CURSO: LA NUEVA LEY ORGÁNICA DE

PROTECCIÓN DE DATOS. ESPECIALIDADES,

ASPECTOS PRÁCTICOS DE SU APLICACIÓN

MÓDULO 1: CLAVES Y NOVEDADES DEL NUEVO

REGLAMENTO EUROPEO DE PROTECCIÓN DE
DATOS. ENCUADRAMIENTO NORMATIVO EN EL
ORDENAMIENTO ESPAÑOL
CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 2
 ÍNDICE

1. OBJETIVOS ............................................................................................................................ 4
2. INTRODUCCIÓN. LA PROTECCIÓN DE DATOS EN EUROPA Y EN ESPAÑA ........................ 5
2.1 Protección de datos en el contexto europeo ........................................................................................................... 5
2.2 Protección de datos en España ...................................................................................................................................... 8
3. EL RGPD: MARCO GENERAL ............................................................................................... 12
3.1 Consideraciones generales ........................................................................................................................................... 12
3.2 Las claves del nuevo Reglamento ............................................................................................................................... 13
3.3 Las 10 principales novedades del nuevo Reglamento Europeo de Protección de Datos ...................... 17
4. - ............................................................................... 34

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 3

 1. OBJETIVOS

Una vez que, tras la promulgación y entrada en vigor de la nueva LOPDGDD quedan
coexistiendo en el ordenamiento jurídico el RGPD y la Nueva Ley Orgánica de Protección
de Datos Personales, de forma que, como afirma el Preámbulo de la segunda, ambas se

remisiones de la LOPDGDD al RGPD son continuas a lo largo de su articulado, para un

entendimiento completo de la LOPDGDD se hace necesario un estudio general del Reglamento y de
su aplicación.

Dedicamos esta unidad al análisis de las líneas generales del Reglamento General de Protección de
Datos, que como hemos enunciado es una norma vigente en esta materia en España (junto con la
LOPDGDD , comenzando por su encuadramiento en el sistema normativo europeo y continuando por su
aplicación directa en el ordenamiento jurídico español.

Analizamos las claves de esta norma y sus principales novedades que introduce en nuestro sistema
de protección de datos.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 4

 2. INTRODUCCIÓN. LA PROTECCIÓN DE DATOS EN EUROPA Y EN ESPAÑA
Vivimos una era en la que la capacidad
de intercomunicación, de transferencia de
datos, de almacenamiento y transferencia de
información ha alcanzado cotas vertiginosas.

Y esta es una nueva realidad que,

utilizada correctamente y con respeto a los
derechos fundamentales, obviamente facilita,
agiliza y posibilita todas las operaciones de nuestra vida económica, social, personal y administrativa.

Sin embargo, esa misma facilidad de transmisión y almacenamiento puede ser un

vehículo idóneo para la transgresión de derechos fundamentales como son, nada menos, que
el derecho al honor y el derecho a la intimidad los ciudadanos.

2.1 PROTECCIÓN DE DATOS EN EL CONTEXTO EUROPEO

Desde los trabajos desarrollados desde finales de

la década de 1960 en el Consejo de Europa se han ido
sucediendo normativas internacionales en esta materia,
que pasamos a sintetizar someramente la evolución del
tratamiento de esta materia en el contexto
internacional.

Esta evolución cobra importancia si consideramos

que el instrumento vigente en España es una norma europea: el actual Reglamento General de Protección
de Datos.

Hacemos una esquemática síntesis histórica que comienza en las iniciales preocupaciones y medidas
sobre esta materia (aún de una forma muy incipiente) en 1950, hasta desembocar en el vigente
Reglamento General de Protección de datos, objeto de nuestro estudio.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 5

 AÑO SUCESO
1950 La Convención Europea de Derechos Humanos ofrece una interpretación de los derechos
humanos básicos de cada persona e incluye el derecho a una vida privada y familiar.
1960 Con la expansión de los soportes de tecnología de la información, creció la preocupación
ciudadana sobre la manera en que empresas y gobiernos tratan dicha información. Desde
finales de la década de 1960 en el Consejo de Europa comienza a acometer los primeros
trabajos.
1970 El Land alemán de Hesse aprueba una ley de protección de datos personales. Le siguieron otros
países europeos con sus propias leyes.
1980 La Org

ocho principios que previenen en las leyes de protección de datos vigentes hoy en día.
1981 Convenio sobre el tratamiento automatizado de datos de carácter personal del Consejo de
Europa debido al creciente uso de ordenadores y bancos de datos que almacenan enormes
cantidades de información personal, el objetivo del convenio es reforzar los requerimientos de
protección de datos en el tratamiento automatizado. En la década de los 80, muchos países
han adoptado sus propias leyes de protección de datos para implementar el convenio.
1995 La unión europea adopta la directiva de protección de datos. Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos.

A finales de los años 90 y principios de la siguiente década, los países europeos adoptaron esta
directiva en legislaciones nacionales. Sin embargo, pese a los esfuerzos para armonizar las leyes
de protección de datos, hubo diferencias en la interpretación de la directiva según el país
2002 La unión europea adopta la directiva de privacidad y comunicación electrónica. Directiva
2002/58/CE del Parlamento Europeo y del Consejo.

Los individuos recibieron mayor protección específicamente en relación con la comunicación

electrónica como llamadas telefónicas de marketing o correos electrónicos y cookies
2016 El parlamento europeo aprueba el Reglamento General de Protección de Datos (RGPD) que
busca reforzar y unificar la protección de datos, además de introducir nuevos conceptos y
derechos para los individuos

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 6

 Una Directiva Europea es una norma que, en principio no es de aplicación directa en los
estados miembros de la UE, y necesita de un proceso de transposición de sus preceptos a las
leyes nacionales.

Un Reglamento Europeo es una norma europea de aplicación directa en el derecho interno

de los países miembros. No necesita ser transpuesto a las legislaciones nacionales de los
países miembros.

Para ampliar información sobre los antecedentes de normativa europea sobre protección de datos
se puede consultar el Manual de legislación europea en materia de la protección de datos
https://rm.coe.int/16806ae663

De las normativas enunciadas solo debemos tener presente (para el entendimiento del
contenido del presente curso) tres de ellas:

Directiva 95/46/CE

➢Del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la

protección de las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos. (Directiva de Protección de datos)

Directiva 2002/58/CE

•Del Parlamento Europeo y del Consejo relativa al tratamiento de los datos personales y
a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva
de privacidad de las comunicaciones electrónicas)

Reglamento (UE) 2016/679

➢Del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección

de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la
libre circulación de estos datos. (Reglamento General de Protección de Datos - RGPD)

Solo la última de ellas (el RGPD) será objeto de nuestro estudio, por ser la norma principal
actualmente vigente en España, aunque podremos hacer mención a las otras dos para entender la
normativa española.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 7

2.2 PROTECCIÓN DE DATOS EN ESPAÑA

La protección de las personas físicas en relación con el tratamiento de datos

personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución
española.

Nuestra Constitución fue pionera en el reconocimiento

del derecho fundamental a la protección de datos de carácter
personal cuando en su artículo 18.4 dispuso que
el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus
.

Se hacía así eco de los trabajos desarrollados desde finales de la década de 1960 en el Consejo de
Europa y de las pocas disposiciones legales adoptadas en países de nuestro entorno.

El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que nos encontramos ante
un derecho fundamental por el que se garantiza a la persona el control sobre sus datos, cualesquiera
datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la
dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura
como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para
fines distintos a aquél que justificó su obtención.

Por su parte, en la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho

autónomo e independiente que consiste en un poder de disposición y de control sobre los datos
personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el
Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién
posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 8

 A nivel legislativo, la concreción y desarrollo del derecho fundamental de protección de las
personas físicas en relación con el tratamiento de datos personales tiene el como reflejo normativo
la siguiente secuencia:

Ley Orgánica 5/1992, de 29 de octubre, reguladora del

tratamiento automatizado de datos de carácter
personal, conocida como LORTAD.

Ley Orgánica 15/1999, de 5 de diciembre, de protección

de datos de carácter personal

Reglamento (UE) 2016/679 del Parlamento Europeo y

del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al
tratamiento de sus datos personales y a la libre
circulación de estos datos

1.- La aprobación de la Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento

automatizado de datos de carácter personal, conocida como LORTAD.

2.- La Ley Orgánica 5/1992 fue reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de
protección de datos de carácter personal, a fin de trasponer a nuestro derecho a la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta ley
orgánica supuso un segundo hito en la evolución de la regulación del derecho fundamental a la protección
de datos en España y se complementó con una cada vez más abundante jurisprudencia procedente de los
órganos de la jurisdicción contencioso-administrativa.

3.- La adopción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus
datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos), así como de la Directiva (UE) 2016/680 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 9

penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del
Consejo.

4.- Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales LOPDGDD) se

refundida en una ley y superando la dispersión normativa preexistente. Esta ley queda coexistiendo con el
Reglamento Europeo (RGPD) al que complementa y desarrolla.

El Reglamento general de protección de datos (RGPD)

es derecho vigente en España, desarrollado por la
LOPDGDD y pretende con su eficacia directa superar los
obstáculos que impidieron la finalidad armonizadora de la
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de
24 de octubre de 1995, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de esos datos. La transposición de la directiva por los Estados miembros
se ha plasmado en un mosaico normativo con perfiles irregulares en el conjunto de la Unión Europea lo
que, en último extremo, ha conducido a que existan diferencias apreciables en la protección de los
derechos de los ciudadanos.

En otras palabras: la transposición de la derogada Directiva 95/46/CE a cada una de las

legislaciones de cada estado miembro dio lugar a una diversidad de regulaciones diferentes
en cada uno de los estados miembros (ya que la transposición de la Directiva da lugar a un cierto margen
de adaptación a cada uno de los países).

Esta diversidad suponía un obstáculo a la vista del aumento de los flujos transfronterizos de datos
personales como consecuencia del funcionamiento del mercado interior, los retos planteados por la rápida
evolución tecnológica y la globalización, que ha hecho que los datos personales sean el recurso
fundamental de la sociedad de la información.

Se hacía necesario que un ciudadano europeo pudiese ver protegidos sus datos personales de una
forma uniforme en todo el marco europeo y no existiesen diferentes regulaciones según el Estado en que
se encontrase.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 10

 El Reglamento (RGPD) viene a superar esta diversidad y establecer un marco normativo común en la
UE sobre protección de datos de carácter personal.

El Reglamento general de protección de datos (RGPD) supone la revisión de las bases legales
del modelo europeo de protección de datos más allá de una mera actualización de la vigente
normativa. Procede a reforzar la seguridad jurídica y transparencia.

Aun así, el Reglamento dejó un margen de adaptación en ´la aplicación por parte de cada estado
cada estado y permite que sus normas sean especificadas o restringidas por el Derecho de los Estados
miembros en la medida en que sea necesario por razones de coherencia y para que las disposiciones
nacionales sean comprensibles para sus destinatarios.

Esta adaptación ha dado lugar en nuestro país a la promulgación de la Ley Orgánica

3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales (LOPDGDD) , que en ningún caso puede contravenir los fundamentos y
principios del Reglamento.

Podemos, pues hablar de un régimen uniforme que deberá también ser aplicado de forma uniforme
en toda la Unión.

El Reglamento entró en vigor en todos los

países de la UE en mayo de 2016, pero es de
aplicación obligatoria desde el, 25 de mayo de
2018 y, por tanto, está plenamente vigente en
España, de ahí la importancia de su estudio.

Los reglamentos, pese a su característica de

aplicabilidad directa, en la práctica pueden exigir
otras normas internas complementarias para
hacer plenamente efectiva su aplicación. En este sentido, más que de incorporación cabría hablar de
"desarrollo" o complemento del Derecho de la Unión Europea.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 11

 3. EL RGPD: MARCO GENERAL

3.1 CONSIDERACIONES GENERALES

La adaptación al Reglamento general de protección de datos

(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de sus datos personales y a la libre
circulación de estos datos (RGPD) de aplicación en España desde el
25 de mayo de 2018, requería la elaboración de una nueva Ley
Orgánica de Protección de Datos (LOPDGDD) que sustituyese a la
que existía.

La LOPDGDD es, pues, una norma necesaria para la adaptación del ordenamiento
español a la citada disposición europea y proporcional a este objetivo, siendo su razón
última procurar seguridad jurídica.

Los reglamentos europeos, pese a su característica de aplicabilidad directa, en la práctica pueden

exigir otras normas internas complementarias para hacer plenamente efectiva su aplicación. En este
sentido- como se afirma en el Preámbulo de la nueva Ley - más que de incorporación cabría hablar de
«desarrollo» o complemento del Derecho de la Unión Europea.

Protección de Datos Personales y garantía de los derechos digitales LOPDGDD) quedan coexistiendo
ambas normas en el ordenamiento jurídico español, de forma que una complementa a la otra.

De hecho, en la Ley son continuas las remisiones a las disposiciones del Reglamento y por
ello es necesario hacer menciones a sus líneas generales que son adoptadas por la nueva LOPDGDD.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 12

3.2 LAS CLAVES DEL NUEVO REGLAMENTO

Por ello, y para aproximarnos a la normativa del RGPD, debemos entender ciertos conceptos básicos:

¿Qué son datos personales?

Los ciudadanos tienen derecho a la protección de sus

datos personales. Estos van desde el nombre y el domicilio hasta
un dato relacionado con la salud o la condición social; también
puede ser una foto o un audio. En definitiva, es todo aquello con
lo que se pueda identificar "directa o indirectamente" a una
persona física (no jurídica). Hay expertos que incluyen en este
apartado hasta a las IP de los ordenadores. Hay datos
especialmente protegidos: genéticos, de orientación sexual,
raciales, etc.

¿A quién afecta?

A todas aquellas personas que "se encuentren"

en la UE. El ámbito territorial, por tanto, se amplía
respecto a la legislación anterior y se pone el foco en
dónde esté la persona, no la entidad ni el tratamiento
de los datos. Es decir, que el reglamento se puede
aplicar a empresas de terceros países (por ejemplo, EE
UU) que traten datos como consecuencia de la
prestación de servicios y bienes o de monitorización,
todo siempre en la UE , independientemente de que lo hagan in situ o de que tengan un responsable
para ello en suelo europeo. Los datos recabados pueden corresponder a ciudadanos europeos o, por
ejemplo, a un japonés de vacaciones en París. De ahí que compañías como Facebook, entre otras, entren
en el saco. Y en la medida en la que traten datos, entran en el reglamento incluso las comunidades de
vecinos.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 13

¿Cuáles son los puntos clave?

Derecho al Portabilidad y
Consentimiento
olvido limitación

DPO Menores

1. Consentimiento. Para tener y tratar los datos de una persona se debe obtener su consentimiento
expreso (no tácito). Este debe ser libre e inequívoco, pero también informado e individual; y tiene
que poder probarse que se recibió. Esto significa que, en el momento de recabar los datos, hay que
explicarle al ciudadano de forma clara y sencilla para qué se van a usar, por cuánto tiempo y quién
será el responsable del tratamiento, entre otras cosas. Además, la persona debe decir "sí" de forma
activa y expresa, porque si no, no valdrá. Si los datos se van a usar para varios fines, se pedirán
consentimientos separados. Hay excepciones: no hace falta consentimiento si hay una obligación
legal, media interés vital o público, hay un contrato o si la empresa o autoridad pública alega
"interés legítimo", que tendrá que argumentar. Por tanto el rigor en la exigencia del
consentimiento queda muy limitado en las Administraciones Públicas.

2. Derecho al olvido. Otra novedad. Se trata del derecho de supresión y hasta ahora solo se
reflejaba en sentencias judiciales (muchas relacionadas con eliminar noticias de Google), pero no
en una ley. Una persona podrá pedir a una empresa o a una autoridad pública que elimine los datos
personales que tiene en su poder si ya no son necesarios; si ha decidido retirar el consentimiento
o se opone a que se usen más; si se han utilizado de forma ilícita, etc. Esto, claro está, puede chocar
con el derecho a la información, el interés público o la ley y se tendrá que ponderar.

3. Portabilidad y limitación. Otros dos derechos importantes para los ciudadanos, además de los
de acceso, rectificación, cancelación y oposición (ARCO), que ya estaban contemplados en la
legislación.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 14

 Portabilidad Limitación

✓ La portabilidad permite a una persona pedir, recibir y transferir directamente sus

datos automatizados de una entidad a otra.
✓ La limitación. El interesado tendrá derecho a obtener del responsable del
tratamiento la limitación del tratamiento de sus datos y en este caso dichos datos
solo podrán ser objeto de tratamiento, con excepción de su conservación, con el
consentimiento del interesado, salvo razones de orden superior relacionadas con
los derechos de otro interesado (persona física o jurídica) , por razones de interés
público de la UE o uno de sus estados miembros o para formular reclamaciones.

4. El reglamento introduce la figura del Delegado de Protección de Datos. Es obligatorio en el caso

de los organismos públicos, pero no en todas las empresas, solo en aquellas que traten datos a
gran escala o datos muy sensibles. Si, además, la empresa tiene menos de 250 trabajadores, no
tendrá que llevar un registro. En todo caso, si van a tratar datos personales, todas las entidades
tienen que pensar, incluso antes de entrar en faena, en la
GDPR: se les exige proactividad.

5. Los menores de 16 años, en el caso de los "servicios de la

sociedad de la información" (en internet, por ejemplo), no
pueden consentir sobre el tratamiento de sus datos
personales: deben hacerlo sus padres o tutores. En todo
caso, los países pueden rebajar la edad, si quieren, hasta
los 13 años. En España está en 14.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 15

 ¿Quién supervisa todo esto?

La autoridad de control nacional es la Agencia Española de Protección de Datos

(AEPD).

En el ámbito autonómico de Castilla- La Mancha el COMITÉ REGIONAL DE PROTECCIÓN DE DATOS

es un órgano colegiado adscrito a la Consejería competente en materia de protección de datos.

Son funciones del Comité Regional de Protección de Datos:

a) El informe de los proyectos de normas dirigidas a garantizar el cumplimiento de la legislación de

protección de datos en la administración de la Junta de Comunidades, así como promover su
cumplimiento y divulgación.

b) La aprobación de los planes de concienciación y formación en materia de protección de datos en el

ámbito de la administración de la Junta de Comunidades.

c) La aprobación de iniciativas y proyectos encaminados a garantizar plenamente el derecho a la

protección de los datos de carácter personal, que vayan a realizarse por cualquier órgano de la
administración de la Junta de Comunidades.

d) La aprobación del informe anual que la Consejería competente en materia de protección datos eleve a
su consideración, en el que se describirá la situación de la Administración regional en materia de
protección de datos, mecanismos de coordinación a implantar entre los diferentes órganos, información
normativa y de gestión y evaluación del cumplimiento del presente Decreto y, en concreto, de la garantía
de los derechos de acceso, oposición, rectificación y cancelación.

e) Vigilancia del cumplimiento de la normativa vigente en materia de protección de datos en la

administración de la Junta de Comunidades.

En cada Estado miembro de la UE tiene que haber una autoridad y deben cooperar entre sí y con la
Comisión Europea. Además, se crea el Comité Europeo de Protección de Datos, que se ocupará de que
el reglamento se aplique de forma coherente en toda la UE y cuyas decisiones son vinculantes. Los
ciudadanos tienen derecho a presentar una reclamación ante la autoridad de su país, a ir a juicio y a ser
indemnizados.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 16

 ✓ Sanciones millonarias: Se contemplan advertencias,
apercibimientos, medidas concretas y multas
administrativas de hasta 10 millones de euros o, en su
defecto, de hasta el 2% del volumen de negocio anual si
se trata de una empresa; o bien, de hasta 20 millones de
euros o, en su defecto, de hasta el 4% del volumen de
negocio anual si se trata de una empresa.

Las determinará la autoridad de control, esto es, la AEPD, que ha avanzado que centrará sus
inspecciones en el sector salud, las telecomunicaciones y las instituciones financieras. Cada caso se
estudiará de forma individual.

Los Estados, por su parte, pueden determinar sanciones penales y son los que decidirán, además, si
se pueden poner multas administrativas a las autoridades y los organismos públicos: es una de las cosas
que el GDPR deja en manos de los Gobiernos y sus leyes. Si los ciudadanos, en todo caso, reclaman primero
a la empresa o autoridad pública y se soluciona el asunto entre ambos, se evitará la sanción.

3.3 LAS 10 PRINCIPALES NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE

PROTECCIÓN DE DATOS

En este apartado nos centraremos en sintetizar cuáles son las novedades que introduce el
reglamento.

Ya hemos hablado de algunas de ellas en el punto anterior, pero trataremos de hacer un decálogo
de las mismas.

3.3.1 NUEVOS PRINCIPIOS

El art. 5 del RGPD contiene la lista de principios a tener en cuenta en el tratamiento de datos
personales. Algunos de ellos ya estaban previstos en la normativa anterior pero se añaden otros nuevos.

Principio de Transparencia (5.1.a)

tratados de manera lícita, leal y transparente en relación con el

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 17

 Este principio se centra en facilitar las relaciones entre el responsable de los datos y el
interesado, así como entre el responsable de los datos y las autoridades de control.

Su materialización conlleva un importante cambio, ya que desaparece

la obligación de notificar y registrar los ficheros que contienen datos
personales ante la autoridad de control. En España, esta autoridad es
la Agencia Española de Protección de Datos (AEPD).

En el nuevo RGPD se ha definido un Registro de actividades de

(RAT)

El RAT, debe contener los siguientes elementos, contemplados en el art. 30 del RGPD:

Artículo 30. Registro de las actividades de tratamiento.

2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías
de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del
cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del
delegado de protección de datos;
b) las categorías de tratamientos efectuados por cuenta de cada responsable;
c) en su caso, las transferencias de datos personales a un tercer país u organización internacional,
incluida la identificación de dicho tercer país u organización internacional y, en el caso de las
transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías
adecuadas;
d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a
que se refiere el artículo 30, apartado 1.

A continuación presentamos un modelo simple de RAT:

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

(Nombre del responsable del tratamiento)
DATOS DE CONTACTO Responsable
Representante del responsable
Corresponsables
DPD
DESCRIPCIÓN DE LA ACTIVIDAD ¿En qué consiste el tratamiento de datos?

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 18

 REGISTRO DE ACTIVIDADES DE TRATAMIENTO
(Nombre del responsable del tratamiento)
FINALIDAD ¿Para qué se tratan los datos? Facturar, comprar,

BASE JURÍDICA Consentimiento

(Una o varias) Ejecución de un contrato
Obligación legal del responsable
Interés legítimo
Intereses vitales del interesado (Administración
pública)
Misión en interés público (Administración pública)
CATEGORÍAS DE INTERESADOS ¿De qué personas son los datos que tratas?

CATEGORÍAS DE DATOS ¿Qué datos personales tratas?

CATEGORÍAS DE DESTINATARIOS ¿A quién se los envías, y por qué?

Encargados del tratamiento
Cesiones obligatorias
TRANSFERENCIAS INTERNACIONALES Categorías de destinatarios
Garantías que avalan la transferencia
PLAZOS DE CONSERVACIÓN ¿Por cuánto tiempo guardarás los datos?
(Plazo limitado) ¿Qué criterios se tienen que dar para la supresión
de los datos?
MEDIDAS DE SEGURIDAD Descripción breve de las medidas técnicas y
organizativas que aplicas para proteger la
información personal

Los órganos y organismos del Sector Público quedan obligados a publicar en su web el
inventario de las actividades de tratamiento de datos personales que realizan, identificando quién trata los
datos, con qué finalidad y qué base jurídica legitima ese tratamiento.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 19

En los portales de Transparencia se recoge de forma centralizada toda la información de los Registros de
actividades de tratamiento.

Principio de limitación de la finalidad (5.1.b)

Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán
tratados ulteriormente de manera incompatible con dichos fines (...)

Estos fines explícitos y legítimos deberán determinarse en el momento de la recogida de los datos.

Minimización de datos (5.1.c)

"Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con

En la edad de oro del Big Data este principio obliga a aplicar las medidas técnicas y organizativas
apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que
sean necesarios para cada uno de los fines específicos del tratamiento (Artículo 25.2).

3.3.2 NUEVOS DERECHOS DE LOS CIUDADANOS: LOS DERECHOS ARSOPL

Con el nuevo RGPD se establecen un conjunto de derechos, conocidos como ARSOPL que, en
síntesis son los siguientes:

DERECHO DE ACCESO.

Se regula en el artículo 15 del Reglamento General de Protección de Datos y en su virtud el

interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están
tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos
personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados
los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los
criterios utilizados para determinar este plazo;

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 20

 e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales
o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho
tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información
disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos en tales
casos, información significativa sobre la lógica aplicada, así como la importancia y las
consecuencias previstas de dicho tratamiento para el interesado.
a. El responsable del tratamiento facilitará una copia de los datos personales objeto de
tratamiento.
b. Igualmente e responsable podrá percibir por cualquier otra copia solicitada por el interesado
un canon razonable basado en los costes administrativos.
c. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite
que se facilite de otro modo, la información se facilitará en un formato electrónico de uso
común.
d. El derecho a obtener la copia arriba mencionada no afectará negativamente a los derechos y
libertades de otros.

DERECHO DE RECTIFICACIÓN.

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la
rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del
tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos,
inclusive mediante una declaración adicional.

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la
supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación
indebida los datos personales en determinados casos, por ejemplo cuando los datos personales ya no
sean necesarios en relación con los fines para los que fueron recogidos o cuando el interesado retire el
consentimiento en que se basa el tratamiento o cuando el interesado se oponga al tratamiento y no
prevalezcan otros motivos legítimos para el tratamiento, o cuando los datos personales hayan sido
tratados ilícitamente o deban suprimirse para el cumplimiento de una obligación legal establecida en el

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 21

Derecho de la Unión o de los Estados miembros, que se aplique al responsable del tratamiento ,o cuando
los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la
información.

DERECHO DE OPOSICIÓN.

El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su
situación particular, a que datos personales que le conciernan sean objeto de tratamiento.

DERECHO A LA PORTABILIDAD.

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a
un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a
transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera
facilitado y tendrá igualmente derecho a que los datos personales se transmitan directamente de
responsable a responsable cuando sea técnicamente posible

DERECHO A LA LIMITACIÓN DEL TRATAMIENTO.

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del
tratamiento de sus datos y en este caso dichos datos solo podrán ser objeto de tratamiento, con
excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio
o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica
o por razones de interés público importante de la Unión o de un determinado Estado miembro.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 22

 DERECHO DE ACCESO

DERECHO DE RECTIFICACIÓN

DERECHO DE SUPRESIÓN (“DERECHO AL OLVIDO)

DERECHO DE OPOSICIÓN

DERECHO A LA PORTABILIDAD

DERECHO A LA LIMITACIÓN DEL TRATAMIENTO

Además de incorporar estos nuevos derechos, el RGPD también exige que se

creen procedimientos visibles, accesibles y con un lenguaje sencillo para facilitar al interesado el
ejercicio de sus derechos. Además tendrá que ser posible a través de medios electrónicos como indica el
Considerando 59.

3.3.3 AMPLIACIÓN DEL DEBER DE INFORMACIÓN

Nuestra legislación actual establece que a la hora de

recoger el consentimiento de los interesados se les debía
informar de la persona responsable del fichero, de la existencia
de los ficheros inscritos en el Registro General de Protección de
Datos, de la finalidad de la recogida de los datos y de la
posibilidad de ejercitar los Derechos ARCO.

Desde mayo de 2108, además de estos datos, el Reglamento exige la obligación de informar
sobre nuevos aspectos:

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 23

 Se tiene que Se debe informar Se debe informar
explicar la base Se debe informar acerca de la de los demás
legal para el acerca del periodo posibilidad de derechos que
tratamiento de los de conservación hacer incorpora el nuevo
datos reclamaciones RGDP

Es por tanto conveniente revisar las cláusulas informativas que se hayan

incorporado en los procesos de recogida de datos e incluir los nuevos apartados para
cumplir así con las exigencias del GDPR.

3.3.4 OBTENCIÓN DEL CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS

Tanto el RGPD como La LOPDGDD exigen un consentimiento libre, informado, específico e

inequívoco de los interesados para el tratamiento de sus datos. No son válidos los consentimientos
tácitos ni las casillas premarcadas en los formularios.

Como novedad respecto de la normativa anterior el nuevo RGPD indica que para poder considerar
que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción
positiva que manifieste su conformidad.

El silencio, las casillas ya marcadas o la inacción no constituirán prueba de

consentimiento

Por otra parte, como ya hemos explicado otras de las novedades importantes es en relación con
el tratamiento de datos de menores.

En España, la derogada normativa sobre protección de datos establecía, salvo excepciones legales,
la posibilidad de recabar datos personales de mayores de 14 años sin necesidad de obtener el
consentimiento de sus padres.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 24

 Desde mayo de 2018 no podrán ofrecerse servicios de la sociedad de la información a menores de
16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad
inferior que, en ningún caso, será menos de 13 años. En España la edad mínima para prestar
consentimiento es de 14 años.

¿Hay que obtener el consentimiento explícito de clientes ya existentes según el

nuevo RGPD?

Uno de los aspectos que está provocando mayor debate es la forma en que se van a regular los
consentimientos de clientes o usuarios obtenidos con anterioridad a la entrada en vigor del nuevo
Reglamento Europeo de Protección de Datos. En este sentido, el nuevo RGPD es tajante: si el
consentimiento no se encontraba claramente identificado o se basó en formas tácitas o por omisión,
deberá volverse a solicitar.

Habrá que tenerlo muy en cuenta, porque el tratamiento de datos sin el consentimiento de los
usuarios se entiende como una infracción muy grave según el nuevo reglamento.

3.3.5 ESTABLECER ACCIONES Y MEDIDAS DE SEGURIDAD

El nuevo RGPD no distingue entre los niveles de los ficheros, sino que especifica que se apliquen
medidas de seguridad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza,
el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las
personas físicas. (Artículo 25 Protección de datos desde el
diseño y por defecto).

El nuevo Reglamento europeo de protección de datos

RGPD habla de
apropiadas para garantizar un nivel de seguridad
adecuado al riesgo, pero no concreta qué tipo de medidas
deben aplicarse.

El RGPD, bajo el principio de responsabilidad proactiva (Artículo 5.2), exige al responsable del
tratamiento que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder
demostrar que el tratamiento es conforme con el Reglamento.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 25

 El RGPD propone como mecanismos efectivos de verificación del
cumplimiento la adhesión a códigos de conducta o a mecanismos de certificación
(artículo 42.3 del RGPD).

Por tanto, lo que el GPD exige es que las empresas tengan una actitud consciente, diligente y
proactiva del tratamiento de los datos, pudiendo demostrar, si llegara el caso, las medidas de seguridad
aplicadas.

3.3.6 EVALUACIÓN DE IMPACTO DEL TRATAMIENTO DE DATOS PERSONALES

Otra nueva obligación que establece el RGPD es la de realizar una evaluación de impacto (Privacy
Impact Assessment) para las organizaciones que realicen tratamientos de datos que puedan implicar
un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza,
la particularidad y la gravedad de dicho riesgo.

Para facilitar esta labor, la Agencia Española de Protección de

Datos publicó en 2014 esta Guía para la Evaluación de Impacto en la
Protección de los Datos Personales, en la que se establecen las bases y
aspectos esenciales que deberán tener en cuenta los obligados a realizar
la evaluación de impacto.

https://www.aepd.es/sites/default/files/2019-09/guia-evaluaciones-de-impacto-rgpd.pdf

3.3.7 COMUNICACIÓN DE FALLOS A LA AUTORIDAD DE PROTECCIÓN DE DATOS

Otra de las novedades más importantes se trata de una nueva obligación que el RGPD impone al
responsable del tratamiento: notificar las violaciones de seguridad de los datos.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 26

 Es decir, el responsable del tratamiento de los datos deberá notificar a la
autoridad competente (AEPD en España) cualquier brecha de seguridad que se
haya producido en el plazo de 72 horas desde que ocurra. Además, si la brecha
implica un riesgo para los interesados, también se les deberá notificar a ellos.

3.3.8 LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS

Ya nos hemos referido a ella anteriormente: el RGPD le dedica una

sección entera a una nueva figura, dada la relevancia que tiene para el futuro: el Delegado de Protección
de Datos

Esta persona es el asesor de protección de datos de la empresa, y asume competencias de

asesoramiento, fiscalización, defensa de los ciudadanos y colaboración con la autoridad de control (no
tiene funciones ejecutivas ni de coordinación)

Esta figura no es obligatoria para todas las organizaciones: solo tendrán que contar
con un delegado las empresas públicas y administraciones, las que tengan un tratamiento a
gran escala o las que recojan datos especialmente sensibles o relativos a condenas o
infracciones penales.

Entre las funciones del delegado de protección de datos se encuentran, entre otras, las siguientes:

✓ Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que

se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente
Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados
miembros
✓ Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de
protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 27

 del encargado del tratamiento en materia de protección de datos personales, incluida la
asignación de responsabilidades, la concienciación y formación del personal que participa en
las operaciones de tratamiento, y las auditorías correspondientes
✓ Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la
protección de datos y supervisar su aplicación de conformidad con el artículo 35;
✓ Cooperar con la autoridad de control;
✓ Actuar como punto de contacto de la autoridad de control para cuestiones relativas al
tratamiento, incluida la consulta previa y realizar consultas, en su caso, sobre cualquier otro
asunto.

Posición del delegado de protección de datos

El delegado de protección de datos actuará como interlocutor del responsable o

encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades
autonómicas de protección de datos. El delegado podrá inspeccionar los procedimientos
relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito
de sus competencias.

La posición del Delegado de Protección de Datos se contempla en el artículo 38 del RGPD:

Artículo 38 RGPD: Posición del delegado de protección de datos

1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de

datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección
de datos personales.

2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos

en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para
el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y
para el mantenimiento de sus conocimientos especializados.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 28

 3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de
datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será
destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de
protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o
encargado.

4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que
respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus
derechos al amparo del presente Reglamento.

5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad

en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los
Estados miembros.

6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El

responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a
conflicto de intereses.

7. Cuando se trate de una persona física integrada en la organización del responsable o encargado
del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el
responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave
en su ejercicio.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 29

Designación del delegado de protección de datos.

Los responsables y encargados del tratamiento deberán designar un delegado de

protección de datos en todo caso, cuando se trate de las siguientes entidades:

✓ Todas las administraciones públicas, o sea, siempre que el tratamiento lo lleve a cabo una
autoridad u organismo público, ( excepto los tribunales que actúen en ejercicio de su función
judicial);
✓ Los colegios profesionales y sus consejos generales.
✓ Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la
legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
✓ Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme
a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos
personales a gran escala.
✓ Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala
perfiles de los usuarios del servicio.
✓ Las entidades incluidas en el artículo 1 de la Ley de ordenación, supervisión y solvencia de
entidades de crédito.
✓ Los establecimientos financieros de crédito.
✓ Las entidades aseguradoras y reaseguradoras.
✓ Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
✓ Los distribuidores y comercializadores de energía eléctrica y los distribuidores y
comercializadores de gas natural.
✓ Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial
y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los
responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales
y de la financiación del terrorismo.
✓ Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo
las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las
preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los
mismos.
✓ Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los
pacientes. (Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al
mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual).

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 30

 ✓ Las entidades que tengan como uno de sus objetos la
emisión de informes comerciales que puedan referirse a
personas físicas.
✓ Los operadores que desarrollen la actividad de juego a
través de canales electrónicos, informáticos, telemáticos
e interactivos, conforme a la normativa de regulación del
juego.
✓ Las empresas de seguridad privada.
✓ Las federaciones deportivas cuando traten datos de menores de edad.

Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán

designar de manera voluntaria un delegado de protección de datos.

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia
Española de Protección de Datos o, en su caso, a las autoridades
autonómicas de protección de datos, las designaciones, nombramientos y
ceses de los delegados de protección de datos tanto en los supuestos en
que se encuentren obligadas a su designación como en el caso en que sea
voluntaria.

Los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo
parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial
de los datos tratados o de los riesgos para los derechos o libertades de los interesados.

Cualificación del delegado de protección de datos.

El cumplimiento de los requisitos relativos a cualidades profesionales y en particular a sus

conocimientos especializados del Derecho y la práctica en materia de Protección de datos, sea persona
física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de
certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que
acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.

El Delegado de Protección de Datos deberá ser designado con cualidades profesionales y, en

particular, con conocimiento experto de la legislación y prácticas de protección de datos y la capacidad de
cumplir con las tareas impuestas por el RGPD.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 31

 El Delegado puede elegirse de entre personal existente en la organización del responsable de
los Datos o cumplir las tareas a través de un contrato de servicios.

3.3.9 LAS AUTORIDADES DE PROTECCIÓN DE DATOS

El RGPD sigue manteniendo la existencia de los diferentes reguladores nacionales y sus funciones,
pero ahora estarán coordinados por un organismo dependiente de la Comisión Europea: el Comité
Europeo de Protección de Datos.

Para los titulares de los datos se establece un sistema de ventanilla única, lo que
significa que en caso de que tengan que realizar una reclamación dentro de cualquiera
de los Estados miembros, podrán acudir ante la autoridad de su país.

Por su parte, los responsables y encargados del tratamiento que

tenga centros en diversos Estados miembros, podrán centralizar la
organización de su Sistema de Gestión de la Privacidad en un único país
(estableciendo una autoridad de control principal).

3.3.10 SANCIONES MÁS ALTAS

Una de las cuestiones que está generando más debate y controversia es la diferencia exponencial de
la cuantía de las sanciones que establece el nuevo RGPD.

Si hasta mayo de 2018 las sanciones podían ir desde 900 euros hasta 600.000, a partir de entonces
no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta
el 4% del volumen de negocio del infractor.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 32

 LAS 10 NOVEDADES MÁS DESTACADAS DE ESTE NUEVO
REGLAMENTO

1. Nuevos principios: transparencia (Registro de actividades de tratamiento),

limitación de la finalidad y minimización de datos.

2. Nuevos derechos de los ciudadanos: derecho al olvido y derecho a la portabilidad de los datos.

3. Ampliación del deber de información.

4. Forma de obtención del consentimiento: una declaración del interesado o una acción positiva
que manifieste su conformidad.

5. Establecimiento de acciones y medidas de seguridad.

6. Obligación de realizar evaluaciones de impacto para determinar el cumplimiento normativo.

7. Nuevas notificaciones a la Autoridad de Control: las violaciones de seguridad de los datos.

8. La creación de la figura del Delegado de Protección de Datos (DPO Data Protection Officer).

9. Aplicación del concepto "Ventanilla Única" para que los ciudadanos interesados puedan

efectuar trámites, aunque estos afecten a autoridades en la materia de otros estados miembros.

10. Incremento de la cuantía de las sanciones.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 33

 4. -

La Agencia Española de Protección de

Datos pone a disposición de los ciudadanos una
aplicación informática destinada a aquellas
empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos
como por ejemplo: tratamientos de datos de contacto y facturación de los clientes o proveedores de una
pequeña empresa, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de
una relación laboral.

Los documentos resultantes de la ejecución de este programa serán válidos en la medida que las
respuestas facilitadas a cada una de las preguntas sean ciertas y son los mínimos indispensables para
facilitar el cumplimiento del Reglamento General de Protección de Datos.

La AGPD advierte que el uso de este programa no garantiza el pleno

cumplimiento del RGPD.

Entrando en el siguiente enlace podéis simular diferentes casos dentro de los límites de riesgo antes
mencionados: https://www.aepd.es/

Esta herramienta podría ser de utilidad (meramente aproximativa) a un asesoramiento a pequeños

empresarios sobre el cumplimiento de los preceptos del nuevo Reglamento, así como para
proporcionarnos una práctica que redundará en nuestra propia formación como ciudadanos.

CLAVES Y NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS 34