Con el acrónimo GDPR (General Data Protection Regulation) nos referimos al Reglamento General de Protección de Datos nº 2016/679, que entró en vigor el 24 de mayo de 2016 y es aplicable desde el 25 de mayo de 2018.
El GDPR es el principal texto legislativo sobre el tratamiento de datos personales.
Surge de una necesidad particular de seguridad jurídica y simplificación de la normativa sobre el tratamiento de datos personales.
Simplificación y armonización normativa, pero no sólo: la necesidad de un nuevo texto normativo también se deriva de la necesidad de hacer frente a los nuevos retos que plantea la innovación digital y de proteger la privacidad y los datos personales frente a ella.
Tal y como especifica, también, la Unión Europea, el GDPR se creó, de hecho, para perseguir los siguientes objetivos:
- unificar y armonizar la normativa de protección de datos entre los distintos países de la Unión;
- responder a los nuevos requisitos de protección de datos que han surgido como consecuencia de la creciente innovación y transformación digital;
- aumentar la confianza de los ciudadanos europeos en la nueva sociedad digital y en sus agentes públicos y privados.
Si tuviéramos que simplificar el GDPR en unos pocos puntos, estos serían los principales:
- se introduce el concepto de capacitación del propietario;
- se definen importes más elevados para las multas administrativas en función de las disposiciones infringidas;
- se introducen los conceptos de «privacidad desde el diseño», «enfoque basado en el riesgo adecuación de las medidas de seguridad», «evaluación de impacto» y, sobre todo, «violación de datos»;
- se establecen normas más estrictas para la selección y el nombramiento de un interventor y posibles subinterventores;
- se introduce en algunos casos el nombramiento obligatorio de un responsable de la protección de datos;
- se definen normas más claras sobre información y consentimiento;
- se amplía la categoría de derechos a los que tiene derecho el interesado;
- se establecen criterios aún más estrictos para la transferencia de datos fuera de la Unión Europea.
Al ser un Reglamento, el GDPR se ha implementado de la misma manera en todos los estados miembros de la unión.
En Italia, el 19 de septiembre de 2018, de hecho, entró en vigor el Decreto Legislativo n.º 101, de 10 de agosto de 2018, que introdujo las disposiciones para la adaptación de la legislación italiana al GDPR.