RGPD (Reglamento UE 2016/679)

El RGPD es la pieza central del Derecho europeo de protección de datos. Sustituyó a la Directiva 95/46/CE armonizando completamente el régimen de protección de datos en toda la UE y reforzando los derechos de los ciudadanos. Como Reglamento, es de aplicación directa en todos los Estados miembros sin necesidad de transposición.

Ámbito de aplicación (arts. 2-3):

• Material: tratamiento total o parcialmente automatizado de datos personales y tratamiento manual cuando los datos figuren en un fichero. Excluye actividades exclusivamente personales o domésticas y ciertas materias (seguridad nacional, política exterior).
• Territorial: aplicable a tratamientos realizados (i) en el contexto de actividades de un establecimiento del responsable o encargado en la UE; (ii) por responsables o encargados no establecidos en la UE cuando dirijan sus actividades a interesados en la UE u observen su comportamiento en la UE.

Principios (art. 5):

• Licitud, lealtad y transparencia.
• Limitación de la finalidad: datos recogidos con fines determinados, explícitos y legítimos.
• Minimización de datos: sólo los necesarios.
• Exactitud: actualizados; los inexactos deben suprimirse o rectificarse.
• Limitación del plazo de conservación: el necesario para los fines.
• Integridad y confidencialidad: seguridad técnica y organizativa.
• Responsabilidad proactiva (accountability): el responsable debe poder demostrar el cumplimiento.

Bases legitimadoras del tratamiento (art. 6): el tratamiento sólo será lícito si concurre alguna de las siguientes bases:

• Consentimiento libre, específico, informado e inequívoco.
• Ejecución de un contrato con el interesado.
• Cumplimiento de una obligación legal.
• Protección de intereses vitales del interesado o de otra persona física.
• Misión de interés público o ejercicio de poderes públicos.
• Interés legítimo del responsable o un tercero (ponderación con derechos del interesado).

Derechos de los interesados (arts. 12-22):

• Información transparente: cuándo, por quién y para qué se recogen los datos.
• Acceso: a los datos tratados y a la información asociada.
• Rectificación: de datos inexactos.
• Supresión (derecho al olvido): en supuestos tasados.
• Limitación del tratamiento.
• Portabilidad: recibir los datos en formato estructurado y transmitirlos a otro responsable.
• Oposición: a tratamientos basados en interés legítimo o para marketing directo.
• No ser objeto de decisiones automatizadas: incluida la elaboración de perfiles, con consecuencias jurídicas o significativas.

Obligaciones del responsable y encargado (arts. 24-43):

• Privacidad por diseño y por defecto.
• Registro de actividades de tratamiento.
• Evaluación de impacto en supuestos de alto riesgo.
• Designación de Delegado de Protección de Datos (DPO) cuando proceda (autoridades públicas, observación sistemática a gran escala, datos sensibles a gran escala).
• Notificación de brechas de seguridad: a la autoridad de control en 72 horas; al interesado si hay riesgo alto.
• Contrato de encargo con los encargados de tratamiento, con cláusulas obligatorias.

Transferencias internacionales (Cap. V): a terceros países sólo con garantías adecuadas (decisión de adecuación de la Comisión, cláusulas contractuales tipo, normas corporativas vinculantes, certificaciones). El caso EE.UU. ha sido objeto de sucesivas controversias (Safe Harbor invalidado en Schrems I; Privacy Shield invalidado en Schrems II; nuevo marco EU-US Data Privacy Framework desde 2023).

Régimen sancionador (art. 83): infracciones menores (hasta 10 M€ o 2% volumen de negocios anual mundial); infracciones más graves (hasta 20 M€ o 4% volumen de negocios anual mundial). Mayor importe en cada caso.

Autoridades de control: en España, la AEPD y las autoridades autonómicas (Cataluña APDCAT, País Vasco AVPD, Andalucía CTPDA en parte). En la UE, el Comité Europeo de Protección de Datos (CEPD) coordina las autoridades nacionales.

Fuentes oficiales: RGPD (EUR-Lex) · AEPD · EDPB