Pincha aquí para descargar el pdf
LEY ORGÁNICA DE PROTECCIÓN DE DATOS Y GARANTÍA DE LOS DERECHOS DIGITALES
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPDGDD) ha sido publicada en el BOE de 6 de diciembre de 2018 y ha entrado en vigor el 7 de diciembre. La reciente normativa viene a reafirmar y cumplimentar diversas cuestiones en relación con el Reglamento General de Protección de Datos (RGPD) 2016/679 de la UE, además de regular nuevos contenidos.
De entre las novedades que introduce la LOPDGDD han de destacarse las siguientes:
I. EL DELEGADO DE PROTECCIÓN DE DATOS.
Esta normativa viene a desarrollar los supuestos en que es necesaria la designación de un Delegado de Protección de Datos; entre ellos:
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación.
- Las Universidades públicas y privadas.
- Establecimientos financieros de crédito, empresas de servicios de inversión reguladas por la legislación del Mercado de Valores.
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas.
- Entidades que desarrollen actividades de publicidad y prospección comercial.
No se trata de una enunciación cerrada, sino que estos son solo algunos de los casos en los cuales se establece la obligación de designación de un DPO. Con ello la LOPDGDD viene a resolver las dudas que se crearon en su momento con el RGPD en cuanto a que no quedaba claro qué entidades tenían dicha obligatoriedad.
II. TRATAMIENTO DE LOS DATOS PERSONALES DE UN MENOR.
El RGPD dejó a elección de cada legislación nacional la edad en la que el menor puede prestar su consentimiento, debiendo no ser mayor de dieciséis años ni menor de trece.
La nueva LOPDGDD establece que este tratamiento de los datos de un menor únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.
III. EL BLOQUEO DE LOS DATOS.
El Responsable del Tratamiento tiene la obligación de bloquear los datos cuando proceda la rectificación o supresión de estos. El Bloqueo de los datos es la identificación y reserva de los mismos adoptando medidas técnicas y organizativas para impedir su tratamiento; los datos no podrán ser tratados para ninguna finalidad distinta.
Cuando no fuera posible el bloqueo de los datos se deberá realizar una copia de seguridad en la que quede evidencia demostrable de la fecha del bloqueo, la inexistencia de manipulación posterior de los datos y la veracidad de la citada copia.
IV. DEBER DE INFORMACIÓN.
La LOPDGDD permite dar cumplimiento al deber de información mediante el mecanismo de doble capa y minimiza el contenido de la información en una primera capa donde se ofrecerá información relevante de manera reducida y visual, y una segunda capa donde se desarrollará dicha información de manera más extensa y específica.
Asimismo regula el consentimiento en el tratamiento de categorías especiales de datos, de forma que, con carácter general y salvo las excepciones previstas legalmente, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, orientación sexual, creencias u origen racial o étnico.
V. CONTRATOS CON ENCARGADOS DEL TRATAMIENTO.
Los contratos de encargado del tratamiento suscritos con anterioridad a la aplicación del RGPD extienden su vigencia hasta su fecha de vencimiento o, en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
VI. LA VIDEOVIGILANCIA.
La videovigilancia ha pasado a tener más alcance de protección, ya que anteriormente solo se podían enfocar las cámaras de videovigilancia dentro de las instalaciones de la empresa. El espíritu continúa siendo el mismo que el de la anterior ley, dado que la finalidad es la de preservar la seguridad de las personas y bienes, así como de sus instalaciones; lo distintivo es que ahora será posible la captación de video fuera de las instalaciones siempre y cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte.
El plazo máximo para la supresión de los datos es el de un mes, con excepción de las situaciones en que estos datos deben ser conservados para acreditar actos que hiriesen la integridad de los bienes o personas de la empresa.
VII. GARANTÍA DE LOS DERECHOS DIGITALES.
Sin lugar a dudas, una de las grandes novedades de la LOPDGDD, que a su vez ha sido y será objeto de debate, es el Título X referido a la garantía de los derechos digitales, entre los que destacan la desconexión digital en el ámbito laboral, el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, y el derecho al testamento digital.
En este mismo título se otorga a los herederos acreditados de un fallecido la capacidad de solicitar al responsable o encargado del tratamiento el acceso, rectificación o supresión de los datos del fallecido, salvo que éste lo hubiera prohibido expresamente antes de morir o que una Ley establezca lo contrario.
En caso de fallecimiento de un menor será el Ministerio Fiscal o sus representantes quienes ostenten este poder.
En el mundo de información y facilitación de datos en el que vivimos, esta regulación supone un gran avance, al posibilitar a los herederos el control que responsables y encargados realicen sobre los datos del fallecido.
VIII. DATOS DE CARÁCTER RELEVANTE.
El interés legítimo es una figura implantada por el RGPD y que ha suscitado gran confusión y duda a la hora de utilizarlo como base jurídica del tratamiento para los diferentes responsables y encargados del tratamiento, que, expectantes, esperaban la redacción de la Ley Orgánica, pensando que ésta iba a establecer una serie de criterios y medidas que aclarasen la forma y el modo en el cual se puede utilizar esta base de legitimación regulada en el artículo 6 del RGPD. Sin embargo, la nueva normativa no ha despejado ninguna duda al respecto.
Por lo tanto, se puede concluir que, la LOPDGDD se ha limitado a seguir el guión del RGPD, dejando de lado temas tan importantes como la concreción del modo de usar el «interés legítimo», que tantas dudas está suscitando la entrada en vigor del RGPD, o la inclusión de un régimen sancionador más preciso.
IX. PROCEDIMIENTO SANCIONADOR.
Están sujetos al régimen sancionado establecido en el RGPD y en la LOPDGDD:
- Los responsables de los tratamientos.
- Los encargados de los tratamientos.
- Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
- Las entidades de certificación.
- Las entidades acreditadas de supervisión de los códigos de conducta.
La LOPDGDD da libertad a los organismos correspondientes para que desarrollen una investigación sobre una posible infracción en materia de protección de datos, pudiendo requerir documentación y datos necesarios, además de examinarlos.
Para acceder a un domicilio del inspeccionado, protegido constitucionalmente, el investigador deberá estar en posesión de autorización judicial o haber sido autorizado por el inspeccionado.
Las sanciones impuestas en aplicación del RGPD y de la LOPDGDD prescriben en los siguientes plazos:
a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.
b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.
c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.
X. LOS PARTIDOS POLÍTICOS EN LA LOPDGDD.
La nueva LOPDGDD otorga legitimación a los partidos políticos, coaliciones y agrupaciones electorales para poder recopilar datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales amparadas en el INTERÉS PÚBLICO. En consecuencia, los partidos políticos podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
En este punto, bajo nuestro parecer podría existir una vulneración de los principios establecidos por el RGPD. Si bien es cierto que la AEPD ha hecho público un informe en el que afirma que se velará por los derechos de los usuarios, nos atrevemos a adelantar que este favorecimiento a los partidos políticos podría tener el carácter de inconstitucional.
XI. CONCLUSIÓN.
La reciente LOPDGDD es una ley esperada y necesaria que desarrolla aspectos muy importantes como la figura del Delegado de Protección de Datos, el procedimiento sancionados y los derechos digitales. Sin embargo, hay dudas que no han sido despejadas completamente y que mantienen, o aumentan, la inseguridad en algunos artículos introducidos por el RGPD. Aún así, bienvenida sea esta nueva normativa.
FIN DEL DOCUMENTO ALEDIA ABOGADOS El presente boletín divulgativo contiene información de carácter general, sin que constituya opinión profesional ni asesoramiento jurídico, y se emite bajo la condición de mejor criterio o parecer fundado en Derecho.