Entra en vigor la Nueva Ley de Protección de Datos

El pasado 7 de diciembre entró en vigor la nueva Ley de Protección de Datos con el objetivo de adaptar el ordenamiento español a la legislación europea recogida en el Reglamento General de Protección de Datos (RGPD), que es de aplicación directa desde el pasado 25 de mayo.

Coneqtia pone a disposición de sus socios un canal de consultas a través del correo coneqtia@cecamagan.com con los expertos del área de tecnología innovación y economía digital de CECA MAGÁN ABOGADOS, para resolver cualquier duda en relación a la aplicación de la nueva ley o del RGPD.

Asimismo, es posible descargar aquí el Protocolo de Directrices Generales para el cumplimiento del RGPD que pretende ayudar al sector editorial español a entender de forma sencilla y clara las implicaciones reales derivadas de esta norma, al tiempo que dar pautas y recomendaciones prácticas para su mejor cumplimiento. 

Las novedades que trae la nueva ley de Protección de Datos aprobada este mes de diciembre se resumen a continuación.

NOVEDADES NORMATIVAS TRAS LA ENTRADA EN VIGOR DE LA NUEVA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES 

El pasado 7 de diciembre entró en vigor la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, la “LOPDGDD”).

Con esta norma se pretende adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (RGPD), y completar sus disposiciones.

Esta nueva ley orgánica trae consigo importantes novedades que deberán ser atendidas por parte de las empresas y otras entidades sujetas a la misma. Entre otras, se destacan las que siguen:

1.  EL DERECHO A LA PROTECCIÓN DE LOS DATOS PERSONALES: CRUCIAL EN LA ERA DIGITAL, AUNQUE NO ABSOLUTO: La protección de datos personales no debe suponer un obstáculo a la libre circulación de los datos y a otros derechos o principios igualmente protegibles, como la libertad de empresa, en consonancia con la Estrategia europea de la Economía de los Datos.

2. IMPLANTAR MODELOS Y POLÍTICAS DE CUMPLIMIENTO BASADOS EN LA RESPONSABILIDAD ACTIVA: Se refuerzan las obligaciones de los responsables y encargados el tratamiento, sobre la base de un modelo de responsabilidad activa, debiendo contar éstos con sistemas de detección, análisis y gestión permanentes de los riesgos para los derechos de las personas físicas, a fin de determinar las medidas técnicas y organizativas apropiadas a tales riesgos.

3.  CONTAR CON POLÍTICAS DE PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO: Se impulsa que los responsables del tratamiento cuenten con políticas de privacidad desde el diseño y por defecto, y adopten las medidas técnicas y organizativas apropiadas en este ámbito, de forma que no aplicar estos principios contenidos en el artículo 25 del RGPD a la hora de proyectar o desarrollar las actividades de tratamiento podrá ser considerado, incluso, como una infracción grave.

4. PRINCIPIOS DEL TRATAMIENTO DE LOS DATOS: Se presta especial atención a los principios de exactitud de los datos y el de confidencialidad.

5. INFORMAR A LOS AFECTADOS. ESPECIAL ATENCIÓN A LOS TRAZADOS DE PERFILES: Se reseña de forma particular la necesidad de informar a los interesados sobre los tratamientos de perfilados.

6. CONSENTIMIENTO DE LOS MENORES DE EDAD: Se regula el consentimiento de los menores de edad fijándose la edad en lo que concierne a la libre disposición de su información personal en 14 años, lo que debe ser tenido en cuenta en cualquier proyecto, servicio e iniciativa destinada a los mismos. Además, la información que se les dirija debe ser especialmente clara y sencilla. No verificar el consentimiento de los menores o de sus representantes legales será considerado una infracción grave.

7. EJERCICIO DE LOS DERECHOS PERSONALES, MEDIOS ACCESIBLES Y PROTOCOLOS ASOCIADOS: Se debe contar por el responsable del tratamiento con medios y protocolos adecuados para el ejercicio de los derechos personales, que deben ser fácilmente accesibles para el afectado, quien puede actuar mediante representante legal o voluntario. Se promueven los sistemas de ejercicio electrónico de este derecho, en particular, respecto al ejercicio del derecho de acceso.

8. TRATAMIENTOS ESPECÍFICOS DE DATOS PERSONALES: Salvo prueba en contrario, se presumirán lícitos, entre otros, los siguientes tratamientos de datos:

  • Tratamiento de datos personales de contacto y los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica, siempre que el tratamiento de estos datos se refiera únicamente a los datos necesarios para su localización profesional y que, la finalidad de tal tratamiento sea únicamente mantener relaciones con la persona jurídica en la que tales personas prestan sus servicios. Del mismo modo, también se presumirá legítimo el tratamiento de los datos personales de empresarios individuales y los profesionales liberales, actuando bajo esta condición.
  • Tratamiento de datos que pudieran derivarse del desarrollo de operaciones de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, cuando éstos sean necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.

9. VIDEOVIGILANCIA: Se permiten los tratamientos con fines de videovigilancia, debiendo ser suprimidos los datos en el plazo máximo de un mes desde su captación con carácter general, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. Si este fuera el caso, deberán ponerse a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.

Es importante contar con un cartel o dispositivo informativo que puede incluir un código de conexión como, por ejemplo, un código QR o similar, o dirección de Internet a fin de ampliar la información legal necesaria en este ámbito.

10. USO DE VIDEOCÁMARAS CON FINES DE CONTROL LABORAL: Se permite el uso de las videocámaras a efectos de control laboral en los términos dispuestos por el artículo 89 de la LOPDGDD, de forma que los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores según el artículo 20.3 del Estatuto de los Trabajadores, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo.

Se habrá de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.

11. SISTEMAS DE INFORMACIÓN DE DENUNCIAS INTERNAS: Será lícita la creación y mantenimiento de sistemas de información de denuncias internas, incluso, de carácter anónimo, a través de los que se informe de actos o conductas que pudieran ser contrarios a la normativa general o sectorial que fuera aplicable dentro de la entidad que corresponda, si bien, los empleados o los terceros que pudieran verse afectados por tales sistemas deberán ser debidamente informados acerca de su existencia.

Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.

En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo.

12. OBLIGACIÓN DE BLOQUEO: Se regula la obligación de bloqueo de forma que el responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión.

El bloqueo de los datos consiste en la identificación y reserva de los mismos, y no implica el borrado de los datos, debiéndose adoptar las medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos.

13. EXIGIR GARANTÍAS SUFICIENTES A LOS ENCARGADOS DEL TRATAMIENTO: Se deben adoptar especiales cautelas en lo que concierne a la comprobación de que los encargados del tratamiento ofrecen garantías legales adecuadas y suficientes, tanto en el momento de su contratación, como durante toda la vida del contrato de encargo del tratamiento, activándose los controles e inspecciones necesarios por parte del responsable del tratamiento.

14. SUPUESTOS DE DESIGNACIÓN OBLIGATORIA DE DELEGADOS DE PROTECCIÓN DE DATOS: Sin perjuicio de los supuestos de designación obligatoria de los Delegados de Protección de Datos (DPD) a los que se refiere el artículo 37 del RGPD, se establecen supuestos específicos en el artículo 34 de la LOPDGDD que implican su designación obligatoria, por ejemplo, para centros docentes, centros sanitarios, prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios de los servicios, operadoras de telecomunicaciones, entidades de crédito, aseguradoras y reaseguradoras, empresas de servicios de inversión, entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, entidades que desarrollen actividades de publicidad y prospección comercial, operadores que desarrollen la actividad de juego a través de canales electrónicos e interactivos, empresas de seguridad privada).

15. SUPUESTOS DE DESIGNACIÓN VOLUNTARIA DE DELEGADOS DE PROTECCIÓN DE DATOS (Y SU UTILIDAD PRÁCTICA): Se promueve de forma decidida la designación voluntaria de DPD en las entidades sujetas a la LOPDGDD cuando no vengan obligadas a ello, siendo un criterio que debe considerarse en la modulación de las sanciones que pudieran imponerse ante la comisión de cualquier infracción conforme al RGPD y la LOPDGDD.

Nombrar un DPD también refuerza la posibilidad de resolver extrajudicialmente los posibles conflictos en protección de datos con los usuarios afectados (artículos 37 y 65 de la LOPDGDD).

16. NECESIDAD DE CONTAR CON UN DELEGADO DE PROTECCIÓN DE DATOS CUALIFICADO: En todo caso, el DPD que se designe, ya sea interno o externo, deberá contar con la titulación, cualificación, capacidades y conocimientos necesarios para poder desempeñar adecuadamente su cargo con todas las garantías exigibles. Incluso, en caso de designar un DPD interno, éste podrá apoyarse en asesores externos que le permitan desarrollar su función de manera independiente y acorde a sus funciones legales. Ya se puede consultar a través de la página web de la AEPD el listado de los DPD designados a nivel nacional: https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/consultaDPD.jsf

17. CÓDIGOS DE CONDUCTA Y CERTIFICACIONES: Del mismo modo que lo hace el RGPD, se promueve la elaboración y/o adhesión de los sujetos responsables a códigos de conducta o mecanismos de certificación, según lo dispuesto en la normativa aplicable, permitiendo a los sujetos responsables demostrar cumplimiento normativo a través de los mismos.

18. TRASFERENCIAS INTERNACIONALES DE DATOS: Del mismo modo, en consonancia con el RGPD, cambia el régimen jurídico aplicable a las transferencias internacionales de datos, de forma que únicamente quedarán sujetas a autorización de la AEPD los casos a los que se refiere el artículo 42 de la LOPDGDD, sin perjuicio de los supuestos de adopción e información, todo ello, en consonancia con los artículos 44 y siguientes del RGPD.

Luego, es muy importante comprobar por los responsables de tratamiento, en caso de que realicen o proyecten realizar transferencias internacionales de datos (fuera de la Unión Europea/EEE), si media una decisión de adecuación o cualquier otra garantía o excepción legal en este ámbito, debiendo considerar de forma debida la estrategia legal aplicable en este ámbito.

19. PROCEDIMIENTOS EN CASO DE VULNERACIÓN DE LA NORMATIVA PROTECTORA DE DATOS PERSONALES: Sin perjuicio de una mayor concreción reglamentaria, se regulan en la LOPDGDD los procedimientos en caso de posible vulneración de la normativa protectora de datos personales, distinguiéndose entre los procedimientos de infracción general del RGPD y la LOPDGDD y de tutela de derechos personales, con novedades en torno a la iniciación del procedimiento, la admisión a trámite de las reclamaciones y las medidas provisionales y de garantía de los derechos. En todo caso, se promueve la resolución extrajudicial de los conflictos en materia de protección de datos, sobre todo, a través de la figura del DPD en atención al artículo 65 de la LOPDGDD, de ahí, su gran utilidad a estos efectos.

20. RÉGIMEN SANCIONADOR: Por lo que concierne al régimen sancionador, se establecen amplios márgenes para la determinación de la cuantía de las sanciones. La LOPDDGDD aprovecha la cláusula residual del artículo 83.2 del RGPD, referida a los factores agravantes o atenuantes, para concretar estos aspectos, distinguiendo entre infracciones muy graves, graves y leves, de forma que las sanciones que se impongan deberán graduarse en atención a lo dispuesto en el artículo 83.2 del RGPD y el artículo 76 de la LOPDGDD. Entre los criterios introducidos por la nueva ley orgánica, por ejemplo, destaca el hecho de disponer, cuando no fuera obligatorio, de un delegado de protección de datos.

Complementaria o alternativamente a las sanciones que correspondan, podrán adoptarse las medidas correctivas a las que también se refiere el artículo 83.2 del RGPD y, asimismo, como novedad, será objeto de publicación en el Boletín Oficial del Estado (BOE) la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la misma sea superior a 1.000.000 € y el infractor sea una persona jurídica.

21. TRATAMIENTO DE LOS DATOS DE LAS PERSONAS FALLECIDAS: Se regula el tratamiento de los datos de las personas fallecidas, de forma que, con carácter general, las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión. Como excepción, tales personas no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.

22. NUEVO ELENCO DE DERECHOS DIGITALES: Se dispone, a través del nuevo Título X de la LOPDGDD un nuevo elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución. Por ejemplo, son objeto de regulación los derechos y libertades predicables al entorno de Internet como la neutralidad de la Red y el acceso universal, o los derechos a la seguridad y educación digital, la protección de los menores en Internet, así como los derechos al olvido, a la portabilidad y al testamento digital.

Ocupa un lugar relevante el reconocimiento de derechos digitales en el ámbito laboral, en particular, el derecho a la intimidad en el uso de dispositivos digitales, frente al uso de dispositivos de videovigilancia y de grabación de sonidos y ante la utilización de sistemas de geolocalización en el ámbito laboral, así como el derecho a la desconexión digital y los derechos digitales en la negociación colectiva. En este sentido, mediante la Disposición final decimotercera de la nueva ley orgánica se ha añadido un nuevo artículo 20 bis al texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre, que reconoce el derecho de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión, lo que debe ponderarse con la legítima actuación de la empresa de conformidad con la normativa y jurisprudencia aplicable.

Estos derechos supondrán la necesidad de adoptar criterios y protocolos asociados a su ejercicio a nivel laboral, contando, si existiera, y procediera, con la participación de la representación de los trabajadores.

Resulta igualmente destacable la garantía de la libertad de expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales.

Así, el artículo 85 de la LOPDGDD, regula el nuevo derecho de rectificación en Internet, de forma que, si bien reconoce que todos tienen derecho a la libertad de expresión en Internet, sin embargo, prevé que los responsables de las redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz, atendiendo a los requisitos y procedimientos previstos en la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación.

Además, indica que cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original.

Como complemento a lo anterior, el  artículo 86 de la nueva ley orgánica regula también el derecho a la actualización de informaciones en medios de comunicación digitales, de forma que toda persona tiene derecho a solicitar motivadamente de los medios de comunicación digitales la inclusión de un aviso de actualización suficientemente visible junto a las noticias que le conciernan cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio. En particular, procederá la inclusión de dicho aviso cuando las informaciones originales se refieran a actuaciones policiales o judiciales que se hayan visto afectadas en beneficio del interesado como consecuencia de decisiones judiciales posteriores. En este caso, el aviso hará referencia a la decisión posterior.

23. OTRAS CONSIDERACIONES DE INTERÉS: Se complementa lo anterior con una serie de previsiones adicionales de interés contenidas en la LOPDGDD:

23.1.  La Disposición Adicional Decimoséptima, se refiere a los tratamientos de datos de salud, indicando tratamientos amparados en el artículo 9.2 del RGPD, por ejemplo, aquéllos contenidos en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, en la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras, en el texto refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, aprobado por Real Decreto Legislativo 1/2013 de 29 de noviembre, entre otros. Esta Disposición también regula el tratamiento de datos en el ámbito de la investigación en salud, posibilitándola bajo determinadas condiciones.

23.2. La Disposición Transitoria Quinta de la ley, relativa a los contratos de encargado del tratamiento, corrobora el criterio previamente contenido en el Real Decreto-Ley 5/2018, ya derogado, de que los contratos suscritos con anterioridad al 25 de mayo de 2018, al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en la normativa aplicable.

Si lo desea, puede consultar esta nueva ley orgánica desde aquí.