Saltear al contenido principal

Nota Informativa: Nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

El pasado 6 de diciembre se publicó en el BOE la nueva Ley de Protección de Datos, cuya principal novedad, al margen de las introducidas por el Reglamento General de Protección de Datos (RGPD), es la inclusión de un decálogo de garantías de los derechos digitales.

Esta nueva Ley de Protección de Datos y Garantía de los derechos digitales (en adelante, LOPDGDD) deroga la anterior LOPD, así como su Reglamento de desarrollo y el Real Decreto-Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, que principalmente preveía un régimen sancionador en caso de incumplimiento del RGPD.

Si bien el RGPD es de obligado cumplimiento desde el pasado 25 de mayo de 2018, existía cierta incertidumbre sobre cuándo iba a ser aprobada la nueva ley orgánica y en qué medida iba a clarificar determinados aspectos del Reglamento que no quedaban del todo resueltos a la luz de nuestra anterior ley.

Lo que sí ha quedado patente con la LOPDGDD es la autonomía que otorga a los responsables y encargados del tratamiento de datos para cumplir con la normativa, toda vez que considera que su nivel de madurez y de conocimiento en materia de protección de datos es mayor. Por ello, el principal cambio introducido con el RGPD y la LOPDGDD consiste en el principio de responsabilidad proactiva, de modo que las medidas que se apliquen deben ser proactivas y no reactivas. Es decir, el responsable debe prever medidas que protejan los datos personales desde el diseño y por defecto, y no medidas paliativas ante cualquier daño sufrido. En otras palabras, pasamos de una concepción reactiva a una preventiva.

Y con el ánimo de exponer de forma clara las principales novedades introducidas por la LOPDGDD, debido a la avalancha de información que hay al respecto, vamos a diferenciar entre las que aplican a las empresas (del sector privado) y a los ciudadanos:

Sector privado

  • Al margen de la exigencia sobre que los datos deben ser exactos y actualizados, se añade que sólo deben recogerse los datos necesarios y por el tiempo estrictamente necesario. Asimismo, las cláusulas informativas farragosas que solían incluirse, han dejado paso a cláusulas con mayor claridad y con un lenguaje entendible para los interesados. De esta forma se facilita su lectura y comprensión sobre el uso que se está haciendo de los datos personales. Debido a que esto se contrapone a la exigencia de dar mayor información al usuario, nuestro legislador permite el sistema de doble capa, de modo que en una primera capa se facilite la información básica, remitiendo al usuario a una dirección de email o página web para obtener la información al completo, en caso de requerirlo.
  • La obligación de inscribir los ficheros en la Agencia Española de Protección de Datos ha desaparecido, si bien se exige que los responsables documenten los tratamientos que llevan a cabo, las medidas implementadas, los protocolos de actuación interna, de modo que se pueda acreditar precisamente esa actitud preventiva.
  • Designación de un Delegado de Protección de Datos, en los casos así previstos en el RGPD y que, por su parte, la LOPDGDD recoge una lista de las entidades que tienen obligación de ello (colegios profesionales, centros sanitarios, centros docentes, entre otros). Su designación debe ser comunicada a la AEPD (Agencia Española de Protección de Datos) para su inclusión en el Registro Público de Delegados de Protección de Datos. Tras la aprobación del RGPD, publicamos una nota específica sobre esta nueva figura (puedes leerla pinchando aquí), pero consideramos importante destacar el papel del DPO, por sus siglas en inglés, como intermediario en reclamaciones de la AGPD y de particulares, para supervisar el cumplimiento de la normativa, entre otros. Además, por la trascendencia de su posición en el nuevo marco normativo, se permite que sea designado como DPO una persona física o jurídica, con amplios conocimientos en la materia, motivo por el cual la mayoría de empresas optan por su externalización a despachos de abogados u otras entidades expertas en la materia. Para ampliar información, puede contactar con m.balduz@maabogados.com
  • El Delegado de Protección de Datos intervendrá en la resolución de reclamaciones, tanto las recibidas directamente de los interesados como de la AEPD.
  • El RGPD y LOPDGDD recogen varias bases que legitiman el tratamiento de datos personales por parte de entidades privadas, de forma que ya no es necesario que el usuario consienta el uso de sus datos, si ya existe otra base que legitime su tratamiento.
  • Datos de contacto profesionales. Quizás sea uno de los puntos que más discusión ha generado debido a que se permite utilizar datos personales de contacto de las personas que prestan servicios en una entidad, de los profesionales y de los empresarios individuales, siempre que tengan como fin mantener un contacto con la entidad para fines profesionales.
  • En cuanto a las operaciones mercantiles, se permite el tratamiento de datos que puedan derivarse en el desarrollo de dichas operaciones, siempre que su uso sea necesario para el buen fin de la operación.
  • Respecto a la videovigilancia, si bien se han introducido novedades, destacamos aquí la obligación de informar al usuario sobre la colocación de cámaras, la cual se cumple mediante un cartel informativo, visible, con los datos básicos del responsable.

Ciudadanos

  • Como bien indicábamos al principio, las entidades tienen que ampliar la información que facilitan a los interesados, así como a que la misma sea más clara y de fácil comprensión. De este modo, los ciudadanos podrán tener acceso a toda la información sobre el tratamiento que se hace de sus datos, a través de las páginas webs y/o cláusulas informativas, entre otros, y a poder ejercer sus derechos reconocidos, sin que puedan verse denegados. En cuanto al consentimiento, la gran novedad respecto a la ley anterior, es que ahora es imprescindible que éste sea otorgado de forma expresa, y se deberá otorgar para cada una de las finalidades para las cuales se vaya a destinar los datos.
  • En aras a facilitar los procedimientos ante organismos del sector público, éstos podrán verificar la exactitud de los datos personales sin necesidad de consentimiento del interesado. Asimismo, se reconoce el derecho de los ciudadanos a no aportar documentos a procedimientos administrativos que ya obren en poder de la Administración. Es cierto que esta “facilidad” estaba reconocida anteriormente, a través del consentimiento tácito, y es que la novedad deviene en que ahora no es necesario el consentimiento, en ninguno de los dos sentidos, por cuanto se entiende que obedece a un interés público (base legitimadora). Igualmente, para la identificación de los ciudadanos, queda prohibida que sea mediante el uso conjunto de nombre y apellidos y número de DNI completo; se puede hacer mediante el uso de un dato u otro, pero no de forma conjunta.
  • Personas fallecidas. Debido a la sensibilidad de estos datos y los problemas que generaba el poder acceder y suprimir los mismos, ya que quedaba a discreción de las entidades, ahora se reconoce este derecho a las personas vinculadas al fallecido, salvo que éste lo hubiera prohibido expresamente.
  • Menores de edad. No es novedad que la edad mínima sean los 14 años, sino la importancia de las nuevas tecnologías y redes sociales en edades tan tempranas. Por ello, se refuerzan las obligaciones del sistema educativo para asegurar la plena inserción de los alumnos en la sociedad digital, y que aprendan a hacerlo de forma segura, así como las medidas para que los menores hagan un uso adecuado de las redes sociales.
  • La inclusión en los “ficheros de morosos” o de solvencia crediticia, se podrá hacer cuando el ciudadano tenga una deuda de más de 50 euros (aquí la novedad) con un prestador de servicios, y dicho registro se deberá mantener por un periodo de 5 años (antes eran 6).

Sin perjuicio de las novedades ya destacadas, hay algunas que afectan, en un sentido u otro, tanto a las entidades privadas, profesionales, etc. como a ciudadanos, por lo que resulta más interesante destacarlo de manera conjunta:

– Derechos de los empleados. Se reconoce el derecho a la intimidad de los empleados en el lugar de trabajo frente al uso de videovigilancia y de grabación de sonidos, así como el derecho a la desconexión laboral durante su periodo de descanso.

– Listas Robinson. Estas listas, hasta ahora prácticamente desconocidas para los ciudadanos, son unos ficheros de exclusión publicitaria, de modo que el interesado que se registre en una de esas listas, podrá evitar que le envíen publicidad, salvo que lo haya autorizado expresamente. Respecto a las personas jurídicas/empresarios, se deberá asegurar, antes de cualquier envío publicitario, que el destinatario no está incluido en ninguna de esas listas.

A modo de resumen, podemos ver cómo se intensifican tanto las obligaciones para las entidades, si bien con flexibilidad de decisión en cuanto al tipo de medidas a acometer, siempre y cuando se acredite el cumplimiento de la ley, pero también los derechos que se reconocen a los ciudadanos. De esta forma, la ley se adapta a una realidad prácticamente digitalizada y en la cual los datos circulan sin cesar, pero ahora con un mayor control por parte de todos los implicados.

 

Marina Balduz Bernal

Abogada

VER PDF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Volver arriba