21/12/2018
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales entró en vigor el pasado 7 de diciembre. La nueva LOPD tiene como objetivo desarrollar determinadas materias del Reglamento General de Protección de Datos (RGPD), así como eliminar situaciones de inseguridad jurídica. De este modo, la nueva LOPD es una norma complementaria al Reglamento europeo que, como es sabido, es plenamente efectivo desde el pasado 25 de mayo de 2018.
A continuación resumimos las principales novedades contenidas en la nueva Ley Orgánica:
El primer aspecto a destacar de esta Ley Orgánica es la introducción de una novedosa regulación sobre los denominados “derechos digitales”. Estos derechos son distintos e independientes del derecho fundamental a la protección de datos personales y tampoco se encuentran recogidos en el RGPD, por lo que resulta sorprendente su inclusión en esta norma. Se reconocen, entre otros, el derecho a la educación digital, el derecho a la actualización de noticias en medios digitales, el derecho a la portabilidad en servicios de redes sociales, el derecho al testamento digital, etc. También se incluyen determinados derechos digitales en el ámbito laboral, tales como el derecho a la intimidad de los trabajadores en el uso de dispositivos digitales, el derecho a la desconexión digital fuera del tiempo de trabajo y el derecho a la intimidad de los empleados ante la utilización de dispositivos de geolocalización por los empresarios.
Si bien se encuentran excluidos del ámbito de aplicación de la LOPD, se permite que los herederos del fallecido u otras personas vinculadas por razones familiares o de hecho, puedan solicitar el acceso a sus datos personales y, en su caso, su rectificación o supresión, salvo que la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
La nueva LOPD establece que no será imputable al responsable del tratamiento la falta de exactitud de los datos personales, si los datos fueron facilitados directamente por el interesado, un mediador o intermediario regulado (p.ej. mediadores de seguros) o los datos hubieran sido obtenidos de un registro público.
Asimismo, la Ley Orgánica alude específicamente al consentimiento del interesado como habilitación legal para el tratamiento de los datos personales, insistiendo en que debe tratarse de una manifestación de voluntad libre, específica, informada e inequívoca. En este sentido, se prohíbe expresamente que pueda supeditarse la ejecución de un contrato a que el afectado preste su consentimiento a tratamientos con finalidades que no sean estrictamente necesarias para el desarrollo de la relación contractual.
Por otro lado, a pesar de que durante la tramitación de esta norma se planteó rebajar la edad, finalmente se han en catorce años la edad mínima para que los menores puedan prestar su consentimiento al tratamiento de sus datos personales.
En relación con el deber de información a los interesados, la nueva LOPD prevé la posibilidad de cumplir con este deber mediante sistemas de “información por capas”. Esta posibilidad ya se había recogido por la Agencia Española de Protección de Datos (AEPD) en sus guías y directrices para el cumplimiento del RGPD. El sistema de información por capas consiste en la posibilidad de suministrar una información básica sobre el tratamiento de los datos personales y ofrecer una dirección electrónica u otro medio que permita acceder de manera sencilla e inmediata a la restante información. Se trata de un sistema de información similar al que ya se viene utilizando habitualmente para recoger el consentimiento para la instalación de cookies en páginas web.
Asimismo se contemplan los derechos de los interesados (acceso, rectificación, supresión, limitación al tratamiento, portabilidad y oposición), sin que se incluyan novedades significativas en lo relativo a su ejercicio.
La nueva LOPD incluye disposiciones específicas para determinados tratamientos de datos personales. Aunque las citadas disposiciones contienen algunos aspectos novedosos, la mayoría de los tratamientos ya se encontraban regulados en la normativa anterior al RGPD o habían sido objeto de instrucciones o recomendaciones de la AEPD. Así, se regulan, entre otros, los sistemas de información crediticia (ficheros de morosos), los tratamientos con fines de videovigilancia, los tratamientos relacionados con la realización de operaciones mercantiles de reestructuración de societaria, los sistemas de exclusión publicitaria y los sistemas de información de denuncias internas (“whistleblowing”).
La Ley Orgánica contiene asimismo diversas disposiciones dirigidas a aclarar las novedades introducidas por el RGPD como consecuencia de la adopción del principio de responsabilidad. De este modo, se recogen las medidas generales de responsabilidad activa y se regula específicamente la obligación de bloqueo de datos. Esta obligación consiste en la necesidad de bloquear los datos personales cuando proceda su rectificación o supresión, para su puesta a disposición de jueces y tribunales, la AEPD u otros órganos competentes, durante los plazos de prescripción de las posibles responsabilidades nacidas del tratamiento.
Adicionalmente, se regula el régimen del encargado del tratamiento y los mecanismos de autorregulación y certificación. Por otra parte, se dota de especial relevancia a la figura del delegado de protección de datos estableciéndose, entre otras cuestiones, una relación de entidades que obligatoriamente deben designarlo (centros docentes, entidades aseguradoras, establecimientos financieros de crédito, etc.)
La nueva LOPD delimita el régimen jurídico y las formas de iniciación de los procedimientos derivados de las reclamaciones de los afectados por la falta de atención de las solicitudes de ejercicio de sus derechos (acceso, rectificación, portabilidad, etc.), así como en los que se investigue la existencia de una posible infracción de la normativa de protección de datos. En este sentido, se prevé la posibilidad de que la AEPD remita las reclamaciones a los órganos de resolución extrajudicial de conflictos conforme a los códigos de conducta. Asimismo, se establecen los plazos máximos de tramitación de los procedimientos (nueve meses), de admisión a trámite (tres meses) y de duración de las actuaciones previas de investigación (doce meses).
Por último, en relación con el régimen sancionador, se describen a título ejemplificativo diversas conductas sancionables comprendidas dentro de los tipos generales establecidos en el RGPD. Adicionalmente, se determinan los plazos de prescripción de las infracciones, distinguiendo entre infracciones leves (1 año), graves (dos años) y muy graves (tres años).
Aunque con cierto retraso, considerando que el RGPD está en vigor desde el pasado mes de mayo, con la nueva Ley Orgánica se completan los cambios normativos necesarios para la adaptación de nuestro ordenamiento jurídico al Reglamento General de Protección de Datos.
Autores:
Socio. Responsable del área de Derecho Digital y Propiedad Intelectual
España & Portugal
