Entradas

Protección de Datos y Covid-19: Webinar en la Cámara de Comercio de Madrid; aplicaciones, datos de salud y teletrabajo

Hemos tenido el honor de participar en el Webinar organizado por la Cámara de Comercio de Madrid dentro de su ciclo de formación online en tiempos de Covid-19 y que está abarcando aspectos de interés para las empresas y profesionales.

Con respecto a la privacidad, son muchas las dudas que se han suscitado en las últimas semanas y que tienen que ver con cuestiones tan diversas como las aplicaciones de control de la pandemia o las de cercanía, con la geolocalización o con el propio teletrabajo, la impartición de clases a través de Internet o con la recogida de datos de salud por parte del empresario en caso de necesidad.

El contexto normativo actual es el siguiente:

Estado de alarma:

  • Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19
  • Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio
  • Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.

Protección de datos:

Otras normas del ámbito de la salud y de la prevención de riesgos laborales

  • Ley 31/1995 de 8 de noviembre de prevención de riesgos laborales
  • Ley Orgánica 3/1986 de 14 de abril de Medidas Especiales en Materia de Salud Pública
  • Ley 33/2011 de 4 de octubre de Salud Pública
  • La Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública establece:

..con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.

Ante las posibles dudas sobre la «legalidad» del tratamiento de determinados datos o la adopción de determinadas medidas para prevención, contención e incluso investigación del comportamiento del virus, medidas que sólo son posibles si se dispone de una información a gran escala de quién está infectado, con quién tiene contacto y de esta forma entender cómo se está propagando el virus y muy especialmente una vez que las medidas de confinamiento se relajen y volvamos todos a una progresiva normalidad.

La protección de datos es la protección de las personas. El derecho a la privacidad es un derecho fundamental que no queda confinado. El estado de alarma no supone ni puede suponer en modo alguno una restricción de este derecho fundamental pero, como la propia Agencia Española de Protección de Datos ha señalado, en consonancia con el Comité Europeo de Protección de Datos, la protección de datos tampoco puede suponer un obstáculo para la adopción de medidas encaminadas a mitigar la pandemia.

Es el equilibro del interés público, el propio interés vital de las personas y el derecho de las personas a que el tratamiento de los datos se realice con las debidas garantías el objetivo a conseguir. Las bases de legitimación establecidas en el RGPD están claramente definidas y las situaciones excepcionales como la que vivimos también encuentran su respuesta en esta normativa permitiendo el tratamiento de datos con base al interés público, entre otros.

Cualquier iniciativa pública o privada en este sentido tendrá que respetar escrupulosamente lo dispuesto en la normativa de protección de datos vigente. No en vano, el RGPD contempla garantías suficientes para garantizar la privacidad. La cuestión es que dichas garantías se observen por parte de quienes realizarán del tratamiento.

Cuestiones básicas en este sentido serán:

  • Cumplir con los principios del RGPD (licitud, lealtad, transparencia, exactitud, minimización, etc)
  •  Ser transparente en la información que se ofrece al ciudadano
  •  Limitar las finalidades: lo que es perfectamente lícito para unos fines puede no serlo tanto o requerir un consentimiento aparte para otros (p.e. fines comerciales)
  •  Limitación del tiempo de conservación de los datos
  •  Regulación de los accesos y de las relaciones con terceros que acceden a datos.
  •  Analizar los riesgos y si es preciso (que en el caso de recogida de datos de salud o de tratamientos a gran escala) realizar una Evaluación de impacto en protección de datos y aplicar las medidas que hayan resultado de las mismas
  •  Establecer medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de la información.

Con respecto a las aplicaciones, por mucho que su instalación sea voluntaria, el tratamiento de los datos no está basado tanto en el consentimiento sino en el interés público y en el interés vital de las personas.

Datos personales y teletrabajo:

Sin ánimo de ser exhaustivos, la improvisación de medidas de teletrabajo puede poner en riesgo la seguridad de la información y por ello es fundamental establecer políticas de trabajo en remoto. Regular la forma de hacer las cosas, establecer procedimientos y políticas, se hace, ahora más que nunca, imprescindible. Un buen acercamiento a esta cuestión se puede obtener de las Guías 800 que el Centro Criptológico Nacional tiene publicadas y que están orientadas al cumplimiento del Esquema Nacional de Seguridad.

Normas claras para trabajar de forma segura tienen que llegar a todos los trabajadores que están confinados en sus casas. La formación online tampoco es descartable ahora que en muchos casos la actividad se ha reducido. No hay que bajar la guardia pues son muchos los posibles fraudes y posibles fugas de datos los que se están produciendo aprovechando esta situación.

Todas estas cuestiones han sido tratadas hoy de forma sucinta y hemos respondido a las dudas de los asistentes.

Pero a pesar de las dificultades de la situación, seguramente que de toda esta situación saldremos juntos y fortalecidos. El confinamiento, desde un punto de vista positivo, nos ha enseñado que otra forma de trabajar es posible.

Gracias a la Cámara de Comercio e Industria de Madrid por acogernos y permitirnos compartir nuestras experiencias.

Abril 2020

#Losdetallesimportan

Paz Martin

 

Canales de denuncias internas y denuncias anónimas en la nueva Ley Orgánica de Protección de Datos

En muchas empresas todavía choca la necesidad de contar con un canal de denuncias a través del cual los empleados, e incluso clientes y proveedores, puedan denunciar conductas contrarias a las leyes y a los códigos éticos.

La Ley Orgánica 3/2018 de 5 diciembre de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD) ha abordado específicamente este tema en lo que a los datos personales se refiere.

Estos canales de denuncias (pido perdón a aquellos que ya conozcan el porqué) son parte de los sistemas de cumplimiento normativo implantados a raíz de la modificación del Código Penal del 2015 (artículo 31 bis). En dicha modificación y con respecto a la posible responsabilidad penal de las personas jurídicas (sí las empresas también pueden ser responsables penalmente), sólo la implantación de un plan de prevención de riesgos penales y cumplimiento normativo  eficaz (modelos de organización y gestión según el texto del propio artículo) eximiría a la persona jurídica de la responsabilidad derivada de los delitos cometidos por sus trabajadores en su nombre. Esto es lo que se conoce como «compliance«.

Estos planes de prevención de riesgos penales (muy arraigados en el mundo anglosajón desde hace tiempo, pero muy recientes en nuestro sistema jurídico) incluyen canales de denuncias. Estos canales facilitan la puesta en conocimiento de la propia entidad si alguien comete un delito (u otra violación normativa o de código ético) con todas las garantías de confidencialidad y sin miedo a represalias.
Es decir, que si en mi empresa me entero que el Director Financiero está metiendo la mano en la “saca” pueda comunicarlo sin miedo al despido. ¿Fácil verdad?

Siendo como somos latinos y con una cultura del chivatazo vista como algo negativo, los canales de denuncias no suelen recibir muchas denuncias. Cuando se trata de cosas “graves” los empleados suelen temer por sus represalias y es comprensible que prime el interés personal en conservar el empleo o la tranquilidad por encima de convertirse en el “Quijote” de la entidad.

En la mayoría de las ocasiones, “radio macuto” funciona incluso mejor, especialmente si se trata de conductas en las que el denunciante sólo pone en conocimiento de la empresa la conducta ilícita y no es “víctima” directa de la misma. Si alguien se entera de que un delito, lo suelta en un círculo de confianza y tarde o temprano la información llega donde tiene que llegar… (esto es básicamente radio macuto que carece de garantías de cómo llegue la información. Es ilustrativo acordarse del juego del “teléfono escacharrado” donde desde la primera noticia a la última, cada “informante” suele poner algo de su cosecha. Como juego es desternillante, en el ámbito empresarial, es nefasto.)

Ya en su momento el Grupo de Trabajo del artículo 29 (hoy desaparecido y sustituidas sus funciones por el Comité Europeo de Protección de Datos) emitió un informe sobre este tema y en concreto insistía en la necesidad de garantizar la confidencialidad de los datos tanto de denunciante como de denunciado y de la propia investigación. Residualmente y como último recurso, se admitía la posibilidad de que la denuncia fuera anónima cuando fuera imposible garantizar dicha confidencialidad.

Pero dicho informe del Grupo de Trabajo del artículo 29 cuyo carácter no era vinculante por los estados miembros, encontró en la Agencia Española de Protección de Datos una objeción sobre el posible anonimato, considerándolo contrario a la propia normativa. Existe un informe específico del año 2007 que ilustra esta afirmación.

Ahora bien, puesto que las cosas han seguido evolucionando, el RGPD ha irrumpido en nuestras vidas con energía y más que nunca se han homogeneizado los criterios, en la nueva Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y de garantía de los derechos digitales ya se contempla expresamente la denuncia anónima. En particular en el artículo 24 que dice:

“será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

Con lo cual, la restricción del anonimato desaparece.

En la práctica y tal y como están configurados la mayoría de los canales (direcciones de email, plataformas externas, etc) es prácticamente imposible denunciar de forma anónima, pues el origen del email siempre podría averiguarse. No obstante, a veces es la única forma de tomar conocimiento de delitos graves de los que un trabajador es conocedor porque trabaja en esa área específica en la que el delito se ha cometido.

El artículo 24 citado también contiene otras novedades, entre otras la constatación a través de la Ley Orgánica de:

  • Su licitud.
  • Del carácter restringido de la información que obre en el canal de denuncias (limitado a la propia investigación y control interno).
  • La obligación de garantizar la confidencialidad de la identidad de denunciantes y también de denunciados (cuidado con las denuncias falsas que pueden arruinar la reputación de una persona o crear falsos bulos).
  • La conservación durante el tiempo imprescindible y en general tres meses desde que se denuncia salvo que dichos datos sean necesarios para evidenciar el buen funcionamiento del propio canal de denuncias.
  • La posible anonimización de las denuncias no tramitadas sin que sea necesario el previo “bloqueo” establecido en la LOPDGDD como paso previo a la destrucción de los datos.

De lo que se trata en definitiva es

a) Que el canal de denuncias garantice la confidencialidad y permita la denuncia anónima.
b) Que en el canal de denuncias no se conserven datos personales más tiempo del imprescindibles (tres meses).
c) Que los registros antiguos se pueden anonimizar.
d) Y si es necesario guardar los datos porque se ha puesto en marcha una investigación, no deberían conservarse en el propio canal sino en aquél entorno donde se esté llevando a cabo la investigación.

Y por supuesto, el canal de denuncias tendrá que estar recogido como «actividad de tratamiento» en el propio registro de actividades de tratamiento de la entidad.

El compromiso con el cumplimiento normativo es un paso más que las empresas han adoptado no sólo para «eximirse» o mitigar su responsabilidad frente a una posible sanción, sino dentro de un marco de ética y de responsabilidad social a través de los cuáles, entre todos, podemos construir una sociedad mejor.

Paz Martín

#losdetallesimportan

26 de abril de 2019

La nueva ley de secretos empresariales y la protección de datos ¿algo en común?

Hoy 21 de febrero se ha publicado la Ley 1/2019 de Secretos empresariales.

Esta Ley supone la trasposición de la Directiva (UE( 2016/943 relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales)contra su obtención, utilización y revelación ilicítas.

Una norma que nos hace falta y cubre un «hueco» hasta ahora regulado en acuerdos de confidencialidad y no mucho más. Cuando llegaba la hora de defender un «secreto empresarial» la vía era la competencia desleal y con dificultades.

La Ley, en sintonía con la Directiva, nos aclara conceptos:

Qué es un secreto empresarial:

Cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero.

Qué requisitos tiene que cumplir:

1.- Ser secreto. Parece obvio pero tiene que ser algo que no es conocido por todo el mundo ni fácilmente accesible.

2.- Tener un valor empresarial, precisamente por ser secreto.

3.- Haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Y he aquí en este tercer punto, las «medidas razonables» donde tenemos recorrido pues la ley nada dice al respecto.

En contenido de la ley desarrolla las acciones de defensa de los secretos empresariales: acciones, medidas cautelares, diligencias, cómo tratar la información en los procedimientos (lo cual no es baladí si tenemos en cuenta que en los propios procedimientos se podrían vulnerar los secretos), etc.

Sin embargo, ¿qué tendría que hacer un empresario para proteger sus secretos empresariales?

Es aquí enlazamos con nuestro tema favorito: la protección de datos.

¿Puede una base de datos personales ser un secreto empresarial? 

Que se lo pregunten a cualquier empresa. A veces el mayor valor de la empresa son sus clientes.

¿Y qué hay que hacer para considerarla secreto empresarial?

1.- Es realmente un secreto según la definición que nos da la ley?

2.- ¿tiene valor comercial?

3.- ¿Qué estamos haciendo para protegerla?

Porque si cualquiera puede acceder, copiar, extraer. Si a nadie se le ha dicho que eso es secreto, si ese conjunto de datos carece de valor etc… difícilmente podremos invocar la nueva Ley y sus acciones.

¿Y qué tiene que hacer un empresario para proteger sus secretos? ¿Cuáles son esas medidas razonables para mantener el secreto?

El Reglamento UE 2016/679 General de Protección de Datos (nuestro querido RGPD o GDPR) nos sirve de referencia así como los esquemas de seguridad de la información ya existentes.

Apuntamos algunas ideas:

  • Clasificación de la información
  • Accesos restringidos: físicos y lógicos
  • Políticas de gestión de soportes y traslado de información
  • Políticas de uso de herramientas informáticas (ojo, y de papel y otros soportes)
  • Ciberseguridad: dónde está la información, cómo está protegida, si está cifrada, qué proveedores acceden a ella, dónde están esos proveedores…
  • Acuerdos de confidencialidad donde expresamente se objetive la información protegida
  • Políticas de copias de seguridad
  • Políticas de transmisión de la información a través de redes de telecomunicaciones: establecer restricciones al envío por correo electrónico de ciertas informaciones
  • Formación del personal
  • Revisiones periódicas, controles y auditorías
  • Y en definitiva… un largo etcétera que forma parte de un plan director de seguridad de la información que toda empresa (pequeña o grande) debería tener para proteger esa información y que lo forman ese conjunto de procedimientos, medidas y controles.

Está todo inventado. Si queremos proteger la información crítica de nuestros negocios y considerarla «secreto empresarial» no podemos conformarnos con decir simplemente «esto es secreto». Debemos trabajar en su protección y herramientas existen para que sea eficaz.

¿Podemos ayudarte?

21 de febrero de 2019

Paz Martin

#losdetallesimportan

 

 

 

10 cosas que tienes que saber de la nueva Ley Orgánica de Protección de Datos y de garantía de los derechos digitales

El 7 de diciembre de 2018 ha entrado en vigor la esperada nueva Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales.

En una primera lectura (cuyo contenido ya conocíamos en parte por los proyectos que hemos ido manejando) sobra una buena parte de la ley al remitir en muchos artículos a lo que dice el Reglamento (UE) 2016/679 General de Protección de Datos si bien en la exposición de motivos, se justifica por razones de coherencia.

Como sabemos el RGPD es directamente aplicable y sólo en aquellos puntos que remite al desarrollo de los estados miembros es en lo que se tenía que haber metido la Ley. No obstante, al ser redundante en muchos puntos, no molesta. Peor sería que contradijese el RGPD.

Sin ánimo de ser exhaustivos y en una primera lectura destacamos algunos puntos importantes (ojo que no están todos). En futuros posts desarrollaremos algunos artículos que consideramos lo suficientemente relevantes como para dedicarles un capítulo aparte.

Aquí nuestro decálogo:

1.- No sólo regula el derecho a la privacidad

Una de las cuestiones que más llama la atención es que además de regular el derecho fundamental a la protección de datos, se dedica un capítulo entero a los llamados derechos digitales, algo completamente novedoso y que desde luego darán que hablar en su aplicación práctica.

No obstante, esta Ley tiene una función fundamental: adaptar el ordenamiento jurídico patrio al RGPD. La mayor parte de los artículos y las disposiciones adiciones tienen este cometido.

2.- El tratamiento de datos de los menores de edad

Aquí uno de los puntos en los que el RGPD deja plena libertad a los estados miembros para que entre los 13 y los 16 años fijen la edad a partir de la cual los menores pueden dar su consentimiento sin la intervención de sus padres o tutores.

La edad fijada es de 14 años: nos quedamos como estábamos (y en el fondo lo agradecemos especialmente tras las tentativas de bajarlo a 13 en las redacciones iniciales).

3.- El tratamiento de los datos de contacto, empresarios individuales y profesionales liberales

A este tema dedicamos un post anterior. Que sí. Que sí se pueden utilizar estos datos con base al interés legítimo del responsable pero sólo para contactar con estos destinatarios como contactos de una persona jurídica o en su calidad de profesionales.

Este artículo aclara el RGPD en este punto que para el día a día de las empresas es vital. Ojo, que una cosa es el tratamiento de datos y otra es la publicidad comercial por medios electrónicos… (aquí entra en juego la LSSI. No mezclemos).

4.- Sistemas de información de denuncias internas

Otro punto interesante por cuanto tras la reforma del Código Penal en el año 2015 se “bendicen” los sistemas de prevención de riesgos penales (“compliance” para los amigos) que incluyen canales para comunicar infracciones y otras conductas. Hasta la fecha (aunque se había hecho la vista gorda) en España no se admitían las denuncias anónimas en dichos canales de denuncia internos, criterio de nuestra Agencia Española de Protección de Datos que contradecía lo que el entonces Grupo de Trabajo del Artículo 29 admitía en supuestos excepcionales en los que no se pudiera garantizar la confidencialidad.

Al tratarse de tratamientos de datos específicos, el artículo 24 los regula.

Ojo, que además establece un plazo de conservación de TRES MESES tras los cuales deben suprimirse salvo que la finalidad sea dejar evidencia del funcionamiento del modelo de prevención de riesgos penales. En tal caso, las denuncias a las que no se haya dado curso deberán ser anonimizadas.

5.- Otros tratamientos

Se dedican artículos específicos a los sistemas de información crediticia, los tratamientos relacionados con la realización de determinadas operaciones mercantiles, tratamientos con fines de videovigilancia, sistemas de exclusión publicitaria, tratamientos de datos en el ámbito de la función estadística pública, tratamiento de datos con fines de archivo en interés público por parte de las administraciones públicas y los tratamientos de datos relativos a infracciones y sanciones administrativas.

Iremos desarrollando estos tratamientos por las peculiaridades que presentan.

6.- El Delegado de protección de datos

El Delegado de Protección de Datos (DPD o DPO), figura creada por el Reglamento General de Protección de Datos encuentra en esta Ley algunas respuestas:

– En qué casos concretos es obligatorio designar un DPO (por ejemplo colegios profesionales, los centros docentes, entidades aseguradoras y reaseguradoras, y un largo etc que desarrolla el artículo 34.

– Si no se está obligado pero se designa se considerará como una buena práctica y en caso de procedimiento sancionador, será tenido en cuenta para minorar en su caso la posible sanción.

– Se matizan algunas funciones del Delegado de Protección de Datos como la facultad de inspeccionar los procedimientos relacionados con la ley y emitir, recomendaciones, servir de paso previo a la reclamación ante la Agencia Española de Protección de Datos y por supuesto servir de interlocutor con la Agencia.

7.- La obligación de bloqueo

Una novedad de esta Ley Orgánica y que no contempla el RGPD es la de bloquear los datos cuando se proceda a su rectificación o supresión. El bloqueo consiste en identificar los datos, reservar los mismos con las medidas de seguridad correspondientes para impedir su tratamiento (incluyendo la visualización) excepto para ponerlos a disposición de las Administraciones Públicas, jueces y tribunales etc y sólo durante el plazo de prescripción de las obligaciones.

Con lo cual, aunque se solicite la rectificación o la supresión de los datos, no podremos eliminarlos directamente hasta que prescriba el plazo de prescripción para cumplir con las obligaciones legales. Esos datos no se podrán utilizar por nadie.

8.- Las infracciones

Por fin tenemos un catálogo de infracciones que nos dan pistas de los incumplimientos sancionables. La lista es larga y bastante exhaustiva.

Por decirlo de una forma directa, todo lo que no se cumpla o haga bien es sancionable. Si hacemos una lectura al revés de las infracciones nos sale un catálogo de obligaciones (incluso, por qué no, un check list) que se parece bastante al listado de cumplimiento normativo publicado por la Agencia Española de Protección de Datos hace unos meses.

Las infracciones se clasifican en muy graves, graves y leves.

También se establecen unos plazos de prescripción que curiosamente se supeditan a cuantías lo cual no significa que esas cantidades se vinculen a la gravedad.

9.- Los derechos digitales

Aunque sin categoría de derechos fundamentales, el legislador ha aprovechado la coyuntura para definir los nuevos derechos de las personas en su relación con los entornos digitales: derechos como el de la desconexión, el límite en los entornos laborales, de videovigilancia, en la geolocalización, derechos de los menores, etc.

Lo verdaderamente interesante de estos derechos será cómo van a encontrar su aplicación práctica y cómo los ciudadanos podremos hacerlos valer y cumplir.

10.- Modificación de algunas normas

La nueva LOPD modifica diferentes normas que regulan tratamientos de datos específicos y que hacían referencia a la antigua LOPD (la LO 15/1999):

  • Ley Orgánica 5/1985, de 19 de junio del Régimen Electoral General
  • Ley Orgánica 1/1985, de 1 de julio de, del Poder Judicial
  • Ley 14/1986, de 25 de abril, General de Sanidad
  • Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa
  • Ley 1/2000, de 7 de enero de Enjuiciamiento civil
  • Ley Orgánica 6/2001, de 21 de diciembre de Universidades
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
  • Ley Orgánica 2/2006, de 3 de mayo de Educación
  • Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno
  • Ley 39/2015, de 1 de octubre del Procedimiento Administrativo Común de las Administraciones Públicas
  • Estatuto de los Trabajadores aprobado por Real Decreto Legislativo 2/2015 de 23 de octubre
  • Estatuto Básico del Empleado Público aprobado por Real Decreto Legislativo 5/2015 de 30 de octubre

Este es nuestro modesto resumen en el que nos hemos dejado aspectos polémicos sobre el posible uso que los partidos políticos pueden hacer de los datos u otros interesantes como el uso de los datos con fines de investigación.

De ellos hablaremos en futuros artículos.

En estas fechas, además de los dulces navideños, que no se nos atragante la nueva legislación.

18 de diciembre de 2018

Paz Martín

#losdetallesimportan

Se publica la nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales

Hoy 6 de diciembre, día en que se celebra el 40 Aniversario de la Constitución, tenemos el placer de anunciar la publicación en el BOE de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

La esperada nueva LOPD desarrolla aquellos aspectos del Reglamento General de Protección de Datos que entró en funcionamiento el pasado 25 de mayo e incorpora además nuevos derechos en el entorno digital.

6 de diciembre de 2018