Entra en vigor la nueva Ley de Protección de Datos (LOPDGDD).
|
"RGPD-LOPD:
SU CUMPLIMIENTO ES UNA OBLIGACIÓN, NO ES UNA OPCIÓN".
.
Estimado cliente:
.
Le remitimos este Boletín Informativo
para informarle que el 7 de diciembre de 2018 entró en vigor
la nueva Ley Orgánica de
Protección de Datos Personales y Garantía de los Derechos Digitales (LO
3/2018, de 5 de diciembre – BOE de 6 de diciembre) y es de total aplicación en nuestro
Ordenamiento Jurídico. De esta manera, España se adapta a la normativa
europea en lo que a la protección de datos se refiere, yendo incluso más
allá, al declarar nuevos derechos como la “desconexión digital” fuera del
lugar de trabajo o el “testamento digital” de los usuarios de internet.
. El Senado aprobó el 22 de noviembre la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) que completa el Reglamento General de Protección de Datos (RGPD). El Reglamento contiene más de 50 remisiones a la ley nacional que exigían una acción del legislador ordenada a proporcionar seguridad jurídica para un ámbito de una enorme complejidad..
Con este nuevo articulado se hace más
necesario, si cabe, la adaptación de todas las
empresas que traten en su día a día con datos de personas físicas, dado que con la
nueva Ley se aclaran situaciones que con el Reglamento no quedaban del todo
claras, como la designación de la figura del Delegado de Protección de Datos
para un amplio número de sectores (centros docentes de todos los niveles,
colegios profesionales, federaciones deportivas, centros sanitarios, entre
otros), la graduación de las sanciones o el consentimiento de los menores de
edad.
.
De especial relevancia resulta el
hecho de que la nueva LOPDGDD establece como atenuante en caso de que se
vulnere la normativa el disponer de Delegado de Protección de Datos (DPD), aun cuando no
sea obligatorio por el tipo de datos que se manejan. En este sentido, la AEPD
también ha advertido que en caso de incumplimiento de la normativa se tendrá
en cuenta de cara a posibles sanciones los medios dedicados por la organización de cara a evitar
que tales incumplimientos pueda producirse.
.
En PRODASUR, como expertos en materia de protección de datos y haciendo un
ejercicio de responsabilidad frente a nuestros clientes, actualizamos nuestros presupuestos y
tarifas a partir del año 2019 para la realización de todas
aquellas tareas relacionadas con la implantación de la Ley Orgánica de
Protección de Datos, para que las empresas de cualquier ámbito se encuentren
en perfectas condiciones de adaptación a la misma (se incrementa en más de un 50% el tiempo de consultoría dedicado a
cada expediente para una correcta adaptación de las empresas obligadas, según
la naturaleza de los datos tratados).
.
A su vez, ofrecemos dos servicios
adicionales que pueden servir de apoyo para una excelente implantación: la
posibilidad de asumir la función de Delegado de
Protección de Datos (DPD externo) o incluir un servicio opcional
de mantenimiento y/o Consultoría DPD en el que nuestros expertos
responderán todas las dudas que puedan surgir en el día a día de la empresa
en relación a la figura del Delegado de Protección de Datos (DPD interno).
.
Si necesita cualquier aclaración puede
contactar con nosotros en el teléfono habitual 95-2603770 o mediante
correo electrónico: prodasur@prodasur.es
.
Novedades de la nueva LOPDGDD.
.
Como
comentábamos en el anterior Boletín a la aprobación por el Senado del
Proyecto de LOPD”, ésta trae consigo novedades entre las cuales se encuentran
las siguientes:
-
Se fija en 14
años la edad mínima a partir de la
cual se puede prestar consentimiento.
- Poder retirar datos de menores durante la minoría de edad, facilitados a servicios de la sociedad de la información.
-
Se modifica, entre otras, la Ley Orgánica 2/2006, de 3 de mayo, de Educación
para incluir en el sistema educativo la asignatura de libre configuración
sobre la materia de competencia digital. Esta adaptación por parte de las administraciones
educativas será de un periodo de un año a contar desde la entrada en vigor de
la Ley.
-
Poder ejercitar el derecho de acceso, rectificación o supresión sobre datos
de una persona fallecida
por parte de las personas que tengan vinculación ésta.
-
Modificación del Texto Refundido de la Ley del Estatuto de los Trabajadores,
añadiendo un nuevo artículo 20 bis al Texto Refundido de la Ley del Estatuto
de los Trabajadores, que recoge la desconexión laboral: Especificar los usos autorizados de los dispositivos
digitales en el ámbito laboral, para preservar la intimidad de los
trabajadores, estableciendo periodos en los que estos dispositivos puedan ser
usados para fines probados.
-
Modificación del texto refundido de la Ley del Estatuto Básico del Empleado
Público. Se añade una nueva letra j bis) en el artículo 14 que recoge la
intimidad en el uso de dispositivos digitales y frente al uso de dispositivos
de videovigilancia y geolocalización, así como a la desconexión digital.
-
Cambio del periodo máximo para mantener en los sistemas de información
crediticia los datos personales relativos al
incumplimiento de obligaciones dinerarias, financieras o de crédito, pasando
de 6 años a 5.
Sobre este tema también se añade la necesidad de que la deuda publicada, no sea inferior a 50 euros.
-
Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral
General, añadiendo un nuevo artículo
cincuenta y ocho bis, en el que se permite el envío de propaganda electoral
por medios electrónicos o sistemas de mensajería y la contratación de
propaganda electoral en redes sociales o medios equivalentes, pudiendo
obtener los datos personales en páginas web u otras fuentes a acceso público,
para hacer actividades políticas durante el periodo electoral, sin tener la
consideración de actividad comercial.
Este
último punto, ha suscitado revuelo sobre todo en lo relacionado al uso de
datos personales relativos a una opinión política que estará amparado por el
interés público cuando se ofrezcan garantías adecuadas; y porque los partidos
políticos, coaliciones y agrupaciones electorales podrán utilizar datos
personales obtenidos en páginas web y otras fuentes de acceso público para la
realización de actividades políticas durante el periodo electoral.
Ante
este revuelo, la AEPD intenta establecer Criterio sobre las cuestiones
electorales en el proyecto de la nueva LOPD manifestando que el Texto del
Proyecto la Ley Orgánica de Protección de Datos y Garantía de los Derechos
Digitales no permite la elaboración de perfiles basados en opiniones
públicas, no permite el envío de información personalizada basada en perfiles
ideológicos o políticos, y sí permite recopilar, no tratar, datos personales
relativos a opiniones políticas, siempre cumpliendo con las garantías que
establece el Reglamento General de Protección de datos (RGPD).
A
pesar de ello, existe una inseguridad jurídica, ya que recordemos que el
tratamiento de datos que revelen opiniones políticas supone un tratamiento de
categoría especial de datos y ello conlleva la necesidad de unas garantías
adecuadas.
Todo ello deja al descubierto otros temas, como por ejemplo, que el acceso a dichos datos puede conllevar consigo tener información sobre, no solo quien es simpatizante de un partido, si no sobre quien no lo es o cuánto tiempo deben conservar los datos.
Como
medio de protección y en cumplimiento de las garantías introducidas por el
RGPD, el ciudadano puede ejercitar el derecho de oposición que debe
facilitarse en un modo sencillo y gratuito.
|
Estructura y contenido de la nueva Ley Orgánica de Protección de Datos
Personales y garantía de los Derechos Digitales (LOPDGDD).
Con esta norma se adapta el
ordenamiento jurídico español al Reglamento general de protección
de datos (RGPD) y se completan sus disposiciones. Además, la Ley reconoce y
garantiza un nuevo conjunto de derechos digitales de la ciudadanía conforme al
mandato establecido en el artículo 18.4 de la Constitución.
Esta norma entrará en vigor el día
siguiente al de su publicación en el «Boletín Oficial del Estado».
Con su publicación culmina un
proceso iniciado el 24 de junio de 2017 cuando el Consejo de Ministros recibió
del Ministerio de Justicia el Anteproyecto de Ley Orgánica de Protección
de datos de Carácter Personal.
Tras ser objeto de diversos
dictámenes, entre ellos los muy relevantes del Consejo de Estado y del
Consejo General del Poder Judicial, a comienzos de noviembre de 2017 el
mismo Consejo de Ministros aprobó el Proyecto de Ley Orgánica de
Protección de Datos, que fue remitido al Congreso el 14 de ese mes.
El proyecto fue objeto de sucesivas
prórrogas para la presentación de enmiendas, que se prolongaron hasta comienzos
de abril de 2018. El resultado fueron más de 360 propuestas de modificación que
afectaban a la práctica totalidad de su articulado. La moción de censura que el
1 de junio de ese año derribó al Gobierno de Mariano Rajoy provocó un cambio
importante en la tramitación del proyecto de Ley, pues el PP dejó, de hecho, la
dirección de la misma al PSOE, el cual incorporó numerosas novedades al texto,
en su mayoría pactadas con el PP y el resto de grupos políticos. Ello determinó
el nada habitual resultado de que el texto final del Proyecto fuese aprobado
por unanimidad de la Cámara el 26 de octubre.
Remitido al Senado, donde se
presentaron 32 enmiendas que fueron rechazadas en la votación final,la Ley
quedó fue finalmente aprobada el pasado 21 de noviembre, con solo el voto
en contra del grupo parlamentario de Podemos.
Puede resultar interesante comparar
el contenido del texto de los sucesivos estado de la norma:
Anteproyecto de LOPD
|
Proyecto de LOPD
|
LOPD y GDD
|
8 Títulos
|
9 Títulos
|
10 títulos
|
78 artículos
|
78 artículos
|
97 artículos
|
5 Disposiciones transitorias
|
6 Disposiciones transitorias
|
6 Disposiciones transitorias
|
13 Disposiciones adicionales
|
17 Disposiciones adicionales
|
22 Disposiciones adicionales
|
1 Disposición derogatoria
|
1 Disposición derogatoria
|
1 Disposición derogatoria
|
4 Disposiciones finales
|
5 Disposiciones finales.
|
16 Disposiciones finales
|
Estructura y contenido y de la LOPDGDD
La norma consta de 97 artículos,
organizados en 10 títulos; 22 disposiciones adicionales; 6 transitorias; 1
derogatoria y 16 finales.
El Título I, artículos 1
a 3, relativo a las disposiciones generales, regula el objeto y el
ámbito de aplicación de la ley y establece que el derecho fundamental de las
personas físicas a la protección de datos personales, amparado por el artículo
18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el
Reglamento (UE) 2016/679 y en esta ley orgánica.
Incluye la regulación de los datos
de las personas fallecidas, pues, tras excluir del ámbito de aplicación de la
ley su tratamiento, se permite que las personas vinculadas al fallecido por
razones familiares o de hecho o sus herederos puedan solicitar el acceso a los
mismos, así como su rectificación o supresión, en su caso con sujeción a las
instrucciones del fallecido.
También excluye del ámbito de
aplicación los tratamientos que se rijan por disposiciones específicas.
El Título II (arts.
4 a 10) regula los principios de protección de datos: exactitud de
los datos; deber de confidencialidad; el tratamiento basado en el
consentimiento del afectado; el consentimiento de los menores de edad; el
tratamiento de datos por obligación legal, interés público o ejercicio de
poderes públicos; las categorías especiales de datos y el tratamiento de datos
de naturaleza penal.
Destacan en particular las
posibles habilitaciones legales para el tratamiento fundadas en el cumplimiento
de una obligación legal exigible al responsable, en los términos previstos en
el Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la
Unión Europea o una ley, que podrá determinar las condiciones generales del
tratamiento y los tipos de datos objeto del mismo así como las cesiones que
procedan como consecuencia del cumplimiento de la obligación legal. Este es el
caso, por ejemplo, de las bases de datos reguladas por ley y gestionadas por
autoridades públicas que responden a objetivos específicos de control de
riesgos y solvencia, supervisión e inspección del tipo de la Central de
Información de Riesgos del Banco de España regulada por la Ley 44/2002, de 22
de noviembre, de Medidas de Reforma del Sistema Financiero, o de los datos,
documentos e informaciones de carácter reservado que obren en poder de la Dirección
General de Seguros y Fondos de Pensiones de conformidad con lo previsto en Ley
20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las
entidades aseguradoras y reaseguradoras.
Se podrán igualmente imponer
condiciones especiales al tratamiento, tales como la adopción de medidas
adicionales de seguridad u otras, cuando ello derive del ejercicio de
potestades públicas o del cumplimiento de una obligación legal y sólo podrá
considerarse fundado en el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable, en los
términos previstos en el reglamento europeo, cuando derive de una competencia
atribuida por la ley.
Se mantiene la prohibición de
consentir tratamientos con la finalidad principal de almacenar información
identificativa de determinadas categorías de datos especialmente protegidos,
como la creación de «listas negras» de sindicalistas.
La Ley consagra el principio de
reserva de ley para el tratamiento de categorías especiales de datos, pero
dejando a salvo las distintas habilitaciones legales actualmente existentes,
tal y como se indica específicamente, respecto de la legislación sanitaria y
aseguradora, en la disposición adicional decimoséptima que, además, introduce
una serie de previsiones encaminadas a garantizar el adecuado desarrollo de la
investigación en materia de salud, y en particular la biomédica, ponderando los
indudables beneficios que la misma aporta a la sociedad con las debidas
garantías del derecho fundamental a la protección de datos.
El Título III, sobre
los derechos de las personas, se organiza en dos capítulos,
el primero, “Transparencia e información” (art. 11) recoge la denominada
«información por capas» ya generalmente aceptada en ámbitos como el de la videovigilancia
o la instalación de dispositivos de almacenamiento masivo de datos (tales como
las «cookies»), facilitando al afectado la información básica, si bien,
indicándole una dirección electrónica u otro medio que permita acceder de forma
sencilla e inmediata a la restante información. En el segundo Capítulo de este
Título, “Ejercicio de los derechos” (arts. 12 a 18), se contienen las
disposiciones generales sobre ejercicio de los derechos y se regula el
ejercicio de los derechos de acceso; rectificación; supresión.; a la limitación
del tratamiento; a la portabilidad y de oposición.
El Título IV (arts.
19 a 27), contiene las disposiciones aplicables a un relación de
tratamientos concretos que, según la exposición de motivos, “en ningún
caso debe considerarse exhaustiva de todos los tratamientos lícitos”. Dentro de
ellos se incluye, en primer lugar, aquellos tratamientos respecto de los que el
legislador establece una presunción iuris tantum de prevalencia del interés
legítimo del responsable cuando se lleven a cabo con una serie de requisitos,
como el de los datos de contacto, de empresarios individuales y de
profesionales liberales; de los sistemas de información crediticia y el de los
tratamientos relacionados con la realización de determinadas operaciones
mercantiles.
Junto a estos supuestos se recogen
otros tratamientos, como los tratamientos con fines de videovigilancia, los
ficheros de exclusión publicitaria o los sistemas de denuncias internas, en los
que la licitud del tratamiento proviene de la existencia de un interés público,
en los términos establecidos en el artículo 6.1 e) del Reglamento (UE)
2016/679.
Finalmente, se hace referencia en
este título a la licitud de otros tratamientos regulados en el Capítulo IX del
Reglamento, como los relacionados con la función estadística o con fines de
archivo de interés general, así como el tratamiento de datos relativos a
infracciones y sanciones administrativas.
El Título V se
ocupa del responsable y del encargado del tratamiento y se
divide en cuatro capítulos. El primero (“Disposiciones
generales. Medidas de responsabilidad activa”), arts. 28 a 32, regula las
obligaciones generales del responsable y encargado del tratamiento; los
supuestos de corresponsabilidad; el representantes de los responsables o
encargados del tratamiento no establecidos en la Unión Europea; el registro de
las actividades de tratamiento y el cuestionado bloqueo de los datos.
El Capítulo dos (“Encargado
del tratamiento”), consta de un único artículo con el mismo título.
El Capítulo tres (“Delegado
de protección de datos”, arts. 34 a 37), regula diversos aspectos de esta
relevante figura, como su designación; su cualificación; su posición dentro de
las organizaciones y su intervención en caso de reclamación ante las
autoridades de protección de datos.
Finalmente, el Capítulo cuatro de
este Título se ocupa de los “Códigos de conducta y certificación” (arts.
38 y 39).
En el Título VI (arts.
40 a 43) se contienen las normas aplicables a las transferencias
internacionales de datos, adaptando lo previsto en el RGPD en cuanto a los
procedimientos a través de los cuales las autoridades de protección de datos
pueden aprobar modelos contractuales o normas corporativas vinculantes,
supuestos de autorización de una determinada transferencia, o información
previa
El Título VII (“Autoridades
de protección de datos”) se estructura en dos capítulos.
El primero dedicado a la Agencia Española de Protección de Datos,
se divide en tres secciones. La primera, (“Disposiciones
generales”, arts. 44 a 50), regula su régimen jurídico, presupuestario y de
personal; sus funciones y potestades; la Presidencia de la Agencia, su Consejo
Consultivo y la publicidad de sus actuaciones.
La Sección 2.ª (arts. 51 a 56), se
refiere a las potestades de investigación de la AEPD y sus planes de auditoría
preventiva, regulando su ámbito y personal; el deber de colaboración con ella;
el alcance de su actividad de investigación; sus planes de auditoría.
Y la Sección 3.ª de este Capítulo
(arts. 55 y 56), contempla las potestades de regulación y las Circulares de la
AEPD, así como su acción exterior.
Dentro del mismo Título VII, su
Capítulo II regula las Autoridades autonómicas de protección de datos,
en dos secciones. La primera (arts. 57 a 59), se dedica a las
disposiciones generales que las regulan, a la cooperación institucional y a los
tratamientos contrarios al Reglamento (UE) 2016/679. La segunda (arts. 60 a
62), regula la coordinación de sus actividades en el marco de los
procedimientos establecidos en el Reglamento, como sucede en los casos de
emisión de dictamen o de resolución de conflictos por el Comité Europeo de
Protección de Datos; así como en caso de tratamientos transfronterizos.
El Título VIII (arts.
63 a 69), se refiere los procedimientos sancionadores por vulneración
de la normativa de protección de datos: su régimen jurídico; la
iniciación y duración del procedimiento; la admisión a trámite de las
reclamaciones; el alcance territorial; las actuaciones previas de investigación
y las medidas provisionales y de garantía de los derechos aplicables. Destaca
la importancia de la determinación, con carácter previo a la tramitación de
cualquier procedimiento, de si el tratamiento tiene o no carácter
transfronterizo y, en caso afirmativo, la autoridad de protección de datos que
ha de considerarse principal.
A continuación el Título IX regula
el fundamental régimen sancionador. En los arts. 70 a 78 se regulan
los sujetos responsables; se tipifican las infracciones y se identifican las
muy graves, graves y leves, a los solos efectos, se destaca “de determinar los
plazos de prescripción, teniendo la descripción de las conductas típicas como
único objeto la enumeración de manera ejemplificativa de algunos de los
actos sancionables que deben entenderse incluidos dentro de los tipos generales
establecidos en la norma europea”); la prescripción de las infracciones
(“partiendo de la exigencia constitucional del conocimiento de los hechos que
se imputan a la persona, pero teniendo en cuenta la problemática derivada de
los procedimientos establecidos en el reglamento europeo, en función de si el
procedimiento se tramita exclusivamente por la Agencia Española de Protección
de Datos o si se acude al procedimiento coordinado del artículo 60 del
Reglamento general de protección de datos”); las sanciones y medidas
correctivas y la prescripción de las sanciones.
Finalmente, la Ley incorpora
un Título X (arts. 79 a 97), denominado “Garantía de los
derechos digitales”, a fin de “reconocer y garantizar un elenco de derechos
digitales de los ciudadanos conforme al mandato establecido en la
Constitución”.
Según el preámbulo de la Ley este
título obedece a la necesidad de “abordar el reconocimiento de un sistema de
garantía de los derechos digitales que, inequívocamente, encuentra su anclaje
en el mandato impuesto por el apartado cuarto del artículo 18 de la
Constitución Española y que, en algunos casos, ya han sido perfilados por la
jurisprudencia ordinaria, constitucional y europea”, todo ello en tanto “una
deseable futura reforma de la Constitución” no incluya “la actualización de la
Constitución a la era digital y, específicamente, [eleve] a rango
constitucional una nueva generación de derechos digitales”.
Bajo estas premisas la nueva ley
reconoce nuevos derechos como el de neutralidad de Internet; el de acceso
universal a la Red; el derecho a la seguridad digital; el derecho a la
educación digital y la protección de los menores en Internet; el derecho de
rectificación en Internet y el de actualización de informaciones en medios de
comunicación digitales; el derecho al olvido en búsquedas de Internet y en
servicios de redes sociales y servicios equivalentes; el derecho de
portabilidad en servicios de redes sociales y servicios equivalentes el también
nuevo derecho al testamento digital.
Destacadamente, se añaden una serie
de nuevos derechos en el ámbito laboral, como el derecho a la intimidad y al
uso de dispositivos digitales; el derecho a la desconexión digital en el ámbito
laboral; el derecho a la intimidad frente al uso de dispositivos de
videovigilancia y de grabación de sonidos en el lugar de trabajo; el derecho a
la intimidad ante la utilización de sistemas de geolocalización en el ámbito
laboral y los derechos digitales en la negociación colectiva.
En cuanto a las disposiciones
adicionales, regulan cuestiones como las medidas de seguridad en el ámbito
del sector público; el cómputo de plazos; la incorporación de deudas a sistemas
de información crediticia; la identificación de los interesados en las
notificaciones por medio de anuncios y publicaciones de actos administrativos;
la potestad de verificación de las Administraciones Públicas; el tratamiento de
datos de salud y las prácticas agresivas en materia de protección de datos.
La disposición derogatoria
única afecta expresamente a la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal así como al Real
Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del
Derecho español a la normativa de la Unión Europea en materia de protección de
datos y, genéricamente, a “cuantas disposiciones de igual o inferior rango
contradigan, se opongan, o resulten incompatibles con lo dispuesto en el
Reglamento (UE) 2016/679 y la presente ley orgánica”.
Las disposiciones
transitorias están dedicadas, entre otras cuestiones, al estatuto de
la Agencia Española de Protección de Datos, el régimen transitorio de los
procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680; los
contratos de encargado del tratamiento y la reutilización con fines de
investigación en materia de salud y biomédica de datos personales recogidos con
anterioridad a la entrada en vigor de esta ley.
Por último, las disposiciones
finales modifican:
- la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (se modifica el art. 15 bis. Intervención en procesos de defensa de la competencia y de protección de datos)
- la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (nuevo apartado 7 del art. 10; nuevo apartado 5 del art. 11; nuevo apartado 4 del art. 12 y nuevo art. 122 ter. Procedimiento de autorización judicial de conformidad de una decisión de la Comisión Europea en materia de transferencia internacional de datos)
- la Ley Orgánica, 6/1985, de 1 de julio, del Poder Judicial (nuevo apartado 3 del art. 58; nueva letra f) del art. 66; nueva letra k) al apartado 1 y nuevo apartado 7 del art. 74 y nuevo apartado 7 del art. 90)
- la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (se añade un art. 6 bis. Registro de actividades de tratamiento y se modifica el apartado 1 del art. 15);
- la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (art. 39.3 y nuevo art. 58 bis. (Utilización de medios tecnológicos y datos personales en las actividades electorales);
- la Ley 14/1986, de 25 de abril, General de Sanidad (se introduce un nuevo Capítulo II –Tratamiento de datos de la investigación en salud, con un nuevo art. 105 bis, en su Título VI);
- la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (se modifica el apartado 3 del art. 16);
- la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (se modifican los apartados 2 y 3 del art. 28);
- la Ley Orgánica 2/2006, de 3 de mayo, de Educación (nueva letra l) en el apartado 1 del art. 2);
- la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades (nueva letra l) en el apartado 2 del art. 46);
- el Texto Refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre (se añade un nuevo artículo 20 bis. Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión)
- y el Texto Refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre (se añade un nueva letra j bis en el art. 14).
Desarrollo reglamentario:
La Disposición final 15.ª de la Ley
habilita al Gobierno para desarrollar lo dispuesto en los artículos
- Art. 3 (Datos de las personas fallecidas), en relación con los requisitos y condiciones para acreditar la validez y vigencia de los mandatos e instrucciones relativos a las personas fallecidas y, en su caso, el registro de los mismos.
- Art. 38 (Códigos de conducta), en relación con el contenido del registro y las especialidades del procedimiento de aprobación de los códigos de conducta.
- Art. 63 (Régimen jurídico), en relación con los procedimientos en caso de posible vulneración de la normativa de protección de datos que tramite la AEPD al amparo del Título VIII de la norma.
- Art. 96 (Derecho al testamento digital), en relación con los requisitos y condiciones para acreditar la validez y vigencia de los mandatos e instrucciones relativos al testamento digital y, en su caso, el registro de los mismos.
- Disposición final 6.ª (Incorporación de deudas a sistemas de información crediticia), en relación con la actualización de las cuantías de las deudas que se pueden incorporar a esos sistemas, a los que se refiere el art. 20.1 de la Ley.
Igualmente la Ley Orgánica menciona
la posibilidad de la existencia de “normas de desarrollo” de sus contenidos en
diferentes materias:
- Art. 28.1. Obligaciones generales del responsable y encargado del tratamiento.
- Art. 33.1. Encargado del tratamiento
- Art. 37.2, 2.º párrafo, y 3. Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos.
- Art. 40. Régimen de las transferencias internacionales de datos.
- Art. 45.1. Régimen jurídico [de la AEPD]
- Art. 47. Funciones y potestades de la Agencia Española de Protección de Datos.
- Art. 63.2 Régimen jurídico [de los Procedimientos en caso de posible vulneración de la normativa de protección de datos] (y Disposición adicional cuarta. Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes)
Además, el Gobierno deberá aprobar
por Real Decreto el Estatuto de la Agencia Española de Protección de Datos
(art. 45. Régimen jurídico [de la AEPD]). Hasta ese momento, el Estatuto de la
Agencia, aprobado por Real Decreto 428/1993, de 26 de marzo, continuará vigente
en lo que no se oponga a lo establecido en el Título VIII de esta ley orgánica
(Disp. Trans. Primera).
Derogación normativa
Además de la habitual referencia
genérica a que la Ley deroga “cuantas disposiciones de igual o inferior rango
contradigan, se opongan o resulten incompatibles” con lo dispuesto en el RGPD y
en la Ley, esta deroga expresamente la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal y el Real Decreto-ley
5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho
español a la normativa de la UE sobre protección de datos.
No obstante, la disposición
adicional 14.ª (Normas dictadas en desarrollo del artículo 13 de la Directiva
95/46/CE) declara vigentes los artículos 23 y 24 de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal, “en tanto no sean expresamente modificadas, sustituidas o derogadas”.
Por su parte, la Disposición
transitoria cuarta (Tratamientos sometidos a la Directiva (UE) 2016/680),
establece que los tratamientos sometidos a la Directiva (UE) 2016/680, relativa
a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales por parte de las autoridades competentes para fines de
prevención, investigación, detección o enjuiciamiento de infracciones penales o
de ejecución de sanciones penales, continuarán rigiéndose por la Ley Orgánica
15/1999, de 13 de diciembre, y en particular su artículo 22, y sus
disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga
al Derecho español lo dispuesto en la citada directiva.
Una Ley no tan orgánica
Si bien disposición final 1.ª
(Naturaleza de la presente ley), declara que la misma “tiene el carácter de ley
orgánica”, a continuación exceptúa de tal condición, atribuyendo el “carácter
de ley ordinaria” a buena parte de su contenido, en concreto:
- el Título IV,
- el Título VII, salvo los artículos 52 y 53 que tienen carácter orgánico,
- el Título VIII,
- el Título IX,
- los artículos 79, 80, 81, 82, 88, 95, 96 y 97 del Título X,
- las disposiciones adicionales, salvo la disposición adicional segunda y la disposición adicional decimoséptima, que tienen carácter orgánico,
- las disposiciones transitorias,
- y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera, cuarta, octava, décima y decimosexta, que tienen carácter orgánico
Igualmente, la disposición
transitoria 4.ª (Tratamientos sometidos a la Directiva (UE) 2016/680) declara
que los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales por
parte de las autoridades competentes para fines de prevención, investigación,
detección o enjuiciamiento de infracciones penales o de ejecución de sanciones
penales, y a la libre circulación de dichos datos y por la que se deroga la
Decisión Marco 2008/977/JAI del Consejo, “continuarán rigiéndose por la Ley
Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones
de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho
español lo dispuesto en la citada directiva”.
Resumen y Claves de la nueva LOPDGDD:
1.- OBJETIVOS DE LA LEY Y ENFOQUE INTEGRADOR.
La norma trata de alinear el
Ordenamiento con el RGPD abordando la materia con distintos objetivos:
a) Adaptar las previsiones generales del RGPD
en el ámbito nacional con
el límite del
margen de apreciación
que se concede a los Estados.
b)
Regular
sectores de actividad que requieren de un marco específico, ya sea por razón de
la naturaleza de la actividad del
tratamiento, ya sea por razón de los riesgos eventualmente asociados al tratamiento.
c)
Integrar
en nuestro Ordenamiento
un marco de tutela de los
derechos digitales, con fundamento
en el mandato de desarrollo legal
de garantías respecto del uso de la informática del artículo 18.4 de la
Constitución Española.
La LOPDGDD debe ser leída e interpretada
siempre en el marco del RGPD. Ello exige a sus intérpretes, y en particular a
los llamados delegados de protección de datos, aproximarse a esta materia con
un enfoque global e integrador.
2.- REGULAR LOS DERECHOS DIGITALES.
(Título X)
Se regulan por primera vez los derechos digitales de los
españoles. La LOPDGDD recoge novedades significati- vas en esta materia. El
Título X posee un contenido complejo que aúna diversas estrategias. En primer lugar, se ordena una relectura de nuestro sistema
de derechos fundamentales que deberá ser interpretado de modo funcional al mundo
digital. Se apuesta por una internet segura e inclusiva, con garantía de acceso
universal y se fomentan las políticas públicas.
El legislador confiere
particular importancia a los derechos
de los menores y a su educación, a los derechos de los trabajadores, considerando el derecho a la desconexión de la vida laboral. Asimismo, aborda aspectos
nucleares de la vida digital
como el impacto de los medios de comunicación y los buscadores, modulando los derechos de rectificación, olvido
y portabilidad, y ordena los efectos del fallecimiento en el mundo
digital.
3.- PRINCIPIOS APLICABLES A LOS TRATAMIENTOS Y SUS BASES LEGITIMADORAS.
(Título I)
Se modula y acota el sentido de los principios aplicables
a los tratamientos y de las bases que los legiti- man. Precisa el significado
del principio de veracidad o exactitud y el deber de confidencialidad. Incorpora
la granularidad en el consentimiento, precisa los conceptos
de obligación legal y misión de interés
público, flexibiliza el tratamiento de datos personales en el ámbito
de la salud, y define
las condiciones de tratamiento
de los datos relativos a condenas penales.
4.- NOVEDADES PARA RESPONSABLES, ENCARGADOS DE TRATAMIENTOS Y DELEGADOS DE
PROTECCIÓN DE DATOS (DPD).
(Título
V, Art. 76 y DT 5.ª)
El legislador en el Título V ha decidido reforzar
el marco de obligaciones del responsable y del encargado
del tratamiento.
En lo que se refiere
al encargado la LOPDGDD recupera
principios del Real Decreto 1720/2007 y los hibrida
con el RGPD. Y, aunque se concede
una generosa moratoria
para la actualización de los contratos (25/05/2022) no debe olvidarse la
importancia central que adquiere el papel de ciertos encargados en la
notificación de violaciones de seguridad.
Una de las cuestiones a las que debe prestarse una
atención significativa será sin duda a la extensión de los criterios
que obligan a desarrollar una evaluación de impacto relativa
a la protección de datos, en casos como tratamientos a gran escala, cuando se produzca
un tratamiento masivo que implique
a un gran número de afectados
o conlleve la recogida de una gran cantidad de datos personales, o en supuestos
interpretables como el de los grupos de afectados
en situación de especial vulnerabilidad.
Llama poderosamente la atención la atribución de una responsabilidad solidaria a los representantes de los
responsables o encargados del tratamiento no establecidos en la Unión
Europea.
Particularmente extensa resulta la referencia al delegado
de protección de datos cuya figura se implanta en un número significativo de sectores y cuya
contratación puede modular las sanciones en el caso de que no sea obligatorio. Resulta muy relevante el
juego que puede dar esta figura en el periodo de tramitación previa de reclamaciones antes de que sean sometidas
a la consideración de las autoridades de protección de datos.
Por otra parte, cabe subrayar la importancia que se
concede a la autorregulación de las organizaciones me- diante certificaciones y
códigos de conducta y que incorporan sistemas de mediación.
Por último, debe destacarse la necesaria lectura
integrada de RGPD y LOPDGDD
en materia de transferencias
internacionales de datos.
5.- TRIPLE ESCALA DE INFRACCIONES Y SANCIONES, SOLO A EFECTOS DE
PRESCRIPCIÓN.
(Arts. 59 y ss., Título VIII, Título IX)
La LOPDGDD describe
un catálogo de conductas típicas
con la triple diferenciación propia
de las infracciones y sanciones administrativas en nuestro
Ordenamiento jurídico, que las distingue entre muy graves, graves y leves, pero
tomando en consideración la diferenciación que el RGPD establece al fijar la
cuantía de las sanciones en su artículo 83 apartados 4, 5 y 6. La categorización de las infracciones y de las sanciones se in-
troduce, por lo tanto, a los solos
efectos de determinar los plazos de prescripción de unas y otras, teniendo
la descripción de las conductas típicas
como único objeto
la enumeración de manera ejemplificativa de algunos de los
actos sancionables que deben entenderse incluidos dentro de los tipos generales
establecidos en la norma europea.
6.- PROTECCIÓN DE LOS MENORES.
(Arts.
7, 28, 34, 76, 82, 83, 84, 97, DA 19.ª y DF
8.ª)
La LOPDGDD concede una importancia fundamental a la
protección de los menores. No sólo
al mantener la edad y los requisitos básicos del antiguo
Reglamento2,
sino en la medida en la que en sede de derechos digitales se incorporan a
nuestro derecho garantías adicionales. Asimismo, se sujeta el tratamiento de
este tipo de datos al desarrollo de una evaluación
de impacto en la protección de datos y se requiere disponer de un delegado de protección de datos a
los centros docentes, y a las federaciones deportivas. Por último, la
afectación a los derechos de los menores será un elemento a considerar en la
determinación y graduación de las sanciones.
En sede de derechos digitales, amén de la seguridad digital,
se recoge el derecho a la educación digital, que
implicará una revolución en los planes de estudio y en la formación del
profesorado, y se contempla por primera vez la responsabilidad de padres,
madres y centros escolares por el tratamiento de información de menores en
internet, estableciendo el deber de la Administración de diseñar políticas
públicas de con- cienciación digital. Estas
medidas se conciben
como una aproximación provisional emplazando al Gobierno
a impulsar en el plazo de un año desde la entrada en vigor de la ley orgánica,
un proyecto de ley dirigido específicamente a garantizar los derechos de los menores
ante el impacto de Internet.
7.- EMPRESAS: NUEVAS OBLIGACIONES DIGITALES.
(Título III, Arts. 32, 85, 86, 93 y 94)
En materia de derechos la LOPDGDD impactará
de modo significativo en el mundo digital.
De una parte, se consolida el
deber de implementar estrategias de información o transparencia por capas garantizando
un mínimo indispensable de información visible.
Por otra parte,
se modula el ejercicio de los derechos
debiendo garantizar accesibilidad y gratuidad, fijando criterio para
identificar el ejercicio abusivo, y favoreciendo el acceso digital a los datos
mediante fórmulas de «acceso remoto, directo y seguro a los datos personales».
Entre las sombras, de la regulación cabe citar el mantenimiento del deber de bloqueo
que de algún modo se superpone al derecho a la limitación del tratamiento. Lo que obligará
con toda probabilidad a programar marcados adicionales que permitan diferenciar en términos lógicos
uno y otro.
Por otra parte, los operadores deberán discernir cuándo se ejercen
derechos propiamente digitales
como la rectificación en internet, la actualización de informaciones en medios de comunicación digitales
o el derecho al olvido en búsquedas de Internet, incluidas redes sociales, y servicios equivalentes.
8.- ALTÍSIMO IMPACTO EN LAS RELACIONES LABORALES.
(Arts. 22, 88, 89, 90 y 91 y DF 13.ª y 14.ª)
El Título IV incorpora disposiciones que regulan tratamientos
sectoriales. Particularmente destacable resulta
su alto impacto en las relaciones laborales. Aquí, además de la
definitiva consolidación legislativa de la posición histórica de la Agencia
Española de Protección de Datos (AEPD) sobre sistemas de denuncias internas, debe
prestarse particular atención a los controles
laborales.
Es necesario integrar
los principios generales
sobre protección de datos personales con los nuevos derechos
digitales de los trabajadores en relación con la videovigilancia. Esta materia posee
una especial complejidad y exige una interpretación abierta al conjunto
del Ordenamiento que tenga en cuenta la jurisprudencia sectorial [SSTC 98/2000 (Caso La Toja), 39/2016 (Caso Bershka)], el Estatuto de los Trabajadores o la Legislación sobre prevención de riesgos
laborales. Del mismo modo, la limitación de la geolocalización o el derecho
a la desco- nexión digital en el ámbito laboral además de su propia significación material, modularán significativamente situaciones como el uso dual personal-profesional de distintos terminales. Además, la LOPDGDD
ofrece un significativo margen a la negociación colectiva
para el establecimiento de garantías
adicionales.
9.- NOVEDADES COSUMIDORES: INFORMACIÓN CREDITICIA Y EXCLUSIÓN PUBLICITARIA.
(Arts. 20, 21, 23 y
DA 6.ª)
Resulta significativo como la LOPDGDD plantea garantías
adicionales al RGPD en la tutela de los derechos del ciudadano-consumidor. En primer lugar, se consolida el marco heredado del
Real Decreto 1720/2007 en materia de información crediticia y sistemas de exclusión
publicitaria. Aunque la regulación no se encuentra exenta de dificultades, ya
la anotación de una limitación del tratamiento será síntoma de la existencia
de algún problema de solvencia. No
obstante, el sistema garantiza trazabilidad en el uso y acceso a los datos, se
limita la confiabilidad de los sistemas de profiling
que acudan a fuentes adicionales, y se eliminan del sistema las pequeñas
deudas inferiores a 50 Euros.
10.- NOVEDADES SECTOR PÚBLICO.
(Arts. 24, 25, 26, 27,
28, 31, 77, DA 1.ª, 7.ª y 9.ª y DF 12.ª)
El sector público debe prestar una particular atención a
la nueva LOPDGDD. El ámbito de materias que, bien habilitan para la acción
pública legitimando un tratamiento, bien imponen deberes adicionales, es
particu- larmente voluminoso.
Las administraciones podrán
habilitar sistemas de información de denuncias internas, se modulan la función
estadística pública y el uso archivístico de los datos y se mantiene y refuerza las condiciones de contratación
de los encargados del tratamiento. Asimismo, se ofrece un régimen
para el tratamiento de datos
relativos a infracciones y sanciones administrativas que abandona el ámbito de las categorías especiales de datos,
pero, manteniendo un régimen
específico de protección equivalente y de creciente intensidad al requerirse bajo ciertas condiciones realizar una evaluación de impacto relativa
a la protección de datos.
Tres
medidas destacan por su significativo
impacto:
a) Dotar de publicidad a un registro de actividades del tratamiento.
b)
La controvertida ausencia de un régimen sancionador con multas que, sin embargo,
es compensada por la casi obligación de abrir expedientes
informativos ya que la AEPD «propondrá también la iniciación de actuaciones
disciplinarias cuando existan indicios suficientes para ello», así como la publicación en boletines oficiales de una la amonestación con denominación del cargo responsable que incumpla la Ley
desoyendo informes técnicos.
c)
Y la aplicación del Esquema Nacional
de Seguridad como estándar obligatorio que planteará retos enor-
mes. En cualquier caso, la nueva norma
resuelve una de las grandes
dudas asegurando la interoperabilidad.
Por último, debe destacarse la especial sensibilidad del
legislador al fijar criterios de publicación de informa- ción que garanticen la
protección de personas especialmente vulnerables, como las víctimas de
violencia de género-, y aseguren un tratamiento equilibrado que, por ejemplo,
deje de exponer al mundo el NIF.
11.- NOVEDADES AEPD.
(Títulos VI, VII Y VIII)
La autoridad de protección de datos
experimenta un cambio
radical. Aunque mantiene
un cierto grado de relación con el Ministerio de
Justicia se acerca al modelo de comisionado parlamentario incorporando en el camino una nueva denominación para
su dirección, la Presidencia, y la figura de un Adjunto. Para el nombramiento de ambos, allí donde
antes no hubo requisitos ahora se exigirá una reconocida competencia
profesional, en particular en materia de protección de datos, que implicará una
convocatoria pública y la previa evaluación del mérito, capacidad, competencia
e idoneidad de los candidatos antes de ser propuestos al Parlamento acompañada de un informe
justificativo. Las candidaturas serán ratificadas en la Comisión de Justicia en votación pública por
mayoría de tres quintos de sus miembros en primera votación o, de no alcanzarse
ésta, por mayoría absoluta en segunda votación, que se realizará inmediatamente
después de la primera. En este último supuesto, los votos favorables deberán
proceder de Diputados pertenecientes, al menos, a dos grupos parlamentarios
diferentes. Por otra parte, se integran en el Consejo profesionales de la
privacidad, la seguridad o la transparencia.
Otro elemento destacable, resulta de la necesidad de abordar
un modelo de relación con las autoridades de protección de datos autonómicas
que asegure un cumplimiento normativo homogéneo, proporcione meca- nismo de
cooperación, y garantice que la delimitación competencial y la exigencia de
coherencia y cohesión sé de también en el plano nacional.
En materia sancionadora finalmente la LOPDGDD, refuerza el
marco procedimental y aterriza en nuestro Derecho el régimen del RGPD
confiriendo particular importancia a la intervención del delegado de protección
de datos y de los sistemas de resolución extrajudicial de conflictos.
12.- INVESTIGACIÓN BIOMÉDICA.
(DA 17.ª, DT 6.ª, DF 5.ª y 9.ª)
Debe ser destacado un último elemento
sectorial. La LOPDGDD ha definido un marco esencial para la investi- gación biomédica con datos. La norma servirá sin duda de base para potenciar un ámbito
de interés vital para la salud de los pacientes en los que la digitalización de
nuestro sistema sanitario puede situar a España a la cabeza de la investigación
en la Unión Europea
Fuente:
http://noticias.juridicas.com/
y Wolters Kluwer España
