El 7 de diciembre de 2018 ha entrado en vigor la esperada nueva Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales.
En una primera lectura (cuyo contenido ya conocíamos en parte por los proyectos que hemos ido manejando) sobra una buena parte de la ley al remitir en muchos artículos a lo que dice el Reglamento (UE) 2016/679 General de Protección de Datos si bien en la exposición de motivos, se justifica por razones de coherencia.
Como sabemos el RGPD es directamente aplicable y sólo en aquellos puntos que remite al desarrollo de los estados miembros es en lo que se tenía que haber metido la Ley. No obstante, al ser redundante en muchos puntos, no molesta. Peor sería que contradijese el RGPD.
Sin ánimo de ser exhaustivos y en una primera lectura destacamos algunos puntos importantes (ojo que no están todos). En futuros posts desarrollaremos algunos artículos que consideramos lo suficientemente relevantes como para dedicarles un capítulo aparte.
Aquí nuestro decálogo:
1.- No sólo regula el derecho a la privacidad
Una de las cuestiones que más llama la atención es que además de regular el derecho fundamental a la protección de datos, se dedica un capítulo entero a los llamados derechos digitales, algo completamente novedoso y que desde luego darán que hablar en su aplicación práctica.
No obstante, esta Ley tiene una función fundamental: adaptar el ordenamiento jurídico patrio al RGPD. La mayor parte de los artículos y las disposiciones adiciones tienen este cometido.
2.- El tratamiento de datos de los menores de edad
Aquí uno de los puntos en los que el RGPD deja plena libertad a los estados miembros para que entre los 13 y los 16 años fijen la edad a partir de la cual los menores pueden dar su consentimiento sin la intervención de sus padres o tutores.
La edad fijada es de 14 años: nos quedamos como estábamos (y en el fondo lo agradecemos especialmente tras las tentativas de bajarlo a 13 en las redacciones iniciales).
3.- El tratamiento de los datos de contacto, empresarios individuales y profesionales liberales
A este tema dedicamos un post anterior. Que sí. Que sí se pueden utilizar estos datos con base al interés legítimo del responsable pero sólo para contactar con estos destinatarios como contactos de una persona jurídica o en su calidad de profesionales.
Este artículo aclara el RGPD en este punto que para el día a día de las empresas es vital. Ojo, que una cosa es el tratamiento de datos y otra es la publicidad comercial por medios electrónicos… (aquí entra en juego la LSSI. No mezclemos).
4.- Sistemas de información de denuncias internas
Otro punto interesante por cuanto tras la reforma del Código Penal en el año 2015 se “bendicen” los sistemas de prevención de riesgos penales (“compliance” para los amigos) que incluyen canales para comunicar infracciones y otras conductas. Hasta la fecha (aunque se había hecho la vista gorda) en España no se admitían las denuncias anónimas en dichos canales de denuncia internos, criterio de nuestra Agencia Española de Protección de Datos que contradecía lo que el entonces Grupo de Trabajo del Artículo 29 admitía en supuestos excepcionales en los que no se pudiera garantizar la confidencialidad.
Al tratarse de tratamientos de datos específicos, el artículo 24 los regula.
Ojo, que además establece un plazo de conservación de TRES MESES tras los cuales deben suprimirse salvo que la finalidad sea dejar evidencia del funcionamiento del modelo de prevención de riesgos penales. En tal caso, las denuncias a las que no se haya dado curso deberán ser anonimizadas.
5.- Otros tratamientos
Se dedican artículos específicos a los sistemas de información crediticia, los tratamientos relacionados con la realización de determinadas operaciones mercantiles, tratamientos con fines de videovigilancia, sistemas de exclusión publicitaria, tratamientos de datos en el ámbito de la función estadística pública, tratamiento de datos con fines de archivo en interés público por parte de las administraciones públicas y los tratamientos de datos relativos a infracciones y sanciones administrativas.
Iremos desarrollando estos tratamientos por las peculiaridades que presentan.
6.- El Delegado de protección de datos
El Delegado de Protección de Datos (DPD o DPO), figura creada por el Reglamento General de Protección de Datos encuentra en esta Ley algunas respuestas:
– En qué casos concretos es obligatorio designar un DPO (por ejemplo colegios profesionales, los centros docentes, entidades aseguradoras y reaseguradoras, y un largo etc que desarrolla el artículo 34.
– Si no se está obligado pero se designa se considerará como una buena práctica y en caso de procedimiento sancionador, será tenido en cuenta para minorar en su caso la posible sanción.
– Se matizan algunas funciones del Delegado de Protección de Datos como la facultad de inspeccionar los procedimientos relacionados con la ley y emitir, recomendaciones, servir de paso previo a la reclamación ante la Agencia Española de Protección de Datos y por supuesto servir de interlocutor con la Agencia.
7.- La obligación de bloqueo
Una novedad de esta Ley Orgánica y que no contempla el RGPD es la de bloquear los datos cuando se proceda a su rectificación o supresión. El bloqueo consiste en identificar los datos, reservar los mismos con las medidas de seguridad correspondientes para impedir su tratamiento (incluyendo la visualización) excepto para ponerlos a disposición de las Administraciones Públicas, jueces y tribunales etc y sólo durante el plazo de prescripción de las obligaciones.
Con lo cual, aunque se solicite la rectificación o la supresión de los datos, no podremos eliminarlos directamente hasta que prescriba el plazo de prescripción para cumplir con las obligaciones legales. Esos datos no se podrán utilizar por nadie.
8.- Las infracciones
Por fin tenemos un catálogo de infracciones que nos dan pistas de los incumplimientos sancionables. La lista es larga y bastante exhaustiva.
Por decirlo de una forma directa, todo lo que no se cumpla o haga bien es sancionable. Si hacemos una lectura al revés de las infracciones nos sale un catálogo de obligaciones (incluso, por qué no, un check list) que se parece bastante al listado de cumplimiento normativo publicado por la Agencia Española de Protección de Datos hace unos meses.
Las infracciones se clasifican en muy graves, graves y leves.
También se establecen unos plazos de prescripción que curiosamente se supeditan a cuantías lo cual no significa que esas cantidades se vinculen a la gravedad.
9.- Los derechos digitales
Aunque sin categoría de derechos fundamentales, el legislador ha aprovechado la coyuntura para definir los nuevos derechos de las personas en su relación con los entornos digitales: derechos como el de la desconexión, el límite en los entornos laborales, de videovigilancia, en la geolocalización, derechos de los menores, etc.
Lo verdaderamente interesante de estos derechos será cómo van a encontrar su aplicación práctica y cómo los ciudadanos podremos hacerlos valer y cumplir.
10.- Modificación de algunas normas
La nueva LOPD modifica diferentes normas que regulan tratamientos de datos específicos y que hacían referencia a la antigua LOPD (la LO 15/1999):
- Ley Orgánica 5/1985, de 19 de junio del Régimen Electoral General
- Ley Orgánica 1/1985, de 1 de julio de, del Poder Judicial
- Ley 14/1986, de 25 de abril, General de Sanidad
- Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa
- Ley 1/2000, de 7 de enero de Enjuiciamiento civil
- Ley Orgánica 6/2001, de 21 de diciembre de Universidades
- Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
- Ley Orgánica 2/2006, de 3 de mayo de Educación
- Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno
- Ley 39/2015, de 1 de octubre del Procedimiento Administrativo Común de las Administraciones Públicas
- Estatuto de los Trabajadores aprobado por Real Decreto Legislativo 2/2015 de 23 de octubre
- Estatuto Básico del Empleado Público aprobado por Real Decreto Legislativo 5/2015 de 30 de octubre
Este es nuestro modesto resumen en el que nos hemos dejado aspectos polémicos sobre el posible uso que los partidos políticos pueden hacer de los datos u otros interesantes como el uso de los datos con fines de investigación.
De ellos hablaremos en futuros artículos.
En estas fechas, además de los dulces navideños, que no se nos atragante la nueva legislación.
18 de diciembre de 2018
Paz Martín
#losdetallesimportan