LOPDGDD

LOPDGDD

Tras su publicación en el BOE el 6 de diciembre, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la “LOPDGDD”), ha entrado en vigor el pasado viernes 7 de diciembre. La LOPDGDD deroga expresamente la antigua LOPD de 1999, y el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Destacamos a continuación, sin carácter exhaustivo, algunos de los aspectos de la nueva Ley:

 

  1. En materia de obligaciones de información se reconoce expresamente el sistema de información por capas recomendado por la AEPD en su Guía para el Cumplimiento del Deber de Informar, el cual consiste en suministrar una información básica al afectado proporcionándole una dirección electrónica u otro medio para obtener información adicional sobre el tratamiento de sus datos.

 

  1. La edad del consentimiento de menores para el tratamiento de sus datos se mantiene en 14 años.

 

  1. El tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos deberá estar basado o derivar en una disposición con rango de Ley.

 

  1. A fin de evitar situaciones discriminatorias, se limita el consentimiento en el tratamiento de categorías especiales de datos de forma que no será suficiente para el tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. Esto no impide que los mismos puedan ser objeto de tratamiento en los demás supuestos previstos en el Reglamento (UE) 2016/679 (en adelante, el “RGPD”). Así, tal y como indica el Preámbulo de la Ley, la prestación del consentimiento no dará cobertura a la creación de «listas negras» de sindicalistas, si bien los datos de afiliación sindical podrán ser tratados por el empresario para hacer posible el ejercicio de los derechos de los trabajadores al amparo del artículo 9.2.b) del RGPD o por los propios sindicatos en los términos del artículo 9.2.d) de la misma norma Europea.

 

  1. El Título IV de la LOPDGDD recoge, sin carácter exhaustivo, una serie de supuestos de tratamientos lícitos:
  • Aquellos respecto de los que el legislador establece una presunción «iuris tantum» de prevalencia del interés legítimo

del responsable cuando se lleven a cabo con una serie de requisitos (i.e. el tratamiento de datos de contacto, empresarios individuales y profesionales liberales y tratamientos relacionados con la ejecución de operaciones mercantiles). En concreto, se presume que concurre interés legítimo

en el tratamiento de datos de contacto, empresarios individuales y profesionales liberales siempre que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional, y la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios o relaciones profesionales con empresarios individuales o profesionales liberales.

  • Otros como la videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas en que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 1.e) del RGPD.

 

Respecto a los canales de denuncia internos, además de otras disposiciones a tener en consideración a la hora de regular el funcionamiento de los canales éticos de las empresas, se reconoce la posibilidad de realizar denuncias anónimas, tal y como se recogía en el Proyecto de la LOPDGDD.

  1. Se recoge la obligación de bloqueo de datos (no prevista expresamente en el RGPD) cuando se proceda a su rectificación o supresión. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos.

 

  1. Asimismo, se enumeran los sectores en los que es obligatorio designar un Delegado de Protección de Datos incluyendo a empresas de seguridad privada y centros docentes en cualquier nivel establecido en la legislación reguladora del derecho a la educación. Por otro lado, se establece expresamente que el régimen sancionador recogido en la Ley no resulta aplicable al Delegado de Protección de Datos.

 

  1. La LOPDGDD recoge un Título dedicado a la “Garantía de los derechos digitales”, (artículos 79 al 97), incluyendo desde los derechos a la neutralidad y el acceso universal a Internet, hasta el derecho a la educación digital, pasando por los derechos de rectificación en Internet y a la actualización de informaciones aparecidas en medios de comunicación digitales y que no se correspondan con la situación actual del interesado.

Asimismo, se reconocen los siguientes derechos en el ámbito laboral cuyo desarrollo y aplicación práctica concreta se irá concretando fruto de la negociación colectiva y de las políticas internas de cada empresa:

  • El derecho a la desconexión digital, ya reconocido en 2017 en Francia y en cuya regulación parece haberse inspirado el legislador español. A pesar de ser una disposición innovadora, ante la ausencia de una regulación en detalle del contenido del derecho, tendrán que ser los empresarios quienes concreten y apliquen este derecho en atención a las particularidades propias de cada sector.
  • Derecho a la intimidad y uso de dispositivos digitales. Tal y como se venía recomendado hasta la fecha, los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad, los cuales, deberán respetar los criterios manifestados por el Tribunal Europeo de Derechos Humanos (Caso Barbulescu).
  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
  • Derecho a la intimidad ante la utilización de sistemas de geolocalización.
  • Derechos digitales en la negociación colectiva.