La nueva LOPDGDD, en vigor desde el pasado 6 de diciembre de 2018, consta de noventa y siete artículos estructurados en diez títulos, de los que debemos destacar:
- El Título I, relativo a las disposiciones generales
Regula el objeto de la ley orgánica, que no son otros que:
- lograr la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento general de protección de datos, y completar sus disposiciones.
- establecer que el derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
- garantizar los derechos digitales de la ciudadanía, al amparo de lo dispuesto en el artículo 18.4 de la Constitución.
En este título destaca la novedosa regulación de los datos referidos a las personas fallecidas,
pues, tras excluir del ámbito de aplicación de la ley su tratamiento,
se permite que las personas vinculadas al fallecido por razones
familiares o de hecho o sus herederos puedan solicitar el acceso a los
mismos, así como su rectificación o supresión, en su caso con sujeción a
las instrucciones del fallecido. También excluye del ámbito de
aplicación los tratamientos que se rijan por disposiciones específicas,
en referencia, entre otras, a la normativa que transponga la citada
Directiva (UE) 2016/680, previéndose en la disposición transitoria
cuarta la aplicación a estos tratamientos de la Ley Orgánica 15/1999, de 13 de diciembre, hasta que se apruebe la citada normativa.
- El Título II, «Principios de protección de datos»
Se establece que a efectos del Reglamento (UE) 2016/679 no serán imputables al responsable del tratamiento,
siempre que este haya adoptado todas las medidas razonables para que se
supriman o rectifiquen sin dilación, la inexactitud de los datos
obtenidos directamente del afectado, cuando hubiera recibido los datos
de otro responsable en virtud del ejercicio por el afectado del derecho a
la portabilidad, o cuando el responsable los obtuviese del mediador o
intermediario cuando las normas aplicables al sector de actividad al que
pertenezca el responsable del tratamiento establezcan la posibilidad de
intervención de un intermediario o mediador o cuando los datos hubiesen
sido obtenidos de un registro público.
Igualmente se recoge expresamente el deber de confidencialidad,
el tratamiento de datos amparado por la ley, las categorías especiales
de datos y el tratamiento de datos de naturaleza penal, se alude
específicamente al consentimiento, que ha de proceder de una declaración
o de una clara acción afirmativa del afectado, excluyendo lo que se
conocía como «consentimiento tácito», se indica que el consentimiento
del afectado para una pluralidad de finalidades será preciso que conste
de manera específica e inequívoca que se otorga para todas ellas, y se
mantiene en catorce años la edad a partir de la cual el menor puede
prestar su consentimiento.
Se regulan asimismo las posibles habilitaciones legales para el tratamiento fundadas en el cumplimiento de una obligación legal exigible al responsable,
en los términos previstos en el Reglamento (UE) 2016/679, cuando así lo
prevea una norma de Derecho de la Unión Europea o una ley, que podrá
determinar las condiciones generales del tratamiento y los tipos de
datos objeto del mismo así como las cesiones que procedan como
consecuencia del cumplimiento de la obligación legal.
Se podrán igualmente imponer condiciones especiales al tratamiento,
tales como la adopción de medidas adicionales de seguridad u otras,
cuando ello derive del ejercicio de potestades públicas o del
cumplimiento de una obligación legal y solo podrá considerarse fundado
en el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable, en los términos
previstos en el reglamento europeo, cuando derive de una competencia
atribuida por la ley. Y se mantiene la prohibición de consentir
tratamientos con la finalidad principal de almacenar información
identificativa de determinadas categorías de datos especialmente
protegidos, lo que no impide que los mismos puedan ser objeto de
tratamiento en los demás supuestos previstos en el Reglamento (UE)
2016/679.
- El Título III, dedicado a los derechos de las personas
Adapta
al Derecho español el principio de transparencia en el tratamiento del
reglamento europeo, que regula el derecho de los afectados a ser
informados acerca del tratamiento y recoge la denominada «información
por capas» ya generalmente aceptada en ámbitos como el de la
videovigilancia o la instalación de dispositivos de almacenamiento
masivo de datos (tales como las «cookies»), facilitando al afectado la
información básica, si bien, indicándole una dirección electrónica u
otro medio que permita acceder de forma sencilla e inmediata a la
restante información.
Se
hace uso en este Título de la habilitación permitida por el
considerando 8 del Reglamento (UE) 2016/679 para complementar su
régimen, garantizando la adecuada estructura sistemática del texto. A
continuación, la ley orgánica contempla los derechos de acceso,
rectificación, supresión, oposición, derecho a la limitación del
tratamiento y derecho a la portabilidad.
- En el Título IV se recogen «Disposiciones aplicables a tratamientos concretos»
Incorporando
una serie de supuestos que en ningún caso debe considerarse exhaustiva
de todos los tratamientos lícitos. Dentro de ellos cabe apreciar, en
primer lugar, aquellos respecto de los que el legislador
establece una presunción «iuris tantum» de prevalencia del interés
legítimo del responsable cuando se lleven a cabo con una serie de
requisitos, lo que no excluye la licitud de este tipo de
tratamientos cuando no se cumplen estrictamente las condiciones
previstas en el texto, si bien en este caso el responsable deberá llevar
a cabo la ponderación legalmente exigible, al no presumirse la
prevalencia de su interés legítimo. Junto a estos supuestos se recogen
otros, tales como la videovigilancia, los ficheros de exclusión
publicitaria o los sistemas de denuncias internas en que la licitud del
tratamiento proviene de la existencia de un interés público, en los
términos establecidos en el artículo 6.1.e) del Reglamento (UE)
2016/679. Finalmente, se hace referencia en este Título a la licitud de
otros tratamientos regulados en el Capítulo IX del reglamento, como los
relacionados con la función estadística o con fines de archivo de
interés general. En todo caso, el hecho de que el legislador se refiera a
la licitud de los tratamientos no enerva la obligación de los
responsables de adoptar todas las medidas de responsabilidad activa
establecidas en el Capítulo IV del reglamento europeo y en el Título V
de esta ley orgánica.
- El Título V se refiere al responsable y al encargado del tratamiento
Con el fin de aclarar novedades establecidas por el Reglamento (UE) 2016/679,
la ley orgánica mantiene la misma denominación del Capítulo IV del
Reglamento, dividiendo el articulado en cuatro capítulos dedicados,
respectivamente, a las medidas generales de responsabilidad activa, al
régimen del encargado del tratamiento, a la figura del delegado de
protección de datos y a los mecanismos de autorregulación y
certificación.
La figura del delegado de protección de datos
adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así
lo recoge la ley orgánica, que parte del principio de que puede tener
un carácter obligatorio o voluntario, estar o no integrado en la
organización del responsable o encargado y ser tanto una persona física
como una persona jurídica.
- La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente.
- La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona.
- Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. Asimismo, no podrá ser removido, salvo en los supuestos de dolo o negligencia grave.
- El delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.
- El Título VI, relativo a las transferencias internacionales de datos
Procede a la adaptación de lo previsto en el Reglamento (UE) 2016/679 y se refiere a las especialidades relacionadas con los procedimientos
a través de los cuales las autoridades de protección de datos pueden
aprobar modelos contractuales o normas corporativas vinculantes,
supuestos de autorización de una determinada transferencia, o
información previa.
- El Título VII se dedica a las autoridades de protección de datos
Se
regula el régimen de la Agencia Española de Protección de Datos y
refleja la existencia de las autoridades autonómicas de protección de
datos y la necesaria cooperación entre las autoridades de control. La
Agencia Española de Protección de Datos se configura como una autoridad
administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia.
- El Título VIII regula el «Procedimientos en caso de posible vulneración de la normativa de protección de datos».
El
Reglamento (UE) 2016/679 establece un sistema novedoso y complejo,
evolucionando hacia un modelo de «ventanilla única» en el que existe una
autoridad de control principal y otras autoridades interesadas. También
se establece un procedimiento de cooperación entre autoridades de los
Estados miembros y, en caso de discrepancia, se prevé la decisión
vinculante del Comité Europeo de Protección de Datos. En consecuencia,
con carácter previo a la tramitación de cualquier procedimiento, será
preciso determinar si el tratamiento tiene o no carácter transfronterizo y, en caso de tenerlo, qué autoridad de protección de datos ha de considerarse principal.
La regulación se limita a delimitar el régimen jurídico; la iniciación de los procedimientos,
siendo posible que la Agencia Española de Protección de Datos remita la
reclamación al delegado de protección de datos o a los órganos o
entidades que tengan a su cargo la resolución extrajudicial de
conflictos conforme a lo establecido en un código de conducta; la
inadmisión de las reclamaciones; las actuaciones previas de
investigación; las medidas provisionales, entre las que destaca la orden
de bloqueo de los datos; y el plazo de tramitación de los
procedimientos y, en su caso, su suspensión. Las especialidades del
procedimiento se remiten al desarrollo reglamentario.
- El Título IX, que contempla el régimen sancionador:
La ley orgánica procede a describir las conductas típicas,
estableciendo la distinción entre infracciones muy graves, graves y
leves, tomando en consideración la diferenciación que el Reglamento
general de protección de datos establece al fijar la cuantía de las
sanciones. La categorización de las infracciones se introduce a los
solos efectos de determinar los plazos de prescripción, teniendo la
descripción de las conductas típicas como único objeto la enumeración de
manera ejemplificativa de algunos de los actos sancionables que deben
entenderse incluidos dentro de los tipos generales establecidos en la
norma europea. La ley orgánica regula los supuestos de interrupción de
la prescripción partiendo de la exigencia constitucional del
conocimiento de los hechos que se imputan a la persona, pero teniendo en
cuenta la problemática derivada de los procedimientos establecidos en
el reglamento europeo, en función de si el procedimiento se tramita
exclusivamente por la Agencia Española de Protección de Datos o si se
acude al procedimiento coordinado del artículo 60 del Reglamento general
de protección de datos.
- El Título X de esta ley acomete la tarea de reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución.
Se
regulan los derechos y libertades predicables al entorno de Internet
como la neutralidad de la Red y el acceso universal o los derechos a la
seguridad y educación digital así como los derechos al olvido, a la
portabilidad y al testamento digital.
En este título ocupa un lugar relevante el derecho a la derecho a la desconexión digital en el ámbito laboral (Consultar: Derecho a la desconexión digital fuera del ámbito laboral ¿Qué es y cómo la regula la nueva LOPDGDD?).
Novedades más destacas
- I.- Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (D.F. 3ª, LOPDGDD)
Como novedad más destacada y polémica de este nuevo texto está en la modificación de la Ley del Régimen Electoral, añadiendo un nuevo artículo sobre utilización de medios tecnológicos y datos personales en las actividades electorales.
«1. La recopilación de datos personales relativos a las opiniones políticas de
las personas que lleven a cabo los partidos políticos en el marco de
sus actividades electorales se encontrará amparada en el interés público
únicamente cuando se ofrezcan garantías adecuadas.
2. Los partidos
políticos, coaliciones y agrupaciones electorales podrán utilizar datos
personales obtenidos en páginas web y otras fuentes de acceso público
para la realización de actividades políticas durante el periodo
electoral.
3. El envío
de propaganda electoral por medios electrónicos o sistemas de
mensajería y la contratación de propaganda electoral en redes sociales o
medios equivalentes no tendrán la consideración de actividad o
comunicación comercial.
4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»
- II.- Régimen sancionador
Como hemos adelantado, la
ley orgánica procede a describir las conductas típicas, La ley
orgánica regula los supuestos de interrupción de la prescripción
partiendo de la exigencia constitucional del conocimiento de los hechos
que se imputan a la persona, pero teniendo en cuenta la problemática
derivada de los procedimientos establecidos en el reglamento europeo, en
función de si el procedimiento se tramita exclusivamente por la Agencia
Española de Protección de Datos o si se acude al procedimiento
coordinado del artículo 60 del Reglamento general de protección de
datos.
En este sentido:
- Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento (Artículo 77 LOPDGDD).
- III.- Derecho a la desconexión digital en el ámbito laboral (Artículo 88, LOPDGDD)
Se fija el derecho de los trabajadores a la desconexión digital en el ámbito laboral, en los siguientes términos:
«1.
Los trabajadores y los empleados públicos tendrán derecho a la
desconexión digital a fin de garantizar, fuera del tiempo de trabajo
legal o convencionalmente establecido, el respeto de su tiempo de
descanso, permisos y vacaciones, así como de su intimidad personal y
familiar.
2. Las modalidades
de ejercicio de este derecho atenderán a la naturaleza y objeto de la
relación laboral, potenciarán el derecho a la conciliación de la
actividad laboral y la vida personal y familiar y se sujetarán a lo
establecido en la negociación colectiva o, en su defecto, a lo acordado
entre la empresa y los representantes de los trabajadores.
3.
El empleador, previa audiencia de los representantes de los
trabajadores, elaborará una política interna dirigida a trabajadores,
incluidos los que ocupen puestos directivos, en la que definirán las
modalidades de ejercicio del derecho a la desconexión y las acciones de
formación y de sensibilización del personal sobre un uso razonable de
las herramientas tecnológicas que evite el riesgo de fatiga informática.
En particular, se preservará el derecho a la desconexión digital en los
supuestos de realización total o parcial del trabajo a distancia así
como en el domicilio del empleado vinculado al uso con fines laborales
de herramientas tecnológicas.»
Dentro del contexto de la desconexión digital el nuevo LOPDGDD añade al Estatuto de los Trabajadores:
→ nuevo artículo 20 bis al texto Refundido de la Ley del Estatuto de los Trabajadores.
«Artículo 20 bis. Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión.
Los
trabajadores tienen derecho a la intimidad en el uso de los
dispositivos digitales puestos a su disposición por el empleador, a la
desconexión digital y a la intimidad frente al uso de dispositivos de
videovigilancia y geolocalización en los términos establecidos en la
legislación vigente en materia de protección de datos personales y
garantía de los derechos digitales.»
→ nueva letra j) bis en el artículo 14 del Texto Refundido de la Ley del Estatuto Básico del Empleado Público.
«j)
bis A la intimidad en el uso de dispositivos digitales puestos a su
disposición y frente al uso de dispositivos de videovigilancia y
geolocalización, así como a la desconexión digital en los términos
establecidos en la legislación vigente en materia de protección de datos
personales y garantía de los derechos digitales»
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.