Conoce la Ley

¿Qué es la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales? 

Aunque muchos se siguen refiriendo a la ley española de protección de datos como LOPD, lo cierto es que el nombre completo de la normativa actual es Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

Esta ley entró en vigor el 6 de diciembre de 2018, sustituyendo a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018.

Por tanto, si hablamos de protección de datos en España, la norma de referencia es la LOPDGDD.

Esta ley establece los requisitos y obligaciones en materia de protección de datos en empresas sobre cómo proceder con la información personal, así como los derechos que asisten a usuarios y consumidores.

Finalidad

La finalidad de la LOPDGDD es proteger la intimidad, privacidad e integridad del individuo, en cumplimiento con el artículo 18.4 de la Constitución Española. Del mismo modo, regula las obligaciones del individuo en todo proceso de transferencia de datos para garantizar la seguridad del intercambio.

Se consideran datos personales aquella información en texto, imagen o audio que permita la identificación de una persona. Existen datos que se consideran de poco riesgo, como el nombre o el correo electrónico, mientras que otros son considerados de riesgo más elevado, por ejemplo datos sensibles relacionados con la religión o la salud personal.

No se tratan como datos personales aquellos que no permiten identificar a una persona. Por ejemplo, manuales de maquinaria, previsiones meteorológicas o datos que han pasado a ser anónimos, es decir, ya no se pueden relacionar con ningún individuo. En este caso, la normativa a cumplir es el Reglamento de libre circulación de datos no personales.

Asimismo, otra de sus principales finalidades es establecer un marco legislativo para la protección de datos personales en Internet. En este sentido, incorpora puntos muy a tener en cuenta, como el derecho al olvido o a la portabilidad, además de cambios en la obtención del consentimiento para recoger y usar la información personal.

Principales modificaciones de la LOPDGDD 

La LOPDGDD establece bastantes cambios respecto a la anterior Ley de Protección de datos (1999). Se modifican los requisitos para obtener la información, guardarla o compartirla, y se establecen cambios en relación al tratamiento de datos de usuarios en internet.

El objetivo de esta ley es hacer que las empresas y organizaciones tengan un compromiso mayor con el tratamiento de datos y archivos personales y regular la protección de datos. Para ello, establece una serie de obligaciones.

Rendición de cuentas

Se amplía la información que se les debe dar a los usuarios en relación con el tratamiento de sus datos, así como sus derechos en esta materia.

Se incorpora el concepto de privacidad desde el diseño. Esto se traduce en que la elaboración de los procedimientos empresariales se tiene que realizar teniendo en cuenta la LOPDGDD desde un primer momento.

Notificación de brechas de seguridad

Las brechas en la seguridad que puedan afectar a los datos personales deben ser notificadas en un plazo máximo de 72 horas a la Autoridad de Control correspondiente (Agencia Española de Protección de Datos).

Si, además, en esa violación se pueden ver afectados datos de carácter sensible y con gran repercusión a los afectados, también se le deberá notificar a los mismos.

Registro de las actividades de tratamiento

La legislación actual elimina la obligación de registrar los ficheros ante la Autoridad de Control correspondiente.

No obstante, obliga a llevar un registro interno de todos los tratamientos de datos personales que lleva a cabo la entidad, siempre que tenga más de 250 empleados o cuando se traten, no de forma ocasional, datos sensibles.

Consentimiento

El consentimiento, con carácter general, debe ser libre, informado, específico e inequívoco. Las empresas deben revisar la forma en la que obtienen y guardan el consentimiento.

Actualmente existen prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas con la actual normativa pero dejarán de serlo cuando el Reglamento sea de aplicación.

Para poder considerar que el consentimiento es “incuestionable”, el Reglamento General de Protección de Datos requiere que haya una declaración de los interesados o una acción positiva que apunte al acuerdo del interesado.

La aceptación no puede deducirse del silencio o de la inacción de los ciudadanos.

Se exige que el consentimiento tenga que ser “manifiesto” en determinados casos.

Por tanto, el consentimiento tiene que ser verificable y quienes recopilen información personal deben poder probar que el afectado les concedió su consentimiento.

Responsabilidad proactiva

También llamado Accountability. Esta obligación se refiere a la necesidad de prevención por parte de las empresas que manejan información personal.

Para cumplir la ley se han de adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que establece la normativa europea. Ésta entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, ya que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar.

Para ello, todas las organizaciones que tratan archivos deben efectuar un análisis de riesgos de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.

Estos análisis pueden ser procedimientos sencillos en aquellas que no llevan a cabo más que unos pocos tratamientos elementales que no supongan, por ejemplo, datos especialmente protegidos. O trabajos más complejos con los que desarrollen muchos tratamientos, que afecten a gran número de personas o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Para la adopción de las medidas específicas, se tendrán en cuenta estos riesgos:

  • Perjuicio económico, moral o social significativo para los afectado en el tratamiento.
  • Privación de derechos o control de los datos.
  • Tratamiento masivo de datos o que revele una evaluación de aspectos personales de los afectados.
  • Tratamiento de datos de personas vulnerables como menores o personas discapacitadas.
  • Otros que considere el Responsable o Encargado de Tratamiento.

Un caso especial : Evaluación de impacto de protección de datos

Las Evaluaciones de Impacto son la principal medida de responsabilidad proactiva.

Consiste en un análisis de los riesgos previos que puede acarrear un determinado sistema de información, producto o servicio con respecto a la protección de datos.

Novedades que afectan a particulares y empresas

La esencia de la LOPDGDD es adaptar el ordenamiento español al Reglamento europeo de Protección de Datos. Para ello, el modelo español ha tenido que incorporar algunas novedades importantes. Entre otras cuestiones, se recogen nuevas obligaciones sobre tratamiento de datos personales en procedimientos transfronterizos, y establece garantías para la investigación biomédica más allá de la protección personal.

A continuación vemos los cambios que introduce esta normativa respecto a la antigua LOPD de 1999.

Datos de personas fallecidas

Podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de personas fallecidas y, en su caso, su rectificación o supresión:

  • Personas vinculadas por razones familiares o de hecho.
  • Instituciones o personas a las que el fallecido hubiese designado expresamente para ello.
  • Representantes legales de los menores y el Ministerio Fiscal.
  • Representantes legales de las personas con discapacidad, el Ministerio Fiscal y el personal de apoyo.

Por lo tanto, amplía las personas que pueden tener acceso a esos datos.

Y ahí surge la polémica. Porque permite que, si el fallecido no lo ha prohibido expresamente, accedan a ellos incluso personas que tuvieran algún conflicto con él.

Consentimiento de menores

La edad en la que pueden consentir el tratamiento de sus datos personales es de 14 años.

Es decir, es una posibilidad, no una obligación que consientan de 14 años en adelante. En caso de menores de 14 años, deberán dar ese consentimiento sus padres o tutores legales.

Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos

El tratamiento debe fundamentarse en una norma que recoja esa obligación legal, interés público o ejercicio de poder público.

A este respecto, la AEPD ha analizado la base jurídica de los tratamientos de datos por parte de Administraciones Públicas en un Informe. Y señala que la ley “no considera el consentimiento como un fundamento jurídico válido para el tratamiento de los datos por una Administración Pública”.

Categorías especiales de datos

No vale sólo el consentimiento para tratar datos de ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Se establecen otros requisitos para tratar esos datos:

  • Sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado. Si lo autoriza el Derecho de la Unión de los Estados miembros o un convenio colectivo y se establecen garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
  • Sea imprescindible para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
  • Se realice, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical. Si se refiere exclusivamente a los miembros actuales o antiguos de tales organismos y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
  • Se refiera a datos personales que el interesado ha hecho manifiestamente públicos.
  • Sea imprescindible para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
  • Existan razones de un interés público esencial.

Datos de contacto y de empresarios individuales

La base jurídica para tratar los datos de los autónomos sería el interés legítimo cuando su finalidad sea profesional.

Archivo público

Será lícito el tratamiento de datos por las Administraciones Públicas con fines de archivo basado en el interés público. Este se indicará en la normativa sectorial de archivo y patrimonio.

Tratamiento de infracciones penales y administrativas

Sólo se podrán tratar estos datos cuando:

  • Los responsables de tratamiento sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones. Siempre y cuando, estos datos sean estrictamente necesarios para la finalidad perseguida por esos órganos.
  • Se prevea por una norma legal.
  • Se lleve a cabo por Abogados y Procuradores, con objeto de recoger la información facilitada por sus clientes en el ejercicio de sus funciones.

Bloqueo de datos

Es un paso previo a la eliminación de los datos.

Significa que no se pueden utilizar datos bloqueados con ninguna finalidad, salvo la puesta a disposición de los datos de jueces y tribunales, Ministerio Fiscal o Administraciones Públicas competentes.

Delegado de Protección de Datos

Según la LOPDGDD existe la obligación de designar a un Delegado de Protección De Datos (DPD) en tres supuestos:

  1. En caso de que el tratamiento de los datos se realice por una autoridad u organismo público.
  2. Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
  3. Cuando las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

El Reglamento europeo ha creado mucha confusión. No queda claro cuándo sí y cuándo no es obligatorio tener un DPD.

La normativa se ha curado en salud y establece hasta 16 casos concretos en los que, de manera taxativa, se exige su contratación.

Los Delegados deben ser conocidos por la AEPD y/ o, en su caso, las autoridades autonómicas de protección de datos. Estos organismos están obligados a mantener una lista actualizada de esos delegados.

Y los Delegados deben poseer una titulación universitaria que acredite los conocimientos especializados en el derecho y la práctica en materia de protección de datos.

Modificación de la normativa electoral

Uno de los puntos más conflictivos de la LOPDGDD ha sido la inclusión de la Disposición Final Tercera que modifica la Ley Orgánica del Régimen Electoral General (LOREG).

En ella se establece que los partidos políticos podrán recabar datos personales, en el marco de sus actividades electorales, relativos a opiniones de carácter político.

Y podrán utilizar información y datos personales obtenidos de páginas webs (y otras fuentes accesibles al público) para la realización de actividades políticas durante el periodo electoral, entre las que se encuentran:

  • El envío de propaganda electoral a través de sistemas de mensajería o por medios electrónicos.
  • La contratación de propaganda electoral en redes sociales o medios equivalentes, que no tendrán la consideración de actividad o comunicación comercial.

Prácticas que son ilegales para el resto de los colectivos según la misma ley.

Los nuevos derechos digitales aprobados por el Congreso

Estos son los derechos digitales aprobados por el Congreso de los diputados para adaptarse a las exigencias de la era digital:

  1. Derecho a la neutralidad de Internet: Introduce un concepto de neutralidad en el que todos los datos de la red debe de ser tratadas de la misma forma aunque su contenido sea diferente.
  2. Derecho de acceso universal a Internet: Tal y como dice la nueva ley, el Estado garantizará “un acceso universal, asequible, de calidad y no discriminatorio para toda la población”
  3. Derecho a la seguridad digital: Los proveedores de Internet, deberán informar a sus usuarios de sus derechos y las comunicaciones recibidas y transmitidas deben ser seguras.
  4. Derecho a la educación digital: A partir de la implantación de la ley, todos los planes educativos deberán incluir formación para usar las nuevas tecnologías digitales.
  5. Protección de los menores en Internet: El Congreso indica que los tutores y familias “procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales” para “garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales”.
  6. Derecho de rectificación en Internet: Se aplicará la normativa de la vulneración del honor o la intimidad cuando se difundan datos inexactos o falsos en la red.
  7. Derecho a la actualización de informaciones en medios de comunicación digitales: Se reconoce que se pueda “solicitar motivadamente de los medios de comunicación digitales la inclusión de un aviso de actualización suficientemente visible junto a las noticias que le conciernan”.
  8. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral: Las empresas deben establecer los criterios de uso de los dispositivos digitales junto con los representantes laborales.
  9. Derecho a la desconexión digital en el ámbito laboral: Las empresas no podrán contactar con sus trabajadores fuera del horario laboral o en períodos de descanso.
  10. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo: Hemos dedicado un artículo completo detallando todo lo que tiene que ver con la instalación de sistemas de videovigilancia en el trabajo.
  11. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral: Se podrá geolocalizar a los trabajadores siempre y cuando empleados y representantes estén debidamente informados “acerca de la existencia y características de estos dispositivos”.
  12. Derechos digitales en la negociación colectiva: Se especifica que los convenios colectivos establezcan las garantías y derechos para el tratamiento de datos personales de los trabajadores en el trabajo.
  13. Protección de datos de los menores en Internet: El menor debe tener el consentimiento de los representantes legales y a partir de los 14 años podrá darlo él mismo.
  14. Derecho al olvido en búsquedas de Internet
  15. Derecho al olvido en servicios de redes sociales y servicios equivalentes: Es una ampliación del derecho al olvido para cubrir las redes sociales. La retirada en dicho medios deberá producirse “sin dilación”.
  16. Derecho de portabilidad en servicios de redes sociales y servicios equivalentes: Se reconoce el derecho a enviar contenidos y datos personales de una red social a otra de manera automática.
  17. Derecho al testamento digital: Si el muerto no ha dejado testamento, las personas vinculadas familiarmente podrán acceder al correo electrónico, redes sociales y servicios de mensajería instantánea como Telegram, pudiendo borrar o modificar los datos que contengan. También podrán borrar los perfiles.