martes, 11 de diciembre de 2018

Entra en vigor la nueva Ley de Protección de Datos (LOPDGDD).



Entra en vigor la nueva Ley de Protección de Datos (LOPDGDD).


"RGPD-LOPD: SU CUMPLIMIENTO ES UNA OBLIGACIÓN, NO ES UNA OPCIÓN".
.
Estimado cliente:
.
Le remitimos este Boletín Informativo para informarle que el 7 de diciembre de 2018 entró en vigor la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LO 3/2018, de 5 de diciembre – BOE de 6 de diciembre) y es de total aplicación en nuestro Ordenamiento Jurídico. De esta manera, España se adapta a la normativa europea en lo que a la protección de datos se refiere, yendo incluso más allá, al declarar nuevos derechos como la “desconexión digital” fuera del lugar de trabajo o el “testamento digital” de los usuarios de internet.
.

El Senado aprobó el 22 de noviembre la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) que completa el Reglamento General de Protección de Datos (RGPD). El Reglamento contiene más de 50 remisiones a la ley nacional que exigían una acción del legislador ordenada a proporcionar seguridad jurídica para un ámbito de una enorme complejidad.

.

Con este nuevo articulado se hace más necesario, si cabela adaptación de todas las empresas que traten en su día a día con datos de personas físicas, dado que con la nueva Ley se aclaran situaciones que con el Reglamento no quedaban del todo claras, como la designación de la figura del Delegado de Protección de Datos para un amplio número de sectores (centros docentes de todos los niveles, colegios profesionales, federaciones deportivas, centros sanitarios, entre otros), la graduación de las sanciones o el consentimiento de los menores de edad.
.
De especial relevancia resulta el hecho de que la nueva LOPDGDD establece como atenuante en caso de que se vulnere la normativa el disponer de Delegado de Protección de Datos (DPD), aun cuando no sea obligatorio por el tipo de datos que se manejan. En este sentido, la AEPD también ha advertido que en caso de incumplimiento de la normativa se tendrá en cuenta de cara a posibles sanciones los medios dedicados por la organización de cara a evitar que tales incumplimientos pueda producirse.
.
En PRODASUR, como expertos en materia de protección de datos y haciendo un ejercicio de responsabilidad frente a nuestros clientes, actualizamos nuestros presupuestos y tarifas a partir del año 2019 para la realización de todas aquellas tareas relacionadas con la implantación de la Ley Orgánica de Protección de Datos, para que las empresas de cualquier ámbito se encuentren en perfectas condiciones de adaptación a la misma (se incrementa en más de un 50% el tiempo de consultoría dedicado a cada expediente para una correcta adaptación de las empresas obligadas, según la naturaleza de los datos tratados).
.
A su vez, ofrecemos dos servicios adicionales que pueden servir de apoyo para una excelente implantación: la posibilidad de asumir la función de Delegado de Protección de Datos (DPD externo)  o incluir un servicio opcional de mantenimiento y/o Consultoría DPD en el que nuestros expertos responderán todas las dudas que puedan surgir en el día a día de la empresa en relación a la figura del Delegado de Protección de Datos (DPD interno).
.
Si necesita cualquier aclaración puede contactar con nosotros en el teléfono habitual 95-2603770 o mediante correo electrónico: prodasur@prodasur.es
.
Novedades de la nueva LOPDGDD.
.
Como comentábamos en el anterior Boletín a la aprobación por el Senado del Proyecto de LOPD”, ésta trae consigo novedades entre las cuales se encuentran las siguientes:
- Se fija en 14 años la edad mínima a partir de la cual se puede prestar consentimiento.

- Poder retirar datos de menores durante la minoría de edad, facilitados a servicios de la sociedad de la información.
- Se modifica, entre otras, la Ley Orgánica 2/2006, de 3 de mayo, de Educación para incluir en el sistema educativo la asignatura de libre configuración sobre la materia de competencia digital. Esta adaptación por parte de las administraciones educativas será de un periodo de un año a contar desde la entrada en vigor de la Ley.
- Poder ejercitar el derecho de acceso, rectificación o supresión sobre datos de una persona fallecida por parte de las personas que tengan vinculación ésta.
- Modificación del Texto Refundido de la Ley del Estatuto de los Trabajadores, añadiendo un nuevo artículo 20 bis al Texto Refundido de la Ley del Estatuto de los Trabajadores, que recoge la desconexión laboral: Especificar los usos autorizados de los dispositivos digitales en el ámbito laboral, para preservar la intimidad de los trabajadores, estableciendo periodos en los que estos dispositivos puedan ser usados para fines probados.
- Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público. Se añade una nueva letra j bis) en el artículo 14 que recoge la intimidad en el uso de dispositivos digitales y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital.
- Cambio del periodo máximo para mantener en los sistemas de información crediticia los datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito, pasando de 6 años a 5.
Sobre este tema también se añade la necesidad de que la deuda publicada, no sea inferior a 50 euros.
- Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, añadiendo un nuevo artículo cincuenta y ocho bis, en el que se permite el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes, pudiendo obtener los datos personales en páginas web u otras fuentes a acceso público, para hacer actividades políticas durante el periodo electoral, sin tener la consideración de actividad comercial.
Este último punto, ha suscitado revuelo sobre todo en lo relacionado al uso de datos personales relativos a una opinión política que estará amparado por el interés público cuando se ofrezcan garantías adecuadas; y porque los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
Ante este revuelo, la AEPD intenta establecer Criterio sobre las cuestiones electorales en el proyecto de la nueva LOPD manifestando que el Texto del Proyecto la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales no permite la elaboración de perfiles basados en opiniones públicas, no permite el envío de información personalizada basada en perfiles ideológicos o políticos, y sí permite recopilar, no tratar, datos personales relativos a opiniones políticas, siempre cumpliendo con las garantías que establece el Reglamento General de Protección de datos (RGPD).
A pesar de ello, existe una inseguridad jurídica, ya que recordemos que el tratamiento de datos que revelen opiniones políticas supone un tratamiento de categoría especial de datos y ello conlleva la necesidad de unas garantías adecuadas.

Todo ello deja al descubierto otros temas, como por ejemplo, que el acceso a dichos datos puede conllevar consigo tener información sobre, no solo quien es simpatizante de un partido, si no sobre quien no lo es o cuánto tiempo deben conservar los datos.
Como medio de protección y en cumplimiento de las garantías introducidas por el RGPD, el ciudadano puede ejercitar el derecho de oposición que debe facilitarse en un modo sencillo y gratuito.

Estructura y contenido de la nueva Ley Orgánica de Protección de Datos Personales y garantía de los Derechos Digitales (LOPDGDD).
Con esta norma se adapta el ordenamiento jurídico español al  Reglamento general  de protección de datos (RGPD) y se completan sus disposiciones. Además, la Ley reconoce y garantiza un nuevo conjunto de derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
Esta norma entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
Con su publicación culmina un proceso iniciado el 24 de junio de 2017 cuando el Consejo de Ministros recibió del Ministerio de Justicia el Anteproyecto de Ley Orgánica de Protección de datos de Carácter Personal.
Tras ser objeto de diversos dictámenes, entre ellos los muy relevantes del Consejo de Estado y del Consejo General del Poder Judicial, a comienzos de noviembre de 2017 el mismo Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos, que fue remitido al Congreso el 14 de ese mes.
El proyecto fue objeto de sucesivas prórrogas para la presentación de enmiendas, que se prolongaron hasta comienzos de abril de 2018. El resultado fueron más de 360 propuestas de modificación que afectaban a la práctica totalidad de su articulado. La moción de censura que el 1 de junio de ese año derribó al Gobierno de Mariano Rajoy provocó un cambio importante en la tramitación del proyecto de Ley, pues el PP dejó, de hecho, la dirección de la misma al PSOE, el cual incorporó numerosas novedades al texto, en su mayoría pactadas con el PP y el resto de grupos políticos. Ello determinó el nada habitual resultado de que el texto final del Proyecto fuese aprobado por unanimidad de la Cámara el 26 de octubre.
Remitido al Senado, donde se presentaron 32 enmiendas que fueron rechazadas en la votación final,la Ley quedó fue finalmente aprobada el pasado 21 de noviembre, con solo el voto en contra del grupo parlamentario de Podemos.
Puede resultar interesante comparar el contenido del texto de los sucesivos estado de la norma:
Anteproyecto de LOPD
Proyecto de LOPD
LOPD y GDD
8 Títulos
9 Títulos
10 títulos
78 artículos
78 artículos
97 artículos
5 Disposiciones transitorias
6 Disposiciones transitorias
6 Disposiciones transitorias
13 Disposiciones adicionales
17 Disposiciones adicionales
22 Disposiciones adicionales
1 Disposición derogatoria
1 Disposición derogatoria
1 Disposición derogatoria
4 Disposiciones finales
5 Disposiciones finales.
16 Disposiciones finales

Estructura y contenido y de la LOPDGDD
La norma consta de 97 artículos, organizados en 10 títulos; 22 disposiciones adicionales; 6 transitorias; 1 derogatoria y 16 finales.
El Título I, artículos 1 a 3, relativo a las disposiciones generales, regula el objeto y el ámbito de aplicación de la ley y establece que el derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
Incluye la regulación de los datos de las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.
También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas.
El Título II (arts. 4 a 10) regula los principios de protección de datos: exactitud de los datos; deber de confidencialidad; el tratamiento basado en el consentimiento del afectado; el consentimiento de los menores de edad; el  tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos; las categorías especiales de datos y el tratamiento de datos de naturaleza penal.
Destacan  en particular las posibles habilitaciones legales para el tratamiento fundadas en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Este es el caso, por ejemplo, de las bases de datos reguladas por ley y gestionadas por autoridades públicas que responden a objetivos específicos de control de riesgos y solvencia, supervisión e inspección del tipo de la Central de Información de Riesgos del Banco de España regulada por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, o de los datos, documentos e informaciones de carácter reservado que obren en poder de la Dirección General de Seguros y Fondos de Pensiones de conformidad con lo previsto en Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
Se podrán igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras, cuando ello derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y sólo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el reglamento europeo, cuando derive de una competencia atribuida por la ley.
Se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información identificativa de determinadas categorías de datos especialmente protegidos, como la creación de «listas negras» de sindicalistas.
La Ley consagra el principio de reserva de ley para el tratamiento de categorías especiales de datos, pero dejando a salvo las distintas habilitaciones legales actualmente existentes, tal y como se indica específicamente, respecto de la legislación sanitaria y aseguradora, en la disposición adicional decimoséptima que, además, introduce una serie de previsiones encaminadas a garantizar el adecuado desarrollo de la investigación en materia de salud, y en particular la biomédica, ponderando los indudables beneficios que la misma aporta a la sociedad con las debidas garantías del derecho fundamental a la protección de datos.
El Título III, sobre los derechos de las personas, se organiza en dos capítulos, el primero, “Transparencia e información” (art. 11) recoge la denominada «información por capas» ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las «cookies»), facilitando al afectado la información básica, si bien, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. En el segundo Capítulo de este Título, “Ejercicio de los derechos” (arts. 12 a 18), se contienen las disposiciones generales sobre ejercicio de los derechos y se regula el ejercicio de los derechos de acceso; rectificación; supresión.; a la limitación del tratamiento; a la portabilidad y de oposición.
El Título IV (arts. 19 a 27), contiene las disposiciones aplicables a un relación de tratamientos concretos que, según la exposición de motivos, “en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos”. Dentro de ellos se incluye, en primer lugar, aquellos tratamientos respecto de los que el legislador establece una presunción iuris tantum de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, como el de los datos de contacto, de empresarios individuales y de profesionales liberales; de los sistemas de información crediticia y el de los tratamientos relacionados con la realización de determinadas operaciones mercantiles.
Junto a estos supuestos se recogen otros tratamientos, como los tratamientos con fines de videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas, en los que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1 e) del Reglamento (UE) 2016/679.
Finalmente, se hace referencia en este título a la licitud de otros tratamientos regulados en el Capítulo IX del Reglamento, como los relacionados con la función estadística o con fines de archivo de interés general, así como el tratamiento de datos relativos a infracciones y sanciones administrativas.
El Título V se ocupa del responsable y del encargado del tratamiento y se divide en cuatro capítulos. El primero (“Disposiciones generales. Medidas de responsabilidad activa”), arts. 28 a 32, regula las obligaciones generales del responsable y encargado del tratamiento; los supuestos de corresponsabilidad; el representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea; el registro de las actividades de tratamiento y el cuestionado bloqueo de los datos.
El Capítulo dos (“Encargado del tratamiento”), consta de un único artículo con el mismo título.
El Capítulo tres (“Delegado de protección de datos”, arts. 34 a 37), regula diversos aspectos de esta relevante figura, como su designación; su cualificación; su posición dentro de las organizaciones y su intervención en caso de reclamación ante las autoridades de protección de datos.
Finalmente, el Capítulo cuatro de este Título se ocupa de los “Códigos de conducta y certificación” (arts. 38 y 39).
En el Título VI (arts. 40 a 43) se contienen las normas aplicables a las transferencias internacionales de datos, adaptando lo previsto en el RGPD en cuanto a los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa
El Título VII (“Autoridades de protección de datos”) se estructura en dos capítulos. El primero dedicado a la Agencia Española de Protección de Datos, se divide en tres secciones. La primera, (“Disposiciones generales”, arts. 44 a 50), regula su régimen jurídico, presupuestario y de personal; sus funciones y potestades; la Presidencia de la Agencia, su Consejo Consultivo y la publicidad de sus actuaciones.
La Sección 2.ª (arts. 51 a 56), se refiere a las potestades de investigación de la AEPD y sus planes de auditoría preventiva, regulando su ámbito y personal; el deber de colaboración con ella; el alcance de su actividad de investigación; sus planes de auditoría.
Y la Sección 3.ª de este Capítulo (arts. 55 y 56), contempla las potestades de regulación y las Circulares de la AEPD, así como su acción exterior.
Dentro del mismo Título VII, su Capítulo II regula las Autoridades autonómicas de protección de datos, en dos secciones. La primera (arts. 57 a 59), se dedica a las disposiciones generales que las regulan, a la cooperación institucional y a los tratamientos contrarios al Reglamento (UE) 2016/679. La segunda (arts. 60 a 62), regula la coordinación de sus actividades en el marco de los procedimientos establecidos en el Reglamento, como sucede en los casos de emisión de dictamen o de resolución de conflictos por el Comité Europeo de Protección de Datos; así como en caso de tratamientos transfronterizos.
El Título VIII (arts. 63 a 69), se refiere los procedimientos sancionadores por vulneración de la  normativa de protección de datos: su régimen jurídico; la iniciación y duración del procedimiento; la admisión a trámite de las reclamaciones; el alcance territorial; las actuaciones previas de investigación y las medidas provisionales y de garantía de los derechos aplicables. Destaca la importancia de la determinación, con carácter previo a la tramitación de cualquier procedimiento, de si el tratamiento tiene o no carácter transfronterizo y, en caso afirmativo, la autoridad de protección de datos que ha de considerarse principal.
A continuación el Título IX regula el fundamental régimen sancionador. En los arts. 70 a 78 se regulan los sujetos responsables; se tipifican las infracciones y se identifican las muy graves, graves y leves, a los solos efectos, se destaca “de determinar los plazos de prescripción, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de  algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea”); la prescripción de las infracciones (“partiendo de la exigencia constitucional del conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, en función de si el procedimiento se tramita exclusivamente por la Agencia Española de Protección de Datos o si se acude al procedimiento coordinado del artículo 60 del Reglamento general de protección de datos”); las sanciones y medidas correctivas y la prescripción de las sanciones.
Finalmente, la Ley incorpora un Título X (arts. 79 a 97), denominado “Garantía de los derechos digitales”, a fin de “reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución”.
Según el preámbulo de la Ley este título obedece a la necesidad de “abordar el reconocimiento de un sistema de garantía de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato impuesto por el apartado cuarto del artículo 18 de la Constitución Española y que, en algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y europea”, todo ello en tanto “una deseable futura reforma de la Constitución” no incluya “la actualización de la Constitución a la era digital y, específicamente, [eleve] a rango constitucional una nueva generación de derechos digitales”.
Bajo estas premisas la nueva ley reconoce nuevos derechos como el de neutralidad de Internet; el de acceso universal a la Red; el derecho a la seguridad digital; el derecho a la educación digital y la protección de los menores en Internet; el derecho de rectificación en Internet y el de actualización de informaciones en medios de comunicación digitales; el derecho al olvido en búsquedas de Internet y en servicios de redes sociales y servicios equivalentes; el derecho de portabilidad en servicios de redes sociales y servicios equivalentes el también nuevo derecho al testamento digital.
Destacadamente, se añaden una serie de nuevos derechos en el ámbito laboral, como el derecho a la intimidad y al uso de dispositivos digitales; el derecho a la desconexión digital en el ámbito laboral; el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo; el derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral y los derechos digitales en la negociación colectiva.
En cuanto a las disposiciones adicionales, regulan cuestiones como las medidas de seguridad en el ámbito del sector público; el cómputo de plazos; la incorporación de deudas a sistemas de información crediticia; la identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos; la potestad de verificación de las Administraciones Públicas; el tratamiento de datos de salud y las prácticas agresivas en materia de protección de datos.
La disposición derogatoria única afecta expresamente a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal así como al Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos y, genéricamente, a “cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica”.
Las disposiciones transitorias están dedicadas, entre otras cuestiones, al estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680; los contratos de encargado del tratamiento y la reutilización con fines de investigación en materia de salud y biomédica de datos personales recogidos con anterioridad a la entrada en vigor de esta ley.
Por último, las disposiciones finales modifican:
  • la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (se modifica el art. 15 bis. Intervención en procesos de defensa de la competencia y de protección de datos)
  • la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (nuevo apartado 7 del art. 10; nuevo apartado 5 del art. 11; nuevo apartado 4 del art. 12 y nuevo art. 122 ter. Procedimiento de autorización judicial de conformidad de una decisión de la Comisión Europea en materia de transferencia internacional de datos)
  • la Ley Orgánica, 6/1985, de 1 de julio, del Poder Judicial (nuevo apartado 3 del art. 58;  nueva letra f) del art. 66; nueva letra k) al apartado 1 y nuevo apartado 7 del art. 74 y nuevo apartado 7 del art. 90)
  • la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (se añade un art. 6 bis. Registro de actividades de tratamiento y se modifica el apartado 1 del art. 15);
  • la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (art. 39.3 y nuevo art. 58 bis. (Utilización de medios tecnológicos y datos personales en las actividades electorales);
  • la Ley 14/1986, de 25 de abril, General de Sanidad (se introduce un nuevo Capítulo II –Tratamiento de datos de la investigación en salud, con un nuevo art. 105 bis, en su Título VI);
  • la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (se modifica el apartado 3 del art. 16);
  • la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (se modifican los apartados 2 y 3 del art. 28);
  • la Ley Orgánica 2/2006, de 3 de mayo, de Educación (nueva letra l) en el apartado 1 del art. 2);
  • la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades (nueva letra l) en el apartado 2 del art. 46);
  • el Texto Refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre (se añade un nuevo artículo 20 bis. Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión)
  • y el Texto Refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre (se añade un nueva letra j bis en el art. 14).

Desarrollo reglamentario:
La Disposición final 15.ª de la Ley habilita al Gobierno para desarrollar lo dispuesto en los artículos
  • Art. 3 (Datos de las personas fallecidas), en relación con los requisitos y condiciones para acreditar la validez y vigencia de los mandatos e instrucciones relativos a las personas fallecidas y, en su caso, el registro de los mismos.
  • Art. 38 (Códigos de conducta), en relación con el contenido del registro y las especialidades del procedimiento de aprobación de los códigos de conducta.
  • Art. 63 (Régimen jurídico), en relación con los procedimientos en caso de posible vulneración de la normativa de protección de datos que tramite la AEPD al amparo del Título VIII de la norma.
  • Art. 96 (Derecho al testamento digital), en relación con los requisitos y condiciones para acreditar la validez y vigencia de los mandatos e instrucciones relativos al testamento digital y, en su caso, el registro de los mismos.
  • Disposición final 6.ª (Incorporación de deudas a sistemas de información crediticia), en relación con la actualización de las cuantías de las deudas que se pueden incorporar a esos sistemas, a los que se refiere el art. 20.1 de la Ley.
Igualmente la Ley Orgánica menciona la posibilidad de la existencia de “normas de desarrollo” de sus contenidos en diferentes materias:
  • Art. 28.1. Obligaciones generales del responsable y encargado del tratamiento.
  • Art. 33.1. Encargado del tratamiento
  • Art. 37.2, 2.º párrafo, y 3. Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos.
  • Art. 40. Régimen de las transferencias internacionales de datos.
  • Art. 45.1. Régimen jurídico [de la AEPD]
  • Art. 47. Funciones y potestades de la Agencia Española de Protección de Datos.
  • Art. 63.2 Régimen jurídico [de los Procedimientos en caso de posible vulneración de la normativa de protección de datos] (y Disposición adicional cuarta. Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes)
Además, el Gobierno deberá aprobar por Real Decreto el Estatuto de la Agencia Española de Protección de Datos (art. 45. Régimen jurídico [de la AEPD]). Hasta ese momento, el Estatuto de la Agencia, aprobado por Real Decreto 428/1993, de 26 de marzo, continuará vigente en lo que no se oponga a lo establecido en el Título VIII de esta ley orgánica (Disp. Trans. Primera). 
Derogación normativa
Además de la habitual referencia genérica a que la Ley deroga “cuantas disposiciones de igual o inferior rango contradigan, se opongan o resulten incompatibles” con lo dispuesto en el RGPD y en la Ley, esta deroga expresamente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la UE sobre protección de datos.
No obstante, la disposición adicional 14.ª (Normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE) declara vigentes los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, “en tanto no sean expresamente modificadas, sustituidas o derogadas”.
Por su parte, la Disposición transitoria cuarta (Tratamientos sometidos a la Directiva (UE) 2016/680), establece que los tratamientos sometidos a la Directiva (UE) 2016/680, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular su artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva.
Una Ley no tan orgánica
Si bien disposición final 1.ª (Naturaleza de la presente ley), declara que la misma “tiene el carácter de ley orgánica”, a continuación exceptúa de tal condición, atribuyendo el “carácter de ley ordinaria” a buena parte de su contenido, en concreto:
  • el Título IV,
  • el Título VII, salvo los artículos 52 y 53 que tienen carácter orgánico,
  • el Título VIII,
  • el Título IX,
  • los artículos 79, 80, 81, 82, 88, 95, 96 y 97 del Título X,
  • las disposiciones adicionales, salvo la disposición adicional segunda y la disposición adicional decimoséptima, que tienen carácter orgánico,
  • las disposiciones transitorias,
  • y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera, cuarta, octava, décima y decimosexta, que tienen carácter orgánico

Igualmente, la disposición transitoria 4.ª (Tratamientos sometidos a la Directiva (UE) 2016/680) declara que los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, “continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva”.

Resumen y Claves de la nueva LOPDGDD:

1.- OBJETIVOS DE LA LEY Y ENFOQUE INTEGRADOR.
La norma trata de alinear el Ordenamiento con el RGPD abordando la materia con distintos   objetivos:
a)  Adaptar las previsiones generales del RGPD en el ámbito nacional con el límite del margen de apreciación
que se concede a los Estados.
b)  Regular sectores de actividad que requieren de un marco específico, ya sea por razón de la naturaleza    de la actividad del tratamiento, ya sea por razón de los riesgos eventualmente asociados al   tratamiento.
c)  Integrar en  nuestro  Ordenamiento  un  marco de tutela de los derechos digitales,  con  fundamento  en  el mandato de desarrollo legal de garantías respecto del uso de la informática del artículo 18.4 de la Constitución Española.
La LOPDGDD debe ser leída e interpretada siempre en el marco del RGPD. Ello exige a sus intérpretes, y en particular a los llamados delegados de protección de datos, aproximarse a esta materia con un enfoque global e integrador.

2.- REGULAR LOS DERECHOS DIGITALES.
(Título X)
Se regulan por primera vez los derechos digitales de los españoles. La LOPDGDD recoge novedades significati- vas en esta materia. El Título X posee un contenido complejo que aúna diversas estrategias. En primer lugar, se ordena una relectura de nuestro sistema de derechos fundamentales que deberá ser interpretado de modo funcional al mundo digital. Se apuesta por una internet segura e inclusiva, con garantía de acceso universal y se fomentan las políticas  públicas.
El legislador confiere particular importancia a los derechos de los menores y a su educación, a los derechos de los trabajadores, considerando el derecho a la desconexión de la vida laboral. Asimismo, aborda aspectos nucleares de la vida digital como el impacto de los medios de comunicación y los buscadores, modulando los derechos de rectificación, olvido y portabilidad, y ordena los efectos del fallecimiento en el mundo digital.

3.- PRINCIPIOS APLICABLES A LOS TRATAMIENTOS Y SUS BASES LEGITIMADORAS.
(Título I)
Se modula y acota el sentido de los principios aplicables a los tratamientos y de las bases que los legiti- man. Precisa el significado del principio de veracidad o exactitud y el deber de confidencialidad. Incorpora la granularidad en el consentimiento, precisa los conceptos de obligación legal y misión de interés público, flexibiliza el tratamiento de datos personales en el ámbito de la salud, y define las condiciones de tratamiento de los datos relativos a condenas penales.

4.- NOVEDADES PARA RESPONSABLES, ENCARGADOS DE TRATAMIENTOS Y DELEGADOS DE PROTECCIÓN DE DATOS (DPD).
(Título V,  Art. 76  y DT 5.ª)
El legislador en el Título V ha decidido reforzar el marco de obligaciones del responsable y del encargado del tratamiento.
En lo que se refiere al encargado la LOPDGDD recupera principios del Real Decreto 1720/2007 y los hibrida con el RGPD. Y, aunque se concede una generosa moratoria para la actualización de los contratos (25/05/2022) no debe olvidarse la importancia central que adquiere el papel de ciertos encargados en la notificación de violaciones de seguridad.
Una de las cuestiones a las que debe prestarse una atención significativa será sin duda a la extensión de los criterios que obligan a desarrollar una evaluación de impacto relativa a la protección de datos, en casos como tratamientos a gran escala, cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales, o en supuestos interpretables como el de los grupos de afectados en situación de especial vulnerabilidad.
Llama poderosamente la atención la atribución de una responsabilidad solidaria a los representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea.
Particularmente extensa resulta la referencia al delegado de protección de datos cuya figura se implanta en  un número significativo de sectores y cuya contratación puede modular las sanciones en el caso de que no   sea obligatorio. Resulta muy relevante el juego que puede dar esta figura en el periodo de tramitación previa de reclamaciones antes de que sean sometidas a la consideración de las autoridades de protección de datos.
Por otra parte, cabe subrayar la importancia que se concede a la autorregulación de las organizaciones me- diante certificaciones y códigos de conducta y que incorporan sistemas de   mediación.
Por último, debe destacarse la necesaria lectura integrada de RGPD y LOPDGDD en materia de transferencias internacionales de datos.

5.- TRIPLE ESCALA DE INFRACCIONES Y SANCIONES, SOLO A EFECTOS DE PRESCRIPCIÓN.
(Arts. 59 y ss., Título VIII, Título   IX)
La LOPDGDD describe un catálogo de conductas típicas con la triple diferenciación propia de las infracciones y sanciones administrativas en nuestro Ordenamiento jurídico, que las distingue entre muy graves, graves y leves, pero tomando en consideración la diferenciación que el RGPD establece al fijar la cuantía de las sanciones en su artículo 83 apartados 4, 5 y 6. La categorización de las infracciones y de las sanciones se in- troduce, por lo tanto, a los solos efectos de determinar los plazos de prescripción de unas y otras, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea.

6.- PROTECCIÓN DE LOS MENORES.
(Arts. 7, 28, 34, 76, 82, 83, 84, 97, DA 19.ª y DF   8.ª)
La  LOPDGDD  concede una importancia fundamental a la protección de los menores.  No  sólo  al  mantener   la edad y los requisitos básicos del antiguo Reglamento2, sino en la medida en la que en sede de derechos digitales se incorporan a nuestro derecho garantías adicionales. Asimismo, se sujeta el tratamiento de este  tipo de datos al desarrollo de una evaluación de impacto en la protección de datos y se requiere disponer      de un delegado de protección de datos a los centros docentes, y a las federaciones deportivas. Por último, la afectación a los derechos de los menores será un elemento a considerar en la determinación y graduación de las sanciones.
En sede de derechos digitales, amén de la seguridad digital, se recoge el derecho a la educación digital, que implicará una revolución en los planes de estudio y en la formación del profesorado, y se contempla por primera vez la responsabilidad de padres, madres y centros escolares por el tratamiento de información de menores en internet, estableciendo el deber de la Administración de diseñar políticas públicas de con- cienciación digital. Estas medidas se conciben como una aproximación provisional emplazando al Gobierno a impulsar en el plazo de un año desde la entrada en vigor de la ley orgánica, un proyecto de ley dirigido específicamente a garantizar los derechos de los menores ante el impacto de Internet.

7.- EMPRESAS: NUEVAS OBLIGACIONES DIGITALES.
(Título III, Arts. 32, 85, 86, 93 y 94)
En materia de derechos la LOPDGDD impactará de modo significativo en el mundo digital. De una parte, se consolida el deber de implementar estrategias de información o transparencia por capas garantizando un mínimo indispensable de información visible. Por otra parte, se modula el ejercicio de los derechos debiendo garantizar accesibilidad y gratuidad, fijando criterio para identificar el ejercicio abusivo, y favoreciendo el acceso digital a los datos mediante fórmulas de «acceso remoto, directo y seguro a los datos personales». Entre las sombras, de la regulación cabe citar el mantenimiento del deber de bloqueo que de algún modo se superpone al derecho a la limitación del tratamiento. Lo que obligará con toda probabilidad a programar marcados adicionales que permitan diferenciar en términos lógicos uno y otro.
Por otra parte, los operadores deberán discernir cuándo se ejercen derechos propiamente digitales como la rectificación en internet, la actualización de informaciones en medios de comunicación digitales o el derecho al olvido en búsquedas de Internet, incluidas redes sociales, y servicios equivalentes.

8.- ALTÍSIMO IMPACTO EN LAS RELACIONES LABORALES.
(Arts. 22, 88, 89, 90 y 91 y DF 13.ª y 14.ª)
El Título IV incorpora disposiciones que regulan tratamientos sectoriales. Particularmente destacable resulta  su alto impacto en las relaciones laborales. Aquí, además de la definitiva consolidación legislativa de la posición histórica de la Agencia Española de Protección de Datos (AEPD) sobre sistemas de denuncias internas, debe prestarse particular atención a los controles laborales.
Es necesario integrar los principios generales sobre protección de datos personales con los nuevos derechos digitales de los trabajadores en relación con la videovigilancia. Esta materia posee una especial complejidad y exige una interpretación abierta al conjunto del Ordenamiento que tenga en cuenta la jurisprudencia sectorial [SSTC 98/2000 (Caso La Toja), 39/2016 (Caso Bershka)], el Estatuto de los Trabajadores o la Legislación sobre prevención de riesgos laborales. Del mismo modo, la limitación de la geolocalización o el derecho a la desco- nexión digital en el ámbito laboral además de su propia significación material, modularán significativamente situaciones como el uso dual personal-profesional de distintos terminales. Además, la LOPDGDD ofrece un significativo margen a la negociación colectiva para el establecimiento de garantías adicionales.

9.- NOVEDADES COSUMIDORES: INFORMACIÓN CREDITICIA Y EXCLUSIÓN PUBLICITARIA.
(Arts. 20, 21, 23 y DA  6.ª)
Resulta significativo como la LOPDGDD plantea garantías adicionales al RGPD en la tutela de los derechos     del ciudadano-consumidor. En primer lugar, se consolida el marco heredado del Real Decreto 1720/2007 en materia de información crediticia y sistemas de exclusión publicitaria. Aunque la regulación no se encuentra exenta de dificultades, ya la anotación de una limitación del tratamiento será síntoma de la existencia de  algún problema de solvencia. No obstante, el sistema garantiza trazabilidad en el uso y acceso a los datos, se limita la confiabilidad de los sistemas de profiling que acudan a fuentes adicionales, y se eliminan del sistema las pequeñas deudas inferiores a 50 Euros.

10.- NOVEDADES SECTOR PÚBLICO.
(Arts. 24, 25, 26, 27, 28, 31, 77, DA 1.ª, 7.ª y 9.ª y DF  12.ª)
El sector público debe prestar una particular atención a la nueva LOPDGDD. El ámbito de materias que, bien habilitan para la acción pública legitimando un tratamiento, bien imponen deberes adicionales, es particu- larmente voluminoso.
Las administraciones podrán habilitar sistemas de información de denuncias internas, se modulan la función estadística pública y el uso archivístico de los datos y se mantiene y refuerza las condiciones de contratación de los encargados del tratamiento. Asimismo, se ofrece un régimen para el tratamiento de datos relativos a infracciones y sanciones administrativas que abandona el ámbito de las categorías especiales de datos, pero, manteniendo un régimen específico de protección equivalente y de creciente intensidad al requerirse bajo ciertas condiciones realizar una evaluación de impacto relativa a la protección de datos.
Tres medidas destacan por su significativo  impacto:
a)  Dotar de publicidad a un registro de actividades del   tratamiento.
b)  La controvertida ausencia de un régimen sancionador con multas que, sin embargo, es compensada por la casi obligación de abrir expedientes informativos ya que la AEPD «propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello», así como la publicación en boletines oficiales de una la amonestación con denominación del cargo responsable que incumpla la Ley desoyendo informes técnicos.
c)  Y la aplicación del Esquema Nacional de Seguridad como estándar obligatorio que planteará retos enor- mes. En cualquier caso, la nueva norma resuelve una de las grandes dudas asegurando la interoperabilidad.
Por último, debe destacarse la especial sensibilidad del legislador al fijar criterios de publicación de informa- ción que garanticen la protección de personas especialmente vulnerables, como las víctimas de violencia de género-, y aseguren un tratamiento equilibrado que, por ejemplo, deje de exponer al mundo el  NIF.

11.- NOVEDADES AEPD.
(Títulos VI, VII Y VIII)
La autoridad de protección de  datos  experimenta  un  cambio  radical.  Aunque  mantiene  un  cierto  grado de relación con el Ministerio de Justicia se acerca al modelo de comisionado parlamentario incorporando       en el camino una nueva denominación para su dirección, la Presidencia, y la figura de un Adjunto. Para el nombramiento de ambos, allí donde antes no hubo requisitos ahora se exigirá una reconocida competencia profesional, en particular en materia de protección de datos, que implicará una convocatoria pública y la previa evaluación del mérito, capacidad, competencia e idoneidad de los candidatos antes de ser propuestos  al Parlamento acompañada de un informe justificativo. Las candidaturas serán ratificadas en la Comisión        de Justicia en votación pública por mayoría de tres quintos de sus miembros en primera votación o, de no alcanzarse ésta, por mayoría absoluta en segunda votación, que se realizará inmediatamente después de la primera. En este último supuesto, los votos favorables deberán proceder de Diputados pertenecientes, al menos, a dos grupos parlamentarios diferentes. Por otra parte, se integran en el Consejo profesionales de la privacidad, la seguridad o la   transparencia.
Otro elemento destacable, resulta de la necesidad de abordar un modelo de relación con las autoridades de protección de datos autonómicas que asegure un cumplimiento normativo homogéneo, proporcione meca- nismo de cooperación, y garantice que la delimitación competencial y la exigencia de coherencia y cohesión   sé de también en el plano  nacional.
En materia sancionadora finalmente la LOPDGDD, refuerza el marco procedimental y aterriza en nuestro Derecho el régimen del RGPD confiriendo particular importancia a la intervención del delegado de protección de datos y de los sistemas de resolución extrajudicial de   conflictos.

12.- INVESTIGACIÓN BIOMÉDICA.
(DA 17.ª, DT 6.ª, DF 5.ª y 9.ª)
Debe ser destacado un último elemento sectorial. La LOPDGDD ha definido un marco esencial para la investi- gación biomédica con datos. La norma servirá sin duda de base para potenciar un ámbito de interés vital para la salud de los pacientes en los que la digitalización de nuestro sistema sanitario puede situar a España a la cabeza de la investigación en la Unión  Europea

Fuente: http://noticias.juridicas.com/ y Wolters Kluwer España