El Reglamento (UE) 2016/679, el Reglamento general de protección de datos (RGPD), protege a las personas (personas físicas) cuando sus datos están siendo tratados por el sector privado y la mayor parte del sector público. En cambio, el tratamiento de los datos por parte de las autoridades competentes con fines policiales está sujeto a la Directiva sobre protección de datos en el ámbito penal (véase la síntesis).
Permite que las personas controlen mejor sus datos personales. Asimismo, moderniza y unifica las normas que permiten a las empresas reducir la burocracia y beneficiarse de una mayor confianza por parte de los consumidores.
Crea un sistema de autoridades de control completamente independientes a cargo de supervisar y velar por su cumplimiento.
Es parte de la reforma de protección de datos de la Unión Europea (UE), junto con la Directiva sobre protección de datos en el ámbito penal y el Reglamento (UE) 2018/1725 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la UE (véase la síntesis).
PUNTOS CLAVE
Los derechos individuales
El RGPD refuerza los derechos existentes, genera nuevos derechos y ofrece a las personas un mayor control sobre sus datos personales. Incluye lo siguiente.
Acceso más sencillo a los datos propios de una persona. Esto incluye proporcionar más información sobre cómo se tratan esos datos y garantizar que la información esté disponible de una forma clara y comprensible.
Un derecho a la portabilidad de los datos. Esto facilita la transmisión de datos personales entre proveedores de servicios.
Un derecho de supresión (el derecho al olvido). Cuando una persona no desee que se sigan tratando sus datos y no exista ninguna razón legítima para conservarlos, se suprimirán los datos.
El derecho a saber cuando exista una violación de la seguridad de los datos personales. Las empresas y organizaciones deben notificar a la autoridad de control pertinente encargada de la protección de datos y, en caso grave de violación de la seguridad de los datos, a las personas afectadas.
Normas para las empresas
El RGPD establece igualdad de condiciones para todas las empresas que desarrollen sus operaciones en el mercado interior de la UE, adopta un planteamiento neutro desde el punto de vista tecnológico y estimula la innovación mediante de una serie de pasos, que incluyen lo siguiente:
Un conjunto único de normas aplicable en toda la UE. Una única ley de protección de datos para toda la UE aumenta la seguridad jurídica y reduce las cargas administrativas.
Un delegado de protección de datos. Una persona responsable de la protección de datos debe ser designada por las autoridades públicas y las empresas que procesan los datos a gran escala, o cuya actividad principal es el procesamiento de categorías especiales de datos, como los datos relativos a la salud.
Ventanilla única. Las empresas solo tienen que tratar con una sola autoridad de control (en el Estado miembro de la UE en el que tienen su establecimiento principal); las autoridades de control pertinentes cooperan en el marco del Comité Europeo de Protección de Datos para los casos transfronterizos, con normas procedimentales adicionales para la aplicación transfronteriza establecidas en el Reglamento (UE) 2025/2518.
Normas de la UE para las empresas de fuera de la UE. Las empresas con sede fuera de la UE deben aplicar las mismas normas al ofrecer productos o servicios o realizar una supervisión del comportamiento de las personas dentro de la UE.
Normas que promuevan la innovación. Una garantía de que se integren salvaguardias relativas a la protección de datos en los productos y servicios desde las primeras etapas del desarrollo (protección de datos desde el diseño y por defecto).
Técnicas respetuosas con la privacidad. Se fomenta la utilización de técnicas como la seudonimización (cuando los campos identificativos de un registro de datos se sustituyen por uno o más identificativos artificiales) y el cifrado (cuando se codifican los datos de tal manera que solamente puedan leerlos las partes autorizadas) para limitar la invasión al tratamiento.
Eliminación de notificaciones. El RGPD elimina la mayoría de las obligaciones de notificación y los costes asociados a estas. Uno de sus objetivos es eliminar los obstáculos a la libre circulación de datos personales en la UE. Esto facilitará la expansión de las empresas en el mercado único digital.
Evaluaciones de impacto relativa a la protección de datos. Las organizaciones deben llevar a cabo evaluaciones de impacto cuando el tratamiento de datos pueda ocasionar un riesgo elevado para los derechos y libertades de las personas.
Mantenimiento de registros. Las pymes no están obligadas a mantener registros de sus actividades de tratamiento, salvo que dichas actividades sean regulares o puedan ocasionar un riesgo para los derechos y las libertades de la persona cuyos datos están siendo procesados, o incluyan categorías sensibles de datos.
Un conjunto de herramientas moderna para las transferencias internacionales de datos. El RGPD ofrece varios instrumentos para transferir datos fuera de la UE, incluidas las decisiones de adecuación adoptadas por la Comisión Europea cuando el país no perteneciente a la UE ofrece un nivel adecuado de protección, cláusulas contractuales (tipo) preaprobadas, normas corporativas vinculantes, códigos de conducta y certificación.
Aplicación del RGPD en casos transfronterizos
El Reglamento (UE) 2025/2518 (adoptado el y publicado en el Diario Oficial el ) establece normas procedimentales para la aplicación del RGPD en casos transfronterizos (en los que interviene más de una autoridad de la UE o del Espacio Económico Europeo). El objetivo es que las investigaciones y la tramitación de reclamaciones sean más rápidas y coherentes en todos los Estados miembros.
El Reglamento refuerza y normaliza procesos como la forma en que se presentan y evalúan las reclamaciones, la cooperación entre la autoridad de control principal y otras autoridades interesadas, y unos derechos procesales más claros para las partes clave (reclamantes y partes investigadas). Su objetivo es mejorar la eficiencia y la seguridad jurídica en la aplicación transfronteriza del RGPD, al tiempo que favorece una coordinación más fluida entre los entes reguladores.
Revisión
La Comisión publicó el primer informe sobre la evaluación y la revisión del Reglamento en junio de 2020. En 2024 se publicó un segundo informe y el próximo informe está previsto para 2028.
¿DESDE CUÁNDO ESTÁ EN VIGOR EL REGLAMENTO?
El RGPD está en vigor desde el .
Las normas procedimentales para la aplicación transfronteriza establecidas en el Reglamento (UE) 2025/2518 entrarán en vigor a partir del .
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de , pp. 1-88)
Las modificaciones sucesivas del Reglamento (UE) 2016/679 se han incorporado al texto original. Esta versión consolidada solo tiene valor documental.
DOCUMENTOS CONEXOS
Reglamento (UE) 2025/2518 sobre normas procedimentales adicionales sobre la garantía del cumplimiento del Reglamento (UE) 2016/679.
Reglamento (UE) 2018/1725 relativo a la protección de los datos personales por las instituciones, órganos y organismos de la UE y a la libre circulación de dichos datos.
Directiva (UE) 2016/680 relativa a la protección de datos personales por parte de las autoridades policiales y judiciales penales y a la libre circulación de dichos datos.
Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).