Nada más comenzamos la lectura del RGDP nos encontramos con el considerando 8, en el que se dice que “En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento”.
Es decir, que a pesar de estar ante una norma de directa aplicación para todos los Estados miembros, el Reglamento nos habilita la facultad para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas que el mismo recoge.
Además, el RGPD reconoce un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales, es decir, datos sensibles. Por lo tanto la aplicación del RGPD no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones para que el tratamiento de datos personales se considere lícito (lo veremos cuando hablemos de los principios recogidos en el RGPD).
Por otro lado el RGPD tiene en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas de cada Estado miembro, estableciendo por un lado excepciones en materia de llevanza de registros para organizaciones con menos de 250 empleados. Y por otro, alentando a las instituciones y órganos de la Unión y a los Estados miembros y a sus autoridades de control a tener en cuenta las necesidades específicas de estas empresas en la aplicación del presente Reglamento.
Asimismo, y en relación con los tratamientos de datos por parte de las autoridades públicas de los Estados miembros, cuando los mismos no se lleven a cabo con fines de prevención, enjuiciamiento, ejecución de sanciones penales o protección frente amenazas contra la seguridad pública, el RGPD establece que los Estados miembros deben tener la posibilidad de mantener o introducir disposiciones específicas que establezcan los requisitos concretos para el tratamiento de los datos de carácter personal.
Por último, y respecto del tratamiento llevado a cabo por organismos privados, el RGPD indica que los Estados miembros estén facultados para limitar conforme a Derecho, determinadas obligaciones y derechos siempre que dicha limitación sea una medida necesaria y proporcionada en una sociedad democrática para proteger intereses importantes, entre ellos la seguridad pública y la prevención. Y pone como ejemplo la lucha contra el blanqueo de capitales.
A la vista está que hay mucho trabajo por hacer.