Ley Orgánica 3/2018 de 5 de diciembre

Ley Orgánica 3/2018

Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

Tras haber transcurrido seis meses desde que comenzó a aplicarse el Reglamento General de Protección de Datos (RGPD), el pasado jueves 6 de diciembre; se publicó en el BOE la Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales. Por lo tanto, la Ley está en vigor desde el día 7 de diciembre.

A pesar de que el RGPD es de aplicación directa, en el mismo, se prevén múltiples remisiones a la normativa estatal siendo muchas las cuestiones en las que el legislador nacional tiene que intervenir; motivo por el que se reputaba necesario disponer de una nueva LOPD. La nueva Ley deroga la LOPD 15/1999. Asimismo, cabe poner de manifiesto que con la entrada en vigor de la Ley; se deroga también el Real Decreto –Ley 5/2018, de 27 de julio.

Protección de datos personales y garantía de derechos digitales.

El objeto de la presente publicación es exponer sucintamente los aspectos más relevantes de la citada normativa, a saber:

  • Incluye un catálogo completo de entidades que deberán nombrar, obligatoriamente, un delegado de protección de datos, además, impone la obligación de notificar el nombramiento a la Agencia Española de Protección de Datos, en el plazo máximo de diez días.

El delegado de protección de datos, es un compliance officer en materia de protección de datos. Es preciso destacar que la normativa regula su estatuto jurídico, estableciendo, entre otros particulares, que la persona que vaya a desarrollar esta función; requiere conocimientos especializados en derecho y también práctica en materia de protección de datos.

RGPD.

  • Haciendo uso del margen concedido por el RGPD, sitúa la edad mínima para el consentimiento de los menores de edad en los 14 años, alejándose de la primera redacción del proyecto que situaba la edad en los 13 años y manteniendo la establecida con el Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la anterior Ley Orgánica de Protección de Datos.
  • Prevé el sistema de información por capas, simplificándose así el modo de cumplir con la obligación de información. En este sentido, se permite facilitar información básica en una primera capa y pone a disposición del interesado otro medio como una dirección de correo electrónico o a través de la política de privacidad de la web de modo que pueda acceder al resto de información.
  • Reconoce y garantiza un nuevo catálogo de derechos digitales, entre otros, cabe destacar los siguientes: (i) la neutralidad de internet; (ii) el acceso universal a internet; (iii) la seguridad digital; (iii) la educación digital; (iv) la protección de los menores en internet; (v) la rectificación o actualización de la información en internet; (vi) el derecho al olvido en los buscadores y en redes sociales; (vii) la regulación del derecho al testamento digital.
  • En cuanto al ejercicio de derechos, la Ley se remite al RGPD por lo que confiere a los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, estableciéndose, asimismo, algunas precisiones:
    • Derecho de acceso:

      • (i) Cuando el responsable trate una gran cantidad de datos relativos al afectado; y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.
      • (ii) El derecho de acceso se entenderá otorgado; si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que este podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho.
      • (iii) A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679, se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
      • (iv) Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas.
    • Derecho de rectificación:

      • (i) Al ejercer el derecho de rectificación reconocido en el artículo 16 del Reglamento (UE) 2016/679, el afectado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.
  • Refuerza la privacidad del empleado, y por lo tanto su derecho a la desconexión digital y a la intimidad frente al uso de dispositivos digitales, la videovigilancia y la geolocalización en el ámbito laboral, permitiendo que los convenios colectivos garanticen una mayor protección.
  • Hasta la fecha, a tenor del Informe 0128/2007 de la Agencia Española de Protección de Datos (AEPD); se fundamentaba que los canales de denuncia debían ser confidenciales. Ahora bien, con la publicación en el BOE de esta norma, se regulan los sistemas de información de denuncias internas o lo que comúnmente viene a denominarse; “canal interno de denuncias”. Se establece que será lícita la creación y mantenimiento de sistemas de información, a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Por consiguiente, los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.

Cumplimiento de lo dispuesto en el RGPD.

  • En aras al cumplimiento de lo dispuesto en el RGPD sobre las categorías especiales de datos, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos; cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
  • Se especifican los supuestos en los que se permite el tratamiento de datos de naturaleza penal.
  • Se regula el método de doble capa y el contenido mínimo de la información básica; para cumplir con el deber de información a los interesados sobre el tratamiento de sus datos personales.
  • También se regula el denominado “bloqueo de los datos”, cuando se proceda a la rectificación o supresión de los datos personales.
  • Se recogen «Disposiciones aplicables a tratamientos concretos»; incorporando una serie de supuestos que en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos. Dentro de ellos cabe apreciar, en primer lugar, aquellos respecto de los que el legislador establece una presunción iuris tantum; de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos.
  • A modo de ejemplo, procede traer a colación:

    • El tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales. Salvo prueba en contrario; se presumirá amparado en el interés legítimo del responsable, el tratamiento de los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado de las personas físicas, que presten servicios en una persona jurídica, siempre que se cumplan los siguientes requisitos:
      • a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional; y
      • b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole; con la persona jurídica en la que el afectado preste sus servicios.
    • Tratamientos relacionados con la realización de determinadas operaciones mercantiles. Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo; que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades, o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.

Supresión de datos.

En el caso de que la operación no llegara a concluirse; la entidad cesionaria deberá proceder, con carácter inmediato, a la supresión de los datos. Sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.

En todo caso, el hecho de que el legislador se refiera a la licitud de los tratamientos; no enerva la obligación de los responsables de adoptar todas las medidas de responsabilidad proactiva establecidas en el RGPD, así como en el texto objeto de análisis.

  • Especifica la forma de iniciar el procedimiento sancionador y su duración; diferenciando los supuestos de (i) falta de atención de una solicitud de ejercicio de derechos; (ii) determinación de la existencia de una posible infracción; y (iii) tramitación del procedimiento como consecuencia de la comunicación de la reclamación presentada ante otra autoridad nacional de control.
  • Introduce un catálogo abierto de infracciones que se clasifican en tres categorías: leves, graves y muy graves.

Finalmente, para cualquier duda o consulta; contacte con el DEPARTAMENTO TIC de TARINAS VILADRICH