Hace unos meses seguimos el desarrollo del proyecto de Ley Orgánica
sobre Protección de Datos para España siguiendo las directrices del Reglamento
General de Protección de Datos.
Tras las distintas Sesiones de Comisión, enmiendas,
informes, ponencias, etc., se procedió a la aprobación del proyecto por ambas
Cámaras que representan las Cortes Generales.
En primer lugar el Congreso de los Diputados aprobó el texto
el 18 de octubre de 2018. Posteriormente, el 21 de noviembre de 2018, el Senado
aprueba el texto remitido por el Congreso de los Diputados sin que se realice
cambio alguno. El 5 de diciembre de 2018 el Rey Felipe VI sanciona la Ley
Orgánica y un día después, el 6 de diciembre de 2018, es publicada en el
Boletín Oficial del Estado.
La nueva Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales viene a derogar dos leyes anteriores:
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal
- Real Decreto-ley 5/2018, de 27 de julio, de medidas
urgentes para la adaptación del Derecho español a la normativa de la Unión
Europea en materia de protección de datos
Estructura
La LOPDGDD está compuesta por:
- Preámbulo
- 10 Títulos
- 97 Artículos
- 22 Disposiciones adicionales
- 6 Disposiciones transitorias
- 1 Disposición derogatoria
- 16 Disposiciones finales
Objeto de la Ley
Orgánica
En la misma línea de las anteriores leyes, la protección de
datos personales está fundamentada en el artículo
18.4 de la Constitución Española:
“la ley limitará el uso de la informática
para garantizar el honor y la intimidad personal y familiar de los ciudadanos y
el pleno ejercicio de sus derechos” y reforzada por el Reglamento General de Protección de Datos del Parlamento Europeo y del
Consejo.
Sin embargo, lo primero que llama la atención es que la
nueva ley tiene dos objetivos:
1. Adaptar el Reglamento General de Protección de Datos (UE)
al ordenamiento jurídico español
2. “Garantizar los
derechos digitales de la ciudadanía conforme al mandato establecido en el
artículo 18.4 de la Constitución.”
Esto nos lleva a la conclusión de que se trata de una ley
más completa y a la vez compleja ya que incluye ámbitos y aspectos no
contemplados en la normativa europea. El legislador ha querido armonizar la
protección de datos en varios ámbitos concretos como son:
- Tratamiento de datos de contacto, de empresarios
individuales y de profesionales liberales
- Sistemas de información crediticia
- Tratamientos relacionados con la realización de
determinadas operaciones mercantiles
- Tratamientos con fines de videovigilancia
- Sistemas de exclusión publicitaria
- Sistemas de información de denuncias internas
- Tratamiento de datos en el ámbito de la función
estadística pública
- Tratamiento de datos con fines de archivo en interés
público por parte de las administraciones públicas
- Tratamiento de datos relativos a infracciones y sanciones
administrativas
Ampliación de
derechos
Incluye los derechos del afectado ya contemplados en el
RGPD: Derecho de acceso, rectificación,
supresión, limitación del tratamiento, portabilidad y oposición. Sin
embargo, añade otros derechos digitales que
resuelven innumerables cuestiones tratadas previamente por la AEPD:
- Derechos en la era digital
- Derecho a la neutralidad de internet
- Derecho de acceso universal a internet
- Derecho a la seguridad digital
- Derecho a la educación digital
- Protección de los menores en internet
- Derecho de rectificación en internet
- Derecho a la actualización de informaciones en medios de
comunicación digitales
- Derecho a la intimidad y uso de dispositivos digitales en
el ámbito laboral
- Derecho a la desconexión digital en el ámbito laboral
- Derecho a la intimidad frente al uso de dispositivos de
videovigilancia y de grabación de sonidos en el lugar de trabajo
- Derecho a la intimidad ante la utilización de sistemas de
geolocalización en el ámbito laboral
- Derecho a la intimidad ante la utilización de sistemas de
geolocalización en el ámbito laboral
- Protección de datos de los menores en internet
- Derecho al olvido en búsquedas de internet
- Derecho al olvido en servicios de redes sociales y
servicios equivalentes
- Derecho de portabilidad en servicios de redes sociales y
servicios equivalentes
- Derecho al testamento digital
Otras novedades
a) Personas fallecidas. Se permite que los familiares del
fallecido y herederos puedan solicitar el acceso, rectificación o supresión de sus
datos personales. Igualmente, el fallecido puede designar en el testamento una
persona o institución que goce de los mismos derechos que los familiares.
b) Consentimiento de los menores de edad. La nueva ley
establece que los mayores de catorce años podrán dar su consentimiento para la
recopilación, almacenamiento y tratamiento de sus datos personales. En cambio,
para los menores de catorce años será necesario el consentimiento del que tenga
la patria potestad o tutela.
c) Responsabilidad en la inexactitud de los datos. Cuando el
responsable del tratamiento utilice todos los medios a su alcance para suprimir
o rectificar la inexactitud de los datos obtenidos por el afectado o intermediario y, a pesar de todo, no consiga
actualizarlos, carecerá de toda responsabilidad.
d) Deber de confidencialidad. Tanto los responsables,
encargados del tratamiento y todas aquellas personas que intervengan en las
distintas fases están sujetas al deber de confidencialidad, tienen la
obligación al secreto profesional incluso cuando ya no tiene relación alguna
con el tratamiento.
e) Doble control en datos especialmente sensibles. Por defecto,
está prohibido recopilar información sobre ideología, afiliación sindical,
religión, orientación sexual, creencias u origen racial o étnico. El RGPD añade
las opiniones políticas, las convicciones religiosas o filosóficas, o la
afiliación sindical, y el tratamiento de datos genéticos y biométricos. Aunque el
propio afectado de su consentimiento, una ley deberá establecer los requisitos
para el tratamiento de dichos datos con el fin de evitar situaciones
discriminatorias.
f) Información por capas. El responsable del tratamiento de
datos puede dar una información básica al afectado y remitir más información a
través de otro medio como una dirección de correo electrónico, una dirección
web, etc. Esta información por capas ya se comenzó a utilizar con las cookies cuando se instalaban en
dispositivos de almacenamiento masivo.
g) Responsabilidad activa. El responsable del tratamiento no
debe limitarse a recopilar, almacenar y tratar datos de carácter personal,
también tiene determinar las medidas técnicas y organizativas a fin de
garantizar la seguridad de los datos. Ello exige también una valoración previa,
evaluación de impacto y el establecimiento de medidas ante una brecha en la
seguridad.
h) Obligación de designar un delegado de protección de datos. El
RGPD establece que es obligatorio designar un delegado de protección de datos
cuando el responsable sea una autoridad u organismo público y trate de forma
habitual y sistemática datos a gran escala, incluidos los de categorías
especiales. La nueva Ley Orgánica aumenta la lista a las siguientes entidades:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera
de los niveles establecidos en la legislación reguladora del derecho a la
educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de
comunicaciones electrónicas conforme a lo dispuesto en su legislación
específica, cuando traten habitual y sistemáticamente datos personales a gran
escala.
- Los prestadores de servicios de la sociedad de la
información cuando elaboren a gran escala perfiles de los usuarios del
servicio.
- Las entidades incluidas en el artículo 1 de la Ley
10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de
crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la
legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía
eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la
evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para
la gestión y prevención del fraude, incluyendo a los responsables de los
ficheros regulados por la legislación de prevención del blanqueo de capitales y
de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y
prospección comercial, incluyendo las de investigación comercial y de mercados,
cuando lleven a cabo tratamientos basados en las preferencias de los afectados
o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al
mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando
legalmente obligados al mantenimiento de las historias clínicas de los
pacientes, ejerzan su actividad a título individual.
- Las entidades que tengan como uno de sus objetos la
emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a
través de canales electrónicos, informáticos, telemáticos e interactivos,
conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores
de edad.
i) La autoridad de protección de datos sigue la misma línea que la
legislación anterior. A nivel nacional seguirá siendo la Agencia
Española de Protección de Datos que se relaciona con el Gobierno a través del
Ministerio de Justicia y permite la existencia de autoridades de control en las
distintas comunidades autónomas.
j) “Ventanilla única” en los procedimientos de vulneración de la Ley.
Solo habrá una única autoridad de control, la Agencia Española de Protección de
Datos, que será la encargada de tramitar las reclamaciones y denuncias de los
afectados. Se establece un plazo de seis meses para resolver el procedimiento
desde la fecha de notificación a la AEPD. Terminado el plazo se considera
estimada la reclamación. Una vez aceptada la reclamación e iniciado el
procedimiento, este tendrá una duración máxima de nueve meses. Pasado dicho
plazo sin una resolución produce la caducidad y el archivo de las actuaciones.
Cada país de la Unión Europea deberá determinar la autoridad
de control principal para la cooperación transfronteriza. En caso de conflictos
de competencias, resolverá el Comité Europeo de Protección de Datos.
k) Régimen sancionador. La LOPDGDD desarrolla el régimen
sancionador del RGPD estableciendo primero tres tipos de infracciones:
- Muy graves. Prescriben a los tres años.
- Graves. Prescriben a los dos años.
- Leves. Prescriben al año.
Con respecto a las sanciones establece la cuantía y
prescripción:
- Las sanciones por importe igual o inferior a 40.000 euros,
prescriben en el plazo de un año.
- Las sanciones por importe comprendido entre 40.001 y
300.000 euros prescriben a los dos años.
- Las sanciones por un importe superior a 300.000 euros
prescriben a los tres años.
Como puede apreciarse, si bien el RGPD establece “multas administrativas de 20.000.000 € como
máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero
anterior, optándose por la de mayor cuantía”, la LOPDGDD especifica con más
exactitud sanciones inferiores según las características y circunstancias del
hecho que provoca la infracción.
Conclusión
Esta nueva ley se adapta a los continuos cambios
tecnológicos con nuevos recursos que permiten una mayor y fuerte protección de
los derechos y libertades fundamentales recogidas en la Constitución, sobretodo
el honor, intimidad e imagen.
Refuerza la protección que el RGPD venía realizando y se
adelanta con la larga lista de derechos digitales de los ciudadanos, lo que
hace de ella una referencia y norma principal para el resto del ordenamiento
jurídico español.