El RGPD: El Reglamento de Protección de Datos

El 25 de mayo de 2018 entró en vigor el Reglamento general de protección de datos (RGPD), una reforma sobre la protección de datos a nivel europeo en la que estuvieron trabajando el Parlamento Europeo y el Consejo durante cinco años. Antes de su implantación, se aplicaba la Directiva 95/46/CE de 1995; pero los cambios tecnológicos de las últimas décadas propiciaron su revisión, y es que hay que tener en cuenta que en 1995 Internet todavía estaba dando sus primeros pasos. Hoy en día, la protección de los datos a nivel europeo debe ocuparse de conceptos como el big data, la Industria 4.0, la robótica o la inteligencia artificial (IA), de ahí que surgiera la necesidad de incluir novedades en el RGPD.

El objetivo del RGPD es regular de manera uniforme el tratamiento de los datos, lo que plantea por lo menos dos cuestiones para las empresas: ¿me afectan las regulaciones?, ¿qué pasos hay que dar para que el tratamiento interno y externo de los datos se ajuste al RGPD? Desde que la normativa entrara en vigor, han tenido lugar ciertos cambiosen el comercio online y en la protección de los datos de los trabajadores en las empresas.

A continuación, te ofrecemos un resumen de la nueva situación jurídica y te detallamos las medidas que debes aplicar en tu empresa.

A escala europea, las leyes suelen prolongarse en el tiempo, incluso después de entrar en vigor oficialmente. Así, una vez acordada una directiva europea tras largos debates en el Parlamento de Bruselas, los 28 Estados miembros conceden amplios períodos transitorios para que las jurisprudencias nacionales asuman la ley. También puede pasar mucho tiempo hasta que finalmente se presiona a las empresas para que apliquen la nueva normativa.

Pero, además de directivas, hay un segundo tipo de normativa europea: los reglamentos. Estos no ofrecen libertades temporales ni tampoco de contenido, sino que son jurídicamente vinculantes y aplicables de inmediato para todos los Estados (afectando así, también, a la práctica empresarial de toda pyme). Este es el caso del RGPD, que no es una directriz, sino un reglamento.

En mayo de 2016 entró en vigor el Reglamento europeo de protección de datos con un período transitorio de dos años y el 25 de mayo de 2018 pasó a aplicarse en todos los Estados miembros como ley de protección de datos oficial y, por lo tanto, superior a la normativa nacional. Así, todas las empresas y autoridades públicas que trabajan con datos personales deben aplicar desde entonces las nuevas disposiciones de la Unión Europea sobre protección de datos y tomar las medidas necesarias en sus operaciones. Si no se cumple la normativa europea, las sanciones pueden ascender hasta los 20 millones de euros o hasta el 4 % del volumen de ventas mundial del ejercicio fiscal anterior.

Sin embargo, a pesar de que ha pasado tiempo suficiente para que las empresas se acogieran a lo estipulado en el RGPD, hay datos que demuestran que aún queda camino por recorrer. Como muestra Enforcement Tracker, que se basa en la información de las sanciones publicadas, el total de multas impuestas por mes sigue siendo elevada. Otro dato interesante es el que contiene el estudio del bufete DLA Piper, “DLA Piper GDPR fines and data breach survey: January 2021”, donde se presenta que el valor total de las multas impuestas en España desde mayo de 2018 ocupa el quinto lugar en el ranking, después de Italia, Alemania, Francia y Reino Unido.

Los reglamentos europeos tienen prioridad sobre las leyes nacionales y prevalecen en caso de contradicciones. No obstante, el RGPDcontiene algunas cláusulas de apertura que permiten a los Estados atenuar o intensificar ciertas reglas. Así, en diciembre de 2018 entró en vigor la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Personales (LOPD GDD), que deroga la antigua LOPD de 1999 y da cobertura al RGPD a nivel nacional. Para las empresas, esto significa que las directrices del RGPD no se ven modificadas, sino ratificadas.

El objetivo principal del RGPD es unificar los principios de protección de datos de la Unión Europea. Aunque anteriormente la directiva de 1995 se aplicaba de manera diferente a cada Estado miembro, el Reglamento actual ofrece poco margen para iniciativas nacionales.

Otro ámbito al que se dirige el RGPD está relacionado con los grandes cambios tecnológicos de losúltimos 25 años y con los futuros desarrollos técnicos, por lo que la protección de datos todavía se enfrenta a muchos retos. Un ejemplo de ello es que la recopilación de los datos biométricos de los trabajadores es obligatoria en algunas profesiones con máquinas inteligentes. Si una empresa trata dichos datos con cautela, esto no supone ningún problema. El problema se plantea si la empresa, después de haber obtenido dichos datos, se ve tentada a utilizarlos para otros fines como, por ejemplo, el control del rendimiento. A este tipo de utilización de los datos personales debe responder el Reglamento europeo de protección de datos.

Un resumen de las disposiciones del Reglamento de protección de datos debe, en primer lugar, recoger las modificaciones relacionadas con los datos personales. En este aspecto es donde el Reglamento europeo de protección de datos ha introducido los cambios más importantes: si bien no en las dimensiones como estaba planeado, el RGPD ha reforzado visiblemente la protección de los datos de los particulares. Las diferentes disposiciones en este sentido regulan de manera comprensible y adecuada su recopilación.

Con ello, por ejemplo, se amplió la responsabilidad proactiva de las empresas (accountability). Esto quiere decir que las empresas están sujetas a obligaciones más detalladas de documentación con respecto a los datos que recopilan, los objetivos de su utilización y la forma de procesarlos desde que el RGPD entró en vigor. En este sentido, el Reglamento general de protección de datos supone principalmente un gran volumen de trabajo en términos de documentación.

Los principios más importantes son:

1. Prohibición salvo autorización: este principio significa que a priori se prohíbe cualquier procesamiento de datos personales a no ser que esté permitido. Esta era la situación hasta ahora y todavía sigue generando controversias. Después de todo, no todos los datos son igual de importantes. Con el Reglamento europeo de protección de datos, el principio de prohibición se aplica indiscriminadamente a cualquier tipo de datos personales.
2. Limitación de la finalidad: las empresas solo pueden recopilar y editar datos con unos objetivos específicos. Para ello, al empezar a recogerlos deben formularse los objetivos y documentarse el uso futuro de los datos. Un ejemplo del mundo laboral es que los datos que una empresa ha recopilado y guardado justificadamente para el cumplimiento de un contrato no pueden utilizarse para fines publicitarios. Este es otro de los fines que necesita una justificación por separado y solo se permiten las modificaciones posteriores de los objetivos bajo determinadas circunstancias.
3. Minimización de datos: el principio de la minimización de datos exige que las empresas recopilen la menor cantidad de datos posible, aplicando el lema “lo menos posible y tanto como sea necesario”. Así, no se puede recopilar más de lo requerido para conseguir el objetivo previsto con la obtención de datos. Con ello, este principio prohíbe la recopilación de datos “desmedida”.
4. Transparencia: el tratamiento de los datos debe ser comprensible para los interesados. Esto, por un lado, requiere avisos de privacidad claros y, por otro, significa mayores derechos para los usuarios. Como hasta ahora, las empresas deben comunicar bajo petición cuáles son los datos existentes y cómo se van a utilizar.
5. Confidencialidad: las empresas tienen la obligación de proteger los datos personales de sus clientes de forma técnica y organizativa ya sea del tratamiento o modificación no autorizados, del robo o de la destrucción de dichos datos. Una novedad es, sin embargo, la obligación explícita a aplicar medidas técnicas de protección. Sin embargo, estas medidas no están formuladas en el RGPD de forma precisa y ofrecen cierto margen interpretativo. En caso del robo de información, es importante que las medidas técnicas y organizativas de protección hayan resultado adecuadas para el riesgo planteado y el tipo de datos almacenados.

En primer lugar, el Reglamento europeo de protección de datos trajo buenas noticias para los consumidores y los interesados en el procesamiento de datos,a los que se aplica la protección ampliada recogida por el RGPD, aunque su normativa también afecta a los derechos de los trabajadores.

El RGPD también tuvo especial relevancia para el grupo profesional de los delegados de protección de datos (DPO), cuyo número ha aumentado considerablemente debido a dicho reglamento. Desde su implantación, todos los organismos públicos y empresas en las que sus actividades principales hagan referencia a la manipulación de datos personales deben designar a un delegado de protección de datos. Aun cuando la actividad principal no esté relacionada con el tratamiento de datos, debe nombrarse a un delegado de protección de datos cuando haya al menos 10 personas que se ocupen del tratamiento automatizado de los datos personales, lo que tiene validez para muchas empresas de mediana envergadura.

Asimismo, para los delegados de protección de datos que trabajaban para una empresa, el RGPD supuso un cambio significativo, puesto que su papel en ella se modificaba radicalmente: si consiguieron el cumplimiento de las medidas de protección de datos, ahora son los responsables de supervisarlas. Es decir, se amplían sus responsabilidades y su campo de actividad.

La normativa implica mucho trabajo para los delegados de protección de datos, pues tienen que conocer al detalle esta situación jurídica. Sin embargo, la normativa también plantea aspectos positivos. Como indica el artículo 39 del texto legal del que versa esta guía, las funciones del delegado de protección de datos son:

(…)

1. informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
2. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
3. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
4. cooperar con la autoridad de control;
5. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

2.   El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Dicho esto, a continuación, te ofrecemos un resumen del RGPD que tiene en cuenta, sobre todo, las actividades e implicaciones elementales para gestores de páginas web y para empresas.

Aunque no se da una restructuración profunda de la normativa sobre protección de datos, el Reglamento europeo de protección de datos sí introdujo ciertas modificaciones que las empresas deben tener en cuenta obligatoriamente e integrar en su flujo de trabajo al desarrollar sus rutinas laborales con datos personales (principio de privacy by design). En caso contrario se estaría infringiendo el derecho europeo.

• Evaluación del impacto de la protección de los datos: las empresas tienen la obligación de llevar a cabo evaluaciones de riesgos y también de definir las medidas de protección adoptadas para minimizarlos. Esta norma es especialmente relevante cuando las empresas recurren a la computación en la nube, pues en un servicio como tal se trabaja a menudo con grandes cantidades de datos personales. Esto tiene mayores consecuencias para las empresas que almacenan datos sanitarios, puesto que son especialmente sensibles y su difusión tiene especial relevancia para los interesados.
• Datos de los trabajadores: otra piedra de toque es el modo en que las empresas procesan los datos de sus trabajadores. Las disposiciones correspondientes en el RGPD también afectan a los departamentos de Recursos Humanos, en los que también repercuten dichas modificaciones.
• Delegados de protección de datos: estos son una figura esencial para muchas empresas. Los delegados de protección de datos supervisan la estrategia de protección de datos elaborada individualmente y el cumplimiento del RGPD, lo que no solo afecta a empresas que trabajan con grandes cantidades de datos personales, sino que toda empresa con más de 10 trabajadores dedicados al procesamiento de datos personales debe recurrir a un delegado de protección de datos.
• Obligaciones de notificación: las nuevas especificaciones del RGPD sobre cómo proceder ante filtraciones de datos son más estrictas que las normas anteriores. Cuando se tenga conocimiento sobre incidentes de seguridad, estos deben notificarse en un plazo de 72 horas tanto a los interesados como a las autoridades responsables.
• Responsabilidad y multas: las empresas pueden tener que responsabilizarse por las infracciones realizadas en el manejo de los datos recogidos, lo que puede traducirse en multas elevadas. 

• Obligaciones de documentación: un aspecto fundamental del Reglamento de protección de datos se centra en la responsabilidad proactiva de las empresas, también llamada accountability. A diferencia de lo que se hizo en el pasado, las empresas tienen la obligación de acreditar la protección de datos mediante documentación interna. Así, deben poder demostrar a las autoridades en cualquier momento y mediante la presentación del registro correspondiente qué datos se han almacenado y con qué finalidad, cómo se procesan y cuándo se eliminan.
• Privacy by design (privacidad desde el diseño):el principio privacy by design significa que las empresas deben tener en cuenta la protección de datos incluso en el diseño técnico de sus procesos comerciales. Así, técnicamente no pueden implementar medidas de protección de datos a posteriori, es decir, de manera secundaria, sino integrarlas en el proceso de trabajo en la fase de desarrollo. Por lo tanto, los productos y los procesos deben planearse de modo que estos traten con la menor cantidad de datos personales posible.
• Privacy by default (privacidad por defecto): esta disposición del Reglamento general de protección de datos ordena que debe predefinirse técnicamente la variante que mejor garantice la protección de datos, lo que evita que los consumidores lidien con ajustes técnicos complejos para conseguir limitaciones en el procesamiento de datos. 
• Fundamentos de la autorización (consentimiento, convenio): en la mayoría de los casos los interesados también tienen que consentir explícitamente el uso de sus datos personales y además el consentimiento del trabajador o consumidor solo es aplicable a los usos especificados. Esta declaración debe formularse inteligiblemente y, en principio, puede revocarse, algo que debe ser tan fácil como la exposición en sí del consentimiento. Con el RGPD han aumentado los requisitos para una autorización efectiva, de modo que una disparidad muy amplia entre los implicados puede imposibilitar la voluntariedad así como la generación de la concesión de celebración del contrato.
• Supresión de datos: solo se pueden conservar los datos personales durante el tiempo necesario para la finalidad prevista. Si se extingue la autorización para el tratamiento de los mismos (se ha revocado el consentimiento o se ha cumplido el contrato), estos deben eliminarse.
• Derecho de acceso y derecho de supresión: los ciudadanos europeos tienen derecho a conocer qué tipo de datos tiene una empresa sobre su persona y cómo los utiliza. Además, los consumidores también pueden exigir a la empresa que elimine sus datos. Una gran empresa como Google también debe cumplir este “derecho al olvido” y eliminar de los resultados de su buscador, bajo solicitud, los enlaces a la información personal.

El Reglamento europeo de protección de datos no incluye reglas explícitas sobre el comercio online, sino que en él se formulan más bien principios generales de protección de datos cuyas partes están reguladas por otras leyes y reglamentos. Sin embargo, las abstractas normas del RGPD también aportaron novedades para el comercio online, información que te detallamos en los dos apartados siguientes.

Lo más importante es que, junto con las regulaciones ya mencionadas para las empresas, el RGPD introdujo, en principio, relativamente pocas modificaciones para el comercio online. Las normas con respecto a los temas más importantes para los gestores de páginas web (cookies, seguimiento de los usuarios, spam y marketing directo) se regularán en el futuro. Mientras tanto, los gestores de páginas web se rigen por el RGPD y por los principios generales de protección de datos de la nueva LOPD y GDD, que recoge los principios del RGPD en forma de ley de aplicación nacional.

No obstante, el RGPD es, en cierto sentido, una solución provisional, pues, en principio, junto con él y la LOPD-GDD, entraría en vigor una nueva normativa sobre protección de datos: el Reglamento ePrivacy o de Privacidad Electrónica de la Unión Europea. El momento en el que entre en vigor es aún desconocido, pues los diferentes Estados miembro no se terminan de poner de acuerdo.

El borrador que aún se discute prevé estrictos requisitos de consentimiento para cookies, y, si el proyecto se convierte en ley, esto tendría consecuencias significativas en el seguimiento, la segmentación y la publicidad personalizada. Además, aún no se ha determinado qué cambios se producirían en el proceso legislativo. No obstante, los gestores de páginas web y los comercios online no deben perderlo de vista. A diferencia del Reglamento general de protección de datos, que regula los principios de protección de datos, el Reglamento ePrivacy se refiere a un sector específico, la protección de la privacidad en la vida diaria digital, de ahí que a los gestores de páginas web se vayan a tener que enfrentar a nuevas normas.

¿Qué modificaciones se introdujeron en mayo de 2018 con el Reglamento europeo de protección de datos? Los cambios más importantes para los gestores de páginas web son:

1. La amplia obligación de documentación acreditativa del RGPD
2. Permisos más complejos
3. Los principios básicos de privacy by design y privacy by default
4. Mayores derechos de acceso y derecho de supresión
5. El derecho a la transferibilidad de los datos
6. Deberes informativos más amplios (p. ej., para la declaración de privacidad de una página web)
7. La prohibición de asociación en las autorizaciones
8. Multas muy elevadas

En los párrafos anteriores ya se han explicado algunos puntos. Te presentamos ahora la declaración de privacidad y la prohibición de asociación,puestoque ambosconciernen principalmente a los gestores de páginas web.

Las normas sobre la política de privacidad están entre las novedades del RGPD más importantes para los gestores de páginas web, y es que todas las páginas web deben contener un aviso de privacidad. El apartado 2 del artículo 13 del RGPD recoge una lista detallada de los datos que debe contener toda declaración de privacidad. Asimismo, su forma también está regulada por el Reglamento europeo de protección de datos: dicha declaración o aviso debe aparecer en lenguaje claro y comprensible, de ahí que a la transparencia juegue un papel esencial (art. 12).

Por el contrario, en la prohibición de asociación es donde los expertos encuentran las mayores restricciones del Reglamento general de protección de datos para la industria informática. Según la prohibición de asociación, los gestores de páginas web ya no pueden obligar a sus clientes potenciales a ceder los datos que no sean necesarios para las actividades en cuestión. Como ejemplo, si para la celebración del contrato se exige simultáneamente la suscripción a la newsletter, se estaría infringiendo el derecho de la UE. El principio más importante del consentimiento es lalibre voluntad. En muchos consentimientos acoplados, la libre voluntad puede brillar por su ausencia, de ahí que los consentimientos obtenidos así sean, en consecuencia, ineficaces.

Por último, es indispensable tener en cuenta las modificaciones en las obligaciones de documentación, en las bases del consentimiento, en almacenamiento, en derechos de acceso y en derecho de supresión. En particular, puede que haya nuevas regulaciones que afecten tanto a gestores de páginas web como a empresas.

De cara a aplicar el Reglamento europeo de protección de datos, en primer lugar, debes considerar que las medidas necesarias se imponen de manera diferente en función de cada empresa. No obstante, hay algunas precauciones que toda empresa debe tomar y que detallamos a continuación:

• Establece los procesos de documentación para el tratamiento de datos personales.
• Crea un directorio para las tareas de procesamiento de datos.  
• Crea vías de comunicación para las consultas de los clientes sobre protección de datos.  
• Evalúa si es necesario recurrir a un delegado de protección de datos.
• Adapta la declaración de privacidad de tu página a las nuevas regulaciones.
• Consulta con el jefe del departamento técnico y los delegados de protección de datos si las medidas técnicas actuales sobre protección de datos son suficientes. En algunas circunstancias será necesario recurrir a otras medidas o integrar mejor en la infraestructura de TI las ya existentes.
• Todos los datos personales recopilados que infringen la prohibición de asociación deben recabarse de otro modo y obtenerse de manera voluntaria.
• Si has recurrido a servicios externos para procesar datos personales para tu empresa, debes consultarles si los acuerdos celebrados son de conformidad con la reforma sobre protección de datos. Adapta los acuerdos a las nuevas exigencias.
• Comprueba la manera en que solicitas el consentimiento de tus clientes en tu tienda online y adapta dichos procedimientos a las disposiciones del RGPD.
• Mantente actualizado sobre todo lo relativo al Reglamento ePrivacy. En el futuro podrás regular cómo los negocios online tratan con herramientas de análisis y de seguimiento.
• Si no estás seguro, busca asesoramiento profesional.

La aprobación del RGPD levantó opiniones tanto positivas como negativas. Aun así, lo que queda claro grosso modo es que el Reglamento aporta seguridad a los consumidores y las empresas y establece las mismas condiciones para todos los agentes del mercado.

Como conclusión, te presentamos algunas observaciones sobre el Reglamento europeo de protección de datos.

Las posibles consecuencias del Reglamento europeo de protección de datos han sido objeto de debate durante años y parece que algunas predicciones, tanto positivas como negativas, se están haciendo realidad desde su implantación. Estos han sido los cambios más relevantes relacionados con el RGPD, que afectan tanto a empresas como a consumidores.

En este sentido, muchos medios pusieron de manifiesto que un número bastante elevado de empresas no estaban preparadas para aplicar el Reglamento general de protección de datos. En concreto, las pymes siguen siendo más lentas a la hora de ponerse al día, lo que en teoría podría repercutir negativamente en los resultados económicos, aunque hasta la fecha no hay datos exactos al respecto. Por el contrario, las empresas digitales nativas, como Facebook, pudieron sobrevivir a los cambios gracias a un presupuesto millonario y a una experiencia profesional consolidada e incluso utilizaron el RGPD para sus propios fines publicitarios.

El RGPD no es solo fuente de confusión en nuestro territorio, sino también allende fronteras, por ejemplo, en los EE.UU., donde muchas empresas, en lugar de adaptar su normativa a la nueva orden europea, bloquean a usuarios con IP europea, reducen la oferta informativa o exigen un recargo a cambio de contenido. A esto se añaden las pequeñas páginas que por miedo a las sanciones han desaparecido de la red. Estos eventos se alinean en el escenario de la “fuga de datos” del que los sectores críticos del RGPD recelan.

Al mismo tiempo, la entrada en vigor del RGPD ha motivado un debate internacional alrededor de la protección de los datos personales que, según los expertos, hace tiempo que debía haberse abordado. Hoy, los grandes grupos, como Google o Facebook, se sitúan con mayor frecuencia en el foco de atención público y se observan desde un punto de vista más crítico.

La gran “oleada de sanciones” que muchos actores del mercado temieron durante un tiempo nunca llegó a producirse. Pese a todo, desde enero de 2019 se vienen avistando en muchas empresas, con creciente frecuencia, supuestas “multas” en la forma de correos electrónicos que suelen contener malware alojado en archivos adjuntos, por lo que deberían clasificarse de inmediato como correo basura y eliminarse.

La AEPD (Agencia Española de Protección de Datos) también alerta de las supuestas consultoras que ofrecen sus servicios de forma gratuita a las pymes. En este patrón de fraude, la consultora se pone en contacto con la empresa y, generando miedo a las sanciones, logra que la pyme acepte sus servicios gratuitos si solicitase créditos de formación financiados con fondos públicos (FUNDEA). La consultora ofrece estos cursos pagados por los contribuyentes y servicios gratuitos de consultoría de RGPD que son insuficientes y que podrían acarrear problemas serios para las empresas. Otras empresas fraudulentas ofrecen sus servicios a muy bajo coste o incluso fingen estar avaladas por la AEPD. En vista de la picaresca en torno al RGPD, la Asociación Profesional Española de Privacidad (APEP) ha publicado en su web un decálogo con el fin de apoyar a las empresas en su búsqueda de agencia.

Si bien la ola de pánico ante las sanciones se fue desinflando progresivamente cuando pasaron los primeros meses, la AEPD ya informó de un notable incremento en las denuncias por parte de los usuarios, lo cual se interpretó positivamente como una toma de conciencia por parte del consumidor sobre los derechos que le amparan. Las empresas españolas no han conseguido salvarse de las sanciones del RGPD, y ya existen casos en los que han tenido que hacer frente a multas por el incumplimiento de alguno de los puntos de la normativa: es el caso, por ejemplo, de Endesa Energía XXI, S.L.U., multada con el pago de 60 000 euros. Pero no es España el único país de la UE donde las sanciones del RGPD se han hecho efectivas. Ya en noviembre de 2018, por ejemplo,en Alemania, se multó a la red social Knuddels.de con 20 000 euros al haber almacenado contraseñas y direcciones de correo electrónico sin cifrar, lo que las convirtió en presa fácil de un ataque cibercriminal.

La entrada en vigor del RGPD trajo consigo muchas preguntas. De pronto, poner el nombre en los timbres –como se acostumbra a hacer en algunas ciudades– o publicar listas de nombres en las webs de asociaciones deportivas empezó a levantar dudas. En vista del Reglamento, colgar una lista de vecinos morosos o del gasto energético por familia en la portería puede estar infringiendo la ley.

En otras cuestiones, como en la del derecho al olvido, la jurisprudencia ha logrado una mayor claridad. En junio de 2018 el Tribunal Constitucional se pronunció por primera vez, desde la entrada en vigor del RGPD, en materia de protección de datos, a pesar de que los hechos tuvieron lugar cuando la antigua LOPD estaba vigente. La sentencia considera que se vulneraron los derechos a la intimidad, al honor y la protección de datos de dos personas cuyos nombres fueron publicados en relación con un delito de hace más de 30 años. La noticia podía encontrarse fácilmente en la hemeroteca y los nombres podían buscarse fácilmente en Internet. Pese a todo, aún no se han sucedido muchas sentencias, por lo que habrá que esperar a que la jurisprudencia vaya respondiendo a los nuevos retos que presenta la aplicación del Reglamento.

Por favor, ten en cuenta el aviso legal relativo a este artículo.