, datos médicos, el número del DNI... Además, no se pueden tratar datos personales sobre:

• Orientación sexual.
• Afiliación sindical.
• Creencias religiosas o filosóficas.
• Origen racial o étnico.
• Condenas e infracciones penales, excepto bajo autorización de la Unión Europea o la normativa de un país.
• Datos genéticos, biométricos o sanitarios, salvo en casos específicos.