Introducción
El 6 diciembre ha sido publicada en el BOE la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) que fue aprobada por el Pleno del Senado el anterior 21 de noviembre.
Si bien el Reglamento General de Protección de Datos (RGPD) no deja a los Estados miembro de la UE un margen de actuación muy amplio, motivo por el que la nueva Ley se remite con frecuencia a dicho Reglamento, sin embargo, ésta sí contempla algunas previsiones novedosas que reflejamos en este post informativo.
El Delegado de Protección de Datos
Adicionalmente a las previsiones que ya contempla el Reglamento General de Protección de Datos (RGPD) al respecto, la norma establece un total de 16 supuestos en los que resulta preceptivo que se designe a un DPD.
Así, empresas de publicidad que lleven a cabo profiling, operadores que desarrollen la actividad del juego vía canales electrónicos, entidades aseguradoras, centros docentes o empresas de servicios de inversión relacionadas con el mercado de valores, entidades financieras y ciertas compañías energéticas, entre otras, se verán afectadas por esta previsión.
Transparencia e información
Mediante su artículo 11, la LOPDPGDD convierte en norma lo que hasta ahora venían siendo recomendaciones de la Agencia Española de Protección de Datos y del antiguo Grupo de Trabajo del Artículo 29 en relación con el sistema de información en doble capa.
De este modo, si ahora se acude a este método de información por niveles, necesariamente la primera capa deberá contener como mínimo los aspectos que este artículo 11 exige:
- La identidad del responsable y, en su caso, su representante.
- La finalidad del tratamiento.
- La posibilidad de ejercer los derechos de protección de datos.
- Si los datos no se obtienen directamente del titular, además el tipo de datos y su fuente de obtención.
Menores de edad
Mantiene el criterio del límite de edad en los 14 años e introducen previsiones en pro de la defensa del menor y su interacción con el ámbito digital, como son la posible intervención del Ministerio Fiscal en aquellos casos de utilización o difusión de imágenes e información personal de menores en las RRSS en caso de que estos supongan una intromisión ilegítima en sus derechos fundamentales.
Interés legítimo e interés público
Se recogen expresamente determinados tratamientos de datos respecto de los cuales se presume que el responsable tiene interés legítimo o que se llevan a cabo con base en el interés público.
Respecto a los primeros, encontraríamos los sistemas de información crediticia, la modificación estructural de sociedades o su traspaso y el caso de los datos de contacto de empresarios individuales y profesionales liberales, siempre y cuando su tratamiento se circunscriba únicamente al ámbito profesional en tanto a su localización y contacto para prestación de servicios especializados.
Por su parte, en relación con el interés público, tenemos la videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas.
La polémica sobre los partidos políticos
En sus disposiciones finales, la nueva LOPD contempla la modificación de la Ley del Régimen Electoral, permitiendo a los partidos políticos la recopilación y uso de datos recabados a través de páginas web y otras fuentes de acceso público, así como avalar el envío de propaganda electoral, incluso por vía electrónica, al confirmar que dicha propaganda no debe considerarse como comunicación comercial.
Desde un punto de vista técnico, destaca la consideración implícita de las páginas web como fuentes de acceso público, ya que hasta ahora Internet no era considerada como tal.
Sistema de sanciones
La norma concreta y gradúa las conductas infractoras de la normativa de protección de datos en las tradicionales categorías de (i) leve, (ii) grave y (iii) muy grave, manteniendo las cuantías ya asentadas en el RGPD, que oscilan entre un mínimo de 10.000.000€ o el 2% de facturación anual global y un máximo de 20.000.000€ o el 4% de facturación anual global.
Derechos digitales
Adicionalmente al campo de protección de datos, en su Título X la norma establece una discutida, entre los profesionales del sector, y discutible serie de previsiones en relación con derechos en el ámbito digital como son la neutralidad de Internet, su acceso universal, su promoción en el ámbito educativo o la ampliación del derecho al olvido al ámbito de las RRSS.
En el ámbito laboral
En relación con el ámbito laboral establece una amplia protección a los trabajadores, descargando en el empleador la necesidad de adaptar sus políticas internas a factores nuevos como son:
- Protección de la intimidad en el uso de dispositivos digitales y acceso tasado a su contenido.
- Desconexión digital, a fin de garantizar el respeto al tiempo de descanso fuera del tiempo de trabajo.
- Mayor regulación de las condiciones para la videovigilancia y grabación de sonidos válida.
- Derecho de la intimidad del trabajador frente a sistemas de geolocalización.
Herencia digital
Salvo estipulación testamentaria en contrario, los herederos, personas vinculadas al fallecido y/o que hayan sido designadas por él, podrán acceder a sus contenidos en redes sociales y plataformas digitales y dar instrucciones a los prestadores de estos servicios sobre su uso, modificación, destino y eliminación.