InicioBase de conocimiento › RGPD vs AVG
RGPD

RGPD vs AVG: ¿es la misma ley? La diferencia explicada

RGPD vs AVG: la misma ley europea con dos nombres

El RGPD y el AVG son la misma ley. AVG es simplemente el nombre neerlandés del RGPD, el Reglamento europeo 2016/679. Lea RGPD, AVG o en inglés GDPR, se trata exactamente de las mismas reglas. Para la destrucción de datos personales eso significa una cosa: en toda la Unión Europea se aplican las mismas obligaciones de limitación de la conservación, destrucción demostrable y contrato de encargo de tratamiento.

Muchos empresarios creen que el RGPD y el AVG son dos normas distintas que deben cumplir por separado. Es un malentendido que cuesta tiempo y dinero. A continuación lee por qué existen dos nombres, dónde se sitúa el añadido neerlandés y qué exige la ley concretamente cuando hace destruir datos personales.

¿El AVG es lo mismo que el RGPD?

Sí, el AVG es lo mismo que el RGPD. No son dos leyes una al lado de la otra, sino una sola ley con dos nombres. RGPD significa Reglamento General de Protección de Datos, el nombre español. AVG significa Algemene Verordening Gegevensbescherming, la versión neerlandesa de ese mismo texto. La referencia jurídica es el Reglamento (UE) 2016/679. Quien cumple el AVG cumple automáticamente el RGPD, porque es literalmente el mismo documento con los mismos artículos y la misma numeración.

¿Por qué existen dos nombres?

La razón es sencilla. La Unión Europea publica su legislación en todas las lenguas oficiales. Cada versión lingüística tiene el mismo valor jurídico. La versión española se llama RGPD, la neerlandesa se llama AVG, la inglesa GDPR. Ninguna es un derivado ni un resumen de la otra, son equivalentes. Como gran parte de la literatura profesional y el software están en inglés, el término GDPR también circula en España. Mientras tanto, los Países Bajos usan en todas partes la palabra AVG. La gente emplea por tanto varios nombres para el mismo reglamento, lo que explica la confusión. No es una variante más estricta ni más blanda, son simplemente etiquetas distintas en exactamente la misma botella.

RGPD, AVG y GDPR en una tabla

La forma más fácil de recordarlo es un resumen de los nombres por lengua. Cada columna contiene la misma ley.

NombreLengua o regiónQué es
RGPDEspañol y francésReglamento General de Protección de Datos, el nombre español
AVGNeerlandésAlgemene Verordening Gegevensbescherming, la misma ley en los Países Bajos y Bélgica
GDPRInglés, a escala de la UEGeneral Data Protection Regulation, el nombre inglés
DSGVOAlemánDatenschutz-Grundverordnung, la misma ley
Reglamento 2016/679OficialLa referencia jurídica, idéntica en todas las lenguas
UAVGPaíses BajosLey de aplicación neerlandesa, desarrollo nacional de las disposiciones abiertas

Solo la última fila no es un sinónimo. La UAVG es una ley neerlandesa aparte que desarrolla el reglamento en algunos puntos. Más abajo lo verá.

Un reglamento, las mismas obligaciones

Como el RGPD y el AVG son el mismo texto, las obligaciones son en todas partes las mismas. El artículo 5 sobre la limitación de la conservación, el artículo 17 sobre el derecho de supresión, el artículo 28 sobre el contrato de encargo y el artículo 32 sobre las medidas adecuadas llevan los mismos números y el mismo contenido en toda la UE. Una empresa en Ámsterdam, un despacho en París y una consulta en Madrid trabajan por tanto con reglas idénticas. Esa fue precisamente la intención del legislador. Un mercado único merece un único conjunto de reglas de protección de datos. Para quien destruye datos personales eso es de agradecer, porque los requisitos no cambian al cruzar una frontera. Lee los mismos artículos, solo en otra lengua.

El pequeño añadido neerlandés: la UAVG

El reglamento deja a los Estados miembros margen en algunos elementos. Los Países Bajos llenaron ese margen con su ley de aplicación del RGPD, en neerlandés la UAVG. Cubre asuntos como el uso del número de servicio ciudadano, la edad de consentimiento de los menores y las funciones de la autoridad de protección de datos. La UAVG no modifica el RGPD en sí, solo regula los detalles nacionales que el reglamento deja abiertos. Para la destrucción de datos la UAVG cambia poco en la práctica, las reglas principales vienen directamente del reglamento.

Un reglamento, no una directiva

La palabra reglamento importa aquí. Un reglamento europeo se aplica directamente en cada Estado miembro, sin que un país tenga que transponer primero el texto a su propia legislación. Una directiva funciona de otra forma, cada país debe traducirla a leyes nacionales, lo que crea diferencias. El predecesor del RGPD era una directiva de 1995. Por eso justamente las reglas de protección de datos diferían antes según el país. El RGPD eligió deliberadamente la forma de un reglamento, para que las reglas sean en todas partes idénticas. Eso facilita el trabajo transfronterizo y explica por qué una traducción neerlandesa no podía convertirse en una ley propia y divergente. La traducción debía contener palabra por palabra las mismas obligaciones que el original inglés.

¿Qué significa esto para la destrucción de datos?

Para la destrucción de datos personales la conclusión es tranquilizadora. No tiene que cumplir dos sistemas, solo el RGPD, que es el AVG. Cualquiera que sea el nombre que use su cliente, proveedor o fabricante de software, los requisitos siguen siendo los mismos. No guarda los datos más tiempo del necesario, luego los destruye de forma segura y puede mostrar que ocurrió. Ese principio es independiente del nombre habitual en su sector. Un proveedor informático suele decir GDPR, un asesor dice RGPD, pero la lista de control que le presentan es la misma. Lo que esto significa en el día a día de las pymes está en la destrucción de documentos RGPD para pymes.

Limitación de la conservación: no guardar más de lo necesario

El núcleo para la destrucción está en el artículo 5, el principio de limitación de la conservación. Los datos personales no pueden guardarse más tiempo del necesario para la finalidad con la que se recogieron. En cuanto esa finalidad se alcanza y no queda ninguna obligación legal de conservación, los datos deben irse. Guardar por si acaso no es una razón válida. Este principio es idéntico tanto si lee un documento GDPR en inglés como el AVG en neerlandés. La consigna es en todas partes la misma: ordene a tiempo.

Primero el plazo de conservación, después la destrucción

La limitación de la conservación no significa tirarlo todo de golpe. Algunos documentos justamente debe conservarlos, como la documentación que se guarda siete años a efectos fiscales. Solo una vez pasado el plazo puede y debe destruir. El RGPD en sí no nombra plazos fijos, esos vienen de otras leyes por categoría de datos. Compruebe por tanto primero por tipo de expediente cuál es el plazo y luego planifique la destrucción. Un resumen práctico de los plazos habituales está en la guía rápida de plazos de conservación del RGPD.

La destrucción demostrable bajo el RGPD

El RGPD pide no solo destruir, sino poder mostrarlo. Eso deriva del principio de responsabilidad proactiva del artículo 5.2. Debe poder mostrar que cumple las normas, también que los datos antiguos se ordenaron limpiamente. La prueba suele ser un certificado de destrucción, complementado con una anotación en su registro de actividades de tratamiento. Cómo hacerlo concluyente está en la destrucción demostrable para el RGPD. Este requisito también es el mismo en toda la UE.

El contrato de encargo al externalizar

Si externaliza la destrucción, el artículo 28 exige un contrato de encargo de tratamiento. Hasta el momento del triturado los datos siguen siendo legibles, así que el destructor trata datos personales por cuenta suya. El contrato cubre, entre otras cosas, las medidas de seguridad, la confidencialidad y qué pasa con los datos después. Pida el contrato antes de que empiece el primer servicio, no después. Sin un documento firmado, usted mismo incumple. Un socio de destrucción que conoce la ley tiene un contrato tipo preparado.

Medidas adecuadas hasta la destrucción

El artículo 32 exige medidas técnicas y organizativas adecuadas para proteger los datos personales. Ese deber de cuidado no termina en la papelera, sino solo cuando el documento es físicamente ilegible. Una caja llena de expedientes que queda sin vigilancia días en el pasillo no lo cumple. Una recogida sellada y una cadena cerrada de la recogida a la destrucción sí. Así protege los datos hasta el último momento. La norma DIN 66399 fija la finura del triturado, con el P-5 para los números de identificación y los datos especiales.

El certificado como prueba en cualquier lengua de la UE

El certificado de destrucción es su prueba más importante, sea cual sea el nombre de la ley en su país. Indica la fecha, la cantidad y el nivel DIN aplicado. En los soportes de datos figuran también los números de serie. En una inspección o ante una pregunta de un cliente muestra de inmediato qué ocurrió. Como las reglas son idénticas a escala de la UE, ese certificado cuenta igual ante una autoridad neerlandesa que ante una extranjera. Lo que debe figurar exactamente en él está en el certificado de destrucción explicado.

Brecha de datos: las mismas 72 horas en toda Europa

El deber de notificación en una brecha de datos es en todas partes el mismo. Una brecha grave se comunica en 72 horas a la autoridad de control, en los Países Bajos la autoridad de protección de datos. Hable de una brecha GDPR o de una fuga AVG, es la misma obligación con el mismo plazo. Papel que acaba sin triturar en la calle es tanto una brecha de datos como una base pirateada. Si puede mostrar que los datos ya estaban destruidos, eso reduce el daño. El plan completo está en notificar una brecha de datos en 72 horas.

¿Vale esto también fuera de los Países Bajos?

Sí. Si trabaja con clientes o sedes en otros países de la UE, allí se aplican las mismas reglas bajo otro nombre. En España y Francia la ley se llama RGPD, en Alemania DSGVO, pero las obligaciones de conservación y destrucción son idénticas. Un certificado de destrucción válido en los Países Bajos cumple por tanto también los requisitos en otros lugares de la UE. Para una empresa que trabaja al otro lado de la frontera eso es una gran ventaja. No tiene que montar un procedimiento de destrucción por país, un solo método cubre toda la Unión. Un cliente extranjero que pide una prueba acepta el mismo certificado. La lengua del documento da igual, lo que cuenta es el contenido.

Ideas equivocadas frecuentes sobre el RGPD y el AVG

La confusión en torno a los dos nombres lleva con frecuencia a errores. Estos son los más comunes.

  • Dos leyes distintas. Algunas empresas creen que deben cumplir por separado el RGPD y el AVG. Es la misma ley, así que es un doble trabajo innecesario.
  • El GDPR es más estricto. Una idea persistente sostiene que el GDPR inglés pesa más que el RGPD o el AVG. El texto es idéntico, así que el rigor también.
  • El AVG solo vale en los Países Bajos. El AVG es la edición neerlandesa de un reglamento a escala de la UE. Fuera de los Países Bajos esa misma ley solo se llama de otra forma.
  • El RGPD fija un plazo de conservación. La ley no nombra ningún número de años, sino que exige la limitación de la conservación. Los plazos concretos vienen de otras leyes.

Quien distingue estos puntos evita que un proveedor o cliente le imponga exigencias injustificadas. Puede explicar con calma que RGPD y AVG significan lo mismo.

En resumen: qué le exige la ley

Hable de RGPD, AVG o GDPR, para el orden de los datos personales todo se reduce a cuatro pasos.

  1. Determine el plazo de conservación por categoría de datos y aténgase a él.
  2. Destruya tras el vencimiento al nivel DIN adecuado, el P-5 para números de identificación y datos especiales.
  3. Establezca un contrato de encargo si externaliza la destrucción.
  4. Conserve el certificado al menos 5 años como prueba en su expediente RGPD.

Estos cuatro pasos valen en toda la Unión Europea, sea cual sea el nombre de la ley en un país. Un solo método basta, por tanto, aunque trabaje al otro lado de la frontera.

¿Hacer destruir conforme al RGPD con certificado?

Indique lo que tiene y recibe un precio fijo por adelantado. Lo recogemos sellado en un radio de 20 km alrededor de Ámsterdam sin gastos de desplazamiento, lo destruimos al nivel DIN adecuado y recibe un certificado como prueba para su expediente RGPD. Posible en todo el país mediante rutas agrupadas.

Solicitar presupuesto

Preguntas frecuentes

¿El RGPD y el AVG son la misma ley?

Sí. AVG es simplemente el nombre neerlandés del RGPD, el Reglamento europeo 2016/679. Es una sola y misma ley, con los mismos artículos y las mismas obligaciones.

¿Cuál es la diferencia entre el RGPD y el AVG?

No hay ninguna diferencia de fondo. RGPD es el nombre español y francés, AVG el neerlandés, GDPR el inglés, DSGVO el alemán. El texto y las obligaciones son idénticos en toda la UE.

¿Qué es la UAVG?

La UAVG es la ley neerlandesa de aplicación del RGPD. No modifica el RGPD, sino que completa los detalles nacionales que el reglamento deja abiertos.

¿El RGPD fija un plazo de conservación para la destrucción?

El RGPD no nombra plazos fijos, sino que exige la limitación de la conservación. No guarda los datos más tiempo del necesario y luego los destruye de forma demostrable, igual en toda la UE.

¿Tengo que cumplir tanto el RGPD como el AVG?

No, es trabajo doble. Es la misma ley. Quien cumple el AVG cumple automáticamente el RGPD, porque es literalmente el mismo texto.

Conclusión

El RGPD y el AVG no son dos leyes sino una sola, con un nombre español y un nombre neerlandés para el mismo reglamento europeo. En inglés esa misma ley se llama GDPR, en alemán DSGVO. El único añadido realmente neerlandés es la UAVG, que solo completa los puntos abiertos. Para la destrucción de datos personales esto significa que puede centrarse en un único conjunto de reglas. No guarde más de lo necesario, destruya luego al nivel adecuado y conserve el certificado como prueba. Así cumple en toda la UE, bajo el nombre con que la ley se presente.

Lea también el pilar destruir documentos confidenciales y los artículos relacionados sobre triturado o incineración, prevenir el fraude de identidad y separar residuos de papel confidenciales.


¿Hacer destruir datos conforme al RGPD? Solicite un presupuesto en desnipperaar.nl. Recibe un precio fijo por adelantado y un certificado como prueba para su expediente RGPD.