ajusta las normas relativas a las instituciones, órganos y organismos de la UE a las establecidas por el Reglamento General de Protección de Datos (RGPD) y la Directiva (UE) 2016/680, conocida como la Directiva sobre protección de datos en el ámbito penal, que son aplicables desde mayo de 2018;
deroga el Reglamento (CE) n.o45/2001, que anteriormente contenía las normas sobre el tratamiento de datos personales por las instituciones, órganos y organismos de la UE, y garantiza que estos cumplan unas normas de la misma rigurosidad que las establecidas en el RGPD;
deroga la Decisión n.o1247/2002/CE relativa al Supervisor Europeo de Protección de Datos (SEPD).
PUNTOS CLAVE
Los datos personales deben:
ser tratados de manera lícita, leal y transparente;
ser recogidos con fines determinados, explícitos y legítimos;
ser adecuados, pertinentes y limitados a lo necesario;
ser exactos y, si fuera necesario, actualizados;
ser conservados de forma que se permita la identificación de los interesados durante no más tiempo del necesario;
ser tratados con la adecuada confidencialidad.
El responsable del tratamiento2 es responsable del cumplimiento de todos los principios sobre tratamiento de datos antes citados y debe ser capaz de demostrarlo.
Además, los datos personales:
pueden transmitirse a un destinatario establecido en la UE que no sea una institución, órgano u organismo de la UE solo si se ofrecen determinadas garantías adicionales;
pueden transferirse fuera de la UE únicamente bajo estrictas condiciones;
que revelen el origen racial o étnico, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos de una persona y los datos genéticos, datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o la orientación sexual de una persona física no deben tratarse salvo en circunstancias especiales;
necesitan unas salvaguardias adecuadas si se archivan en el interés público o con fines científicos, históricos o estadísticos.
Las solicitudes del consentimiento de una persona para la utilización de sus datos deben realizarse de forma inteligible y de fácil acceso, con un lenguaje claro y sencillo. El consentimiento debe prestarse mediante un acto afirmativo claro de la persona.
Las personas (denominadas «interesados» en la legislación) tienen derecho a:
retirar su consentimiento en cualquier momento, lo que debería ser tan fácil como prestarlo;
saber si sus datos personales se están tratando o no y tener acceso a ellos;
que se corrija cualquier dato personal incorrecto;
borrar o limitar el tratamiento de cualquier dato personal siempre y cuando se cumplan determinadas condiciones;
recibir los datos personales que hubieran facilitado al responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica, y a que se transmitan a otro responsable del tratamiento;
oponerse, por su situación particular, a la utilización de sus datos personales con fines de interés público;
no ser objeto de una decisión que se base únicamente en el tratamiento automatizado y que tenga consecuencias jurídicas para ellas;
presentar una reclamación ante el SEPD si consideran que sus datos personales se están tratando de tal modo que se vulnera el Reglamento;
ser compensadas por cualquier daño o perjuicio material o inmaterial que sufran como consecuencia de las acciones de una institución, órgano u organismo de la UE;
conferir mandato a una organización sin ánimo de lucro para que presente una reclamación ante el SEPD.
Los responsables del tratamiento:
tienen que informar a los interesados, con un lenguaje sencillo e informaciones objetivas, como los datos de contacto del responsable de los datos y la finalidad de su tratamiento, cuando se recojan tales datos;
deben responder a cualquier solicitud de los interesados, como solicitudes de acceso a sus datos personales o de rectificación dichos datos, a la mayor brevedad posible y a más tardar en el plazo de un mes;
aplican medidas técnicas y organizativas apropiadas, incluida la seudonimización3, a fin de garantizar que el tratamiento de los datos personales cumpla con el Reglamento;
deben utilizar únicamente procesadores de datos que cumplan con los requisitos de la UE;
llevan un registro detallado de las actividades de tratamiento de datos efectuadas bajo su responsabilidad;
cooperan con el SEPD;
notifican al SEPD y, en algunos casos, a la persona interesada tan pronto como se produzca cualquier violación de datos personales;
realizan evaluaciones de impacto relativas a la protección de datos de determinados tratamientos de alto riesgo de datos personales;
garantizan la confidencialidad y la seguridad de sus redes de comunicación electrónica;
informan al SEPD cuando se establecen medidas administrativas o normas internas sobre el tratamiento de datos personales.
La legislación crea el cargo del SEPD, nombrado por un mandato de cinco años renovable una sola vez. Ubicado en Bruselas, el/la titular de este puesto:
actúa con plena independencia;
trata toda la información confidencial conforme al deber de secreto profesional;
controla cómo aplican la legislación las instituciones, órganos y organismos de la UE;
promueve el entendimiento y la conciencia públicos del tratamiento de datos personales;
tramita reclamaciones y lleva a cabo investigaciones;
advierte o sanciona a los responsables del tratamiento;
remite asuntos al Tribunal de Justicia, que entiende en las controversias relativas a la legislación;
coopera con las autoridades nacionales de control de la protección de datos.
Reglamento interno del SEPD
Una Decisión de adopta el reglamento interno del SEPD. Esta dispone con detalle:
la misión, los principios rectores y la organización del SEPD;
la forma en la que se encargará de controlar y garantizar la aplicación del Reglamento;
los procedimientos para su consulta legislativa, supervisión tecnológica, proyectos de investigación y procedimientos judiciales; y
los procedimientos de cooperación con las autoridades nacionales de supervisión y la cooperación internacional.
Normas especiales para los órganos y organismos de la UE
Los órganos y organismos de la UE que traten datos personales operativos4 a efectos del cumplimiento de la ley están sujetos a normas especiales (por ejemplo, Eurojust) y quedan cubiertos por un capítulo concreto del Reglamento. Las normas de este capítulo están armonizadas con la Directiva sobre protección de datos en el ámbito penal. Asimismo, en los actos fundacionales de estos órganos y organismos, pueden establecerse normas más específicas a fin de tener en cuenta sus especificidades.
El tratamiento de datos personales operativos por Europol y la Fiscalía Europea queda excluido del ámbito de aplicación del presente Reglamento y, en su lugar, se rige por disposiciones específicas de los actos jurídicos que los establecen. Sin embargo, el tratamiento administrativo de los datos personales (por ejemplo, para gestionar su personal) que estos realicen está sujeto al Reglamento.
Delegados de protección de datos
Los responsables del tratamiento designan al delegado de protección de datos por un mandato de entre tres y cinco años para que:
preste asesoramiento independiente en materia de tratamiento de datos personales;
controle el cumplimiento de las normas sobre protección de datos.
Informes
La Comisión Europea debe publicar su primer informe sobre la aplicación del Reglamento a más tardar el .
¿DESDE CUÁNDO ESTÁ EN VIGOR EL REGLAMENTO?
Está en vigor desde el , salvo en lo que respecta al tratamiento de datos personales por parte de Eurojust, en cuyo caso es aplicable desde el .
ANTECEDENTES
El artículo 8 de la Carta de los Derechos Fundamentales establece que toda persona tiene derecho a la protección de los datos personales. El artículo 16 del Tratado de Funcionamiento de la UE desarrolla en mayor medida este derecho. Este artículo constituye el fundamento jurídico de toda la legislación de la UE sobre protección de datos.
Datos personales. Toda información sobre una persona física identificada o identificable.
Responsable del tratamiento. Toda institución, órgano u organismo de la UE, o una entidad organizativa suya, que determina los fines y medios del tratamiento de datos personales.
Seudonimización. Tratamiento de datos personales de tal manera que una persona no pueda ser identificada sin utilizar información adicional que figure por separado.
Datos personales operativos. Todos los datos personales tratados con el objetivo de realizar actividades para el cumplimiento de la ley.
DOCUMENTO PRINCIPAL
Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de , pp. 39-98).
DOCUMENTOS CONEXOS
Decisión (UE) 2020/969 de la Comisión, de , por el que se establecen disposiciones de aplicación relativas al responsable de la protección de datos, a las restricciones de los derechos de los interesados y a la aplicación del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, y por la que se deroga la Decisión 2008/597/CE de la Comisión (DO L 213 de , pp. 12-22).
Decisión del Supervisor Europeo de Protección de Datos, de , por la que se adopta el Reglamento interno del SEPD (DO L 204 de , pp. 49-59).
Decisión del Supervisor Europeo de Protección de Datos, de , relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de actividades realizadas por el Supervisor Europeo de Protección de Datos (DO L 99I de , pp. 1-7).
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de , pp. 1-88).
Las modificaciones sucesivas del Reglamento (UE) 2016/679 se han incorporado al documento original. Esta versión consolidada solo tiene valor documental.
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de , pp. 89-131).