lawandtrends.com

LawAndTrends



El pasado 21 de noviembre se aprobó definitivamente por las Cortes Generales la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPD”), que viene a adaptar nuestra legislación a los dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos (en adelante, “RGPD”), de plena aplicación desde el 25 de mayo de 2018.

La LOPD consta de noventa y siete artículos estructurados en diez títulos; veintidós disposiciones adicionales; seis disposiciones transitorias; una disposición derogatoria y dieciséis disposiciones finales.

El texto regula una serie de materias, bien cumpliendo las exigencias que el RGPD impone a los Estados Miembros, bien incluyendo normas específicas en aquellos aspectos en que el RGPD lo permite, bien tratando de aportar seguridad jurídica en la interpretación del RGPD. Entre las cuestiones más relevantes reguladas por la LOPD cabe destacar las siguientes:

1. Datos de personas fallecidas:

Los herederos y las personas vinculadas al fallecido por razones familiares o de hecho, salvo prohibición expresa por el fallecido o por ley, podrán ejercitar los derechos de acceso, rectificación o supresión respecto de los datos del fallecido. De igual forma, podrán ejercer los derechos mencionados el Ministerio Fiscal y/o los representantes legales respecto de los menores fallecidos y el personal de apoyo de personas fallecidas con discapacidad.

2. Consentimiento:

Se configura como una de las bases legales del tratamiento, en plano de igualdad con las restantes que recoge el RGPD. El consentimiento debe consistir, en todo caso, en una manifestación o una clara acción afirmativa del afectado, excluyéndose el consentimiento tácito. Cuando dicho consentimiento se recabe para una pluralidad de finalidades, será necesario que conste otorgado de manera específica e inequívoca para todas ellas. La celebración de un contrato no podrá quedar supeditada a la prestación del consentimiento para un tratamiento que no guarde directa relación con su objeto.

3. Tratamiento de datos por parte de abogados y procuradores:

Se habilita expresamente a abogados y procuradores al tratamiento de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, cuando el tratamiento tenga por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

4. Categorías especiales de datos:

A fin de evitar situaciones discriminatorias, se prohíbe expresamente el tratamiento de datos con la finalidad de conocer o determinar la ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias de los interesados; estos tratamientos no serán posibles ni siquiera en caso de que el interesado hubiera prestado su consentimiento, tal y como habilita el RGPD.

5. Tratamiento de datos de salud:

La nueva LOPD en concordancia con el RGPD establece la vigencia de habilitaciones legales preexistentes en materia de salud.

Asimismo, se regula de forma detallada el tratamiento de datos en el ámbito de la investigación en salud, clarificando el alcance, en sentido amplio, del consentimiento para el tratamiento y la reutilización de estos datos, así como las posibles excepciones al ejercicio de los derechos de los interesados en el ámbito de la investigación en salud y las medidas para garantizar la confidencialidad de los datos de los pacientes en estos casos.

6. Información por capas:

Se establece la posibilidad de que el responsable facilite al interesado la información exigida por el RGPD en distintas capas, tal y como sucede actualmente en tratamientos como la videovigilancia. En una primera capa, facilitada directamente al interesado al recoger sus datos, se le informará, al menos, de (i) la identidad del responsable del tratamiento y, en su caso, de su representante; (ii) la finalidad del tratamiento; y (iii) la posibilidad de ejercer los derechos establecidos en el RGPD. En su caso, deberá informarse también en esta primera capa del uso de los datos para la elaboración de perfiles, así como del derecho de oposición a decisiones automáticas. En caso de que los datos no se hayan obtenido a través del afectado, deberá informarse además en la primera capa, de las categorías de datos objeto de tratamiento y de las fuentes u orígenes de sus datos.

7. Derecho de acceso:

La nueva LOPD establece la posibilidad de que el afectado acceda a sus datos a través de un sistema de acceso remoto, directo, seguro y continuo, en cuyo caso el responsable podrá limitarse a remitir al solicitante a ese sistema, salvo que los datos de los que se solicita el acceso no aparezcan en el mismo. Por otra parte, se considera ejercicio repetitivo del derecho de acceso el llevado a cabo por segunda vez en un período inferior a 6 meses, salvo que exista causa legítima para ello, que deberá acreditar el interesado. Por último, se prevé que las solicitudes de acceso por medios que impliquen un exceso de costes para el responsable del tratamiento serán consideradas excesivas, por lo que la asunción del exceso de coste correrá a cargo del solicitante. 

8. Tratamientos específicos relativos a operaciones mercantiles:

Se presumen lícitos los tratamientos que sean necesarios o se deriven de operaciones de reestructuración societaria u operaciones de transmisión total o parcial de negocio, incluyendo las que con carácter previo sean precisas para garantizar el buen fin de la operación, tales como el acceso a los datos necesarios para realizar un análisis de due diligence.

En caso de que la operación no llegara a concluirse deberá suprimirse completamente la información sin que haya lugar al bloqueo de los datos.

9. Listas Robinson:

Se prevé la creación de sistemas de exclusión publicitaria, cuya existencia se hará pública por las autoridades de protección de datos en sus páginas web. Cuando una persona se oponga a la recepción de publicidad deberá informársele expresamente de la existencia de estos sistemas, no pudiéndole remitir comunicaciones de mercadotecnia ninguna empresa que no cuente con su consentimiento expreso para ello.

10. Sistemas de información crediticia:

El tratamiento de datos por estos sistemas se presume lícito en relación con los denominados “ficheros negativos”, sobre la base del interés legítimo, sin hacer referencia alguna a los denominados “ficheros positivos”. En cuanto a las principales novedades de la regulación de estos sistemas, se establece una cuantía mínima de la deuda de cincuenta euros, se prevé que sólo será necesario informar al interesado acerca de la inclusión de sus datos una sola vez (en el contrato o en el requerimiento previo de pago) y se reduce el plazo de conservación de los datos a cinco años.

11. Sistemas de videovigilancia:

Tomando en consideración los criterios de la Agencia Española de Protección de Datos (AEPD) y de los tribunales, la nueva LOPD dedica un artículo sobre esta actividad. El fundamento para la captación de imágenes se basa en el interés público en relación con la protección de las personas, bienes e instalaciones. Se regulan supuestos concretos como la captación excepcional de imágenes en la vía pública, la supresión, por regla general, de las imágenes captadas en el plazo de un mes desde su captación o la posibilidad de cumplir con el deber de información mediante la inserción de un dispositivo informativo. Asimismo, se regula la grabación de imágenes en el lugar de trabajo dentro del Título referido a los derechos digitales, siendo en general necesario informar al empleado y sus representantes, si bien excepcionalmente, en caso de comisión de ilícitos, podría informarse simplemente a través de un cartel informativo general. En todo caso, queda excluida de la LOPD la grabación de lo que se denominan “lugares de ocio y esparcimiento” dentro de la empresa.

12. Sistemas de denuncias internas:

Se recoge, frente al criterio hasta ahora mantenido por la AEPD, la posibilidad de que se establezcan sistemas anónimos de denuncias en relación con la existencia de una vulneración de normativa general o sectorial aplicable al responsable. Se limita el acceso a los datos a quienes, en la propia entidad o de forma externalizada, desarrollen funciones de cumplimiento normativo y se prevé la desaparición de los datos de estos sistemas en el plazo máximo de tres meses, aunque será posible conservar los datos mínimos para acreditar el adecuado funcionamiento del sistema.

13. Responsabilidad activa:

Todo responsable o encargado deberá, antes de proceder al tratamiento de los datos, llevar a cabo un análisis de los posibles riesgos que dicho tratamiento podría acarrear en la privacidad de los interesados, a fin de determinar las medidas técnicas y organizativas que habrá de adoptar sobre el tratamiento de los datos, tales como, entre otras, la adopción de medidas de seguridad adecuadas o la necesidad de llevar a cabo una evaluación de impacto en la protección de datos o consultar la viabilidad del tratamiento a la autoridad de protección de datos competente.

14. Registro de actividades de tratamiento:

Los responsables y encargados de tratamientos o en su caso sus representantes, deberán mantener un registro de actividades que podrán organizar en torno a conjuntos estructurados vinculados a sus finalidades. En caso de contar con un Delegado de Protección de Datos, deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro.

15. Bloqueo de los datos:

La nueva LOPD dedica un artículo al bloqueo de datos, limitando la finalidad del tratamiento de los datos bloqueados a su conservación y puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes durante los plazos de prescripción de las acciones derivadas del tratamiento. También se prevé la adopción de medidas alternativas en caso de imposibilidad técnica o coste desproporcionado del bloqueo, tales como el copiado seguro de los datos a través de sistemas que impidan su manipulación.

16. Régimen del encargado del tratamiento:

Se confirma la vigencia de los contratos preexistentes a la nueva LOPD, que deberán adaptarse a la misma antes del 25 de mayo de 2022, si bien antes de esa fecha cualquiera de las partes podrá exigir la actualización del contrato al nuevo marco legal. 

17. El Delegado de Protección de Datos:

Se potencia su figura y se regulan aspectos tales como el listado de supuestos en los que se considera obligatoria la designación del DPO, la cualificación de la que debe disponer y sus funciones. Además, se otorga al DPO un papel particularmente relevante en caso de que se formule una reclamación ante la AEPD, que podrá remitir la misma al DPO para su análisis y posterior remisión a la autoridad de control de las medidas adoptadas en relación con los hechos descritos en la reclamación, todo ello antes de iniciar un procedimiento contra el responsable o el encargado.

18. Códigos de conducta:

En línea con lo establecido en el RGPD, se refuerza el papel de la autorregulación en esta materia mediante la adopción de códigos de conducta, que podrán dotarse con mecanismos de resolución extrajudicial de conflictos a los que las autoridades de control podrán remitir las reclamaciones formuladas por los interesados para su resolución, alternativa a la tramitación de un procedimiento por aquélla.

19. Agencia Española de Protección de Datos:

Se modifica su estatuto y el procedimiento de nombramiento de su Presidencia, introduciéndose la figura del Adjunto. Se regula la actuación inspectora y el régimen de colaboración con la inspección, al tiempo que se hace expresa referencia a los denominados “planes de auditoría preventiva”, que se corresponden con los tradicionales planes de inspección sectorial de oficio que venía llevando a cabo la AEPD desde su creación. Igualmente se recoge la potestad de que la AEPD dicte Circulares con valor normativo, fijando los criterios a tener en cuenta en la aplicación de la LOPD.

20. Régimen sancionador:

El régimen sancionador de la nueva LOPD cualifica las infracciones tipificadas en el RGPD como muy graves, graves y leves a los solos efectos de determinar sus plazos de prescripción. Asimismo, introduce criterios de graduación complementarios de los establecidos en el RGPD.

21. Procedimiento:

Se reproducen íntegramente, salvo las lógicas modificaciones derivadas de su inclusión en el texto, las normas de procedimiento que establecía el Real Decreto-Ley 5/2018, de 27 de julio. 

22. Derechos digitales:

La LOPD incorpora un nuevo Título X denominado “Garantía de los derechos digitales”, a los que se les atribuye vital importancia. Entre las principales novedades que incluye el mencionado Título X caben destacar algunas de las ya mencionadas en la newsletter de octubre de 2018, que podrá encontrar en este enlace, entre los que se encuentran los siguientes:

  • Derecho de rectificación en Internet.
  • Derecho a la actualización de informaciones en medios de comunicación digitales.
  • Derechos de los trabajadores y empleados públicos, tales como el derecho a la intimidad en el uso de dispositivos digitales puestos a su disposición por el empleador, el derecho a la desconexión digital, el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo y el derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
  • Derecho al olvido en búsquedas de Internet y en servicios de redes sociales
  • Derecho al testamento digital.
  • Protección de los menores en Internet. 

23. Otras disposiciones de la LOPD:

En sus disposiciones adicionales, transitorias y finales, además de las novedades que ya se han anticipado con anterioridad, la LOPD se refiere, entre otras, a las siguientes cuestiones:

  • La obligación de que los concesionarios y prestadores de servicios para las administraciones públicas adopten medidas de seguridad similares a las de la Administración concedente y conformes al Esquema Nacional de Seguridad.
  • La modificación del régimen de notificación y publicación de los actos administrativos en las normas de procedimiento administrativo, a fin de preservar los derechos de los destinatarios de las mismas.
  • La regulación de prácticas agresivas de competencia desleal en relación con la actividad de determinados asesores en materia de protección de datos personales.
  • La necesaria adaptación a la LOPD de los “códigos tipo” actualmente inscritos en el Registro de la AEPD, que deberá llevarse a cabo en el plazo de un año desde la entrada en vigor de la LOPD.
  • La supresión del requisito del consentimiento para que la Administración pueda recabar los documentos no aportados por el interesado que ya obren en su poder o verificar la exactitud de los aportados
  • El reconocimiento del derecho de oposición a figurar en la copia del censo electoral facilitada a los partidos políticos para el envío de publicidad electoral postal.
  • El posible uso por los partidos políticos de información disponible en Internet para determinar el alcance de sus ofertas políticas y la no aplicación al envío de propaganda electoral de las disposiciones reguladoras del spam comercial. Puede consultarse la interpretación de la AEPD sobre esta cuestión en este enlace.

El texto de la nueva LOPD, en la versión aprobada por el Congreso de los Diputados y ratificada posteriormente por el Senado, puede consultarse aquí.

 

Área de Privacidad, IT y Entornos Digitales de BROSETA

Reproducción autorizada. Ver artículo original

CONOCE TODA NUESTRA NUEVA NEWSLETTER

Hemos creado para ti una selección de contenidos para que los recibas cómodamente en tu correo electrónico. Descubre nuestro nuevo servicio.

 

 




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad