Este artículo ha sido preparado por Carlos Pérez, abogado de Nuevas Tecnologías y Protección de Datos en KLP Consultoría, y Rubén Cano, profesional IP/IT en Baker McKenzie, alumni del Magister Lvcentinvs.

Cuando empezábamos a ponernos cómodos y disfrutar el puente [de la Constitución Española], recibimos la “agradable” noticia de la publicación en el BOE, de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPD). Fieles a nuestro deber nos levantamos del sofá, dejamos Netflix a un lado y os contamos que novedades se han reflejado con respecto al Reglamento General de Protección de Datos (en adelante «RGPD»).

El RGPD procura con su eficacia directa superar los obstáculos que impidieron la armonización de la Directiva 95/46/CE. Ahora bien, desde su aplicación a partir del 25 de mayo de 2018, el RGPD establecía ciertos aspectos a ser desarrollados por la normativa interna de los Estados miembros, que permitían margen de discrecionalidad en el desarrollo local de la normativa de protección de datos (de ahí que en muchos foros se ganase el apelativo de «Directiva encubierta»).Tras meses de discusión y enmiendas, el 6 de diciembre, se publica la nueva LOPD, entrando en vigor al día siguiente.

La nueva LOPD está constituida por noventa y siete artículos estructurados en diez títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposiciones finales. En su contenido, contra todo pronóstico, se añade un título adicional dedicado a la Garantía de los Derechos Digitales, cuya redacción es susceptible de levantar ampollas tanto a nivel interno como en el entorno de la Unión Europea.

Novedades o aspectos más relevantes

Entre las novedades más importantes de la nueva ley destacan las siguientes.

Para empezar, se regula el tratamiento de datos de las personas fallecidas. El artículo 3 LOPD permite que las personas vinculadas al fallecido por razones familiares o de hecho, o sus herederos, puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso, con sujeción a las instrucciones del fallecido.

En el RGPD, uno de los aspectos con mayor flexibilidad es la cuestión del consentimiento de los menores de edad, tal y como establece el artículo 8.1 del RGPD. El tenor literal del mencionado artículo concede a los Estados miembros la facultad de reducir la edad mínima para otorgar el consentimiento de los 16 hasta los 13 años. Pues bien, la nueva LOPD, a pesar de que en el seno de la tramitación parlamentaria se valoró seriamente la posibilidad de fijar dicha edad en los 13 años, finalmente mantiene el criterio que se venía aplicando por Real Decreto 1720/2007. Es decir, la LOPD establece en su art. 6 que los menores podrán prestar consentimiento para el tratamiento de sus datos cuando sean mayores de 14 años.

De acuerdo con el art. 30 de la LOPD el representante de los responsables o encargados del tratamiento no establecidos en la Unión Europea será responsable solidario, junto con el responsable o encargado del tratamiento correspondiente, del incumplimiento del RGPD.

En su artículo 9, la nueva normativa hace uso de la facultad conferida a los Estados miembros en el art. 9.2 a) RGPD, estableciendo que el consentimiento explícito del interesado no bastará para el tratamiento de determinadas categorías especiales de datos personales (datos sensibles). Efectivamente, se indica que no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. No obstante, existe incertidumbre en relación con las categorías de datos que se verán finalmente afectadas, puesto que en la lista indicada no se enumeran algunos datos sensibles que, dada la redacción del precepto, podrían caer bajo su ámbito de aplicación.

Se incluyen una serie de artículos que afectan a actividades del tratamiento específicas (arts. 19-27), abordándose, entre otros, los datos de contacto de profesionales (art. 19); sistemas de información crediticia (art. 20), la video vigilancia (art. 22), sistemas de exclusión publicitaria (art. 23) o sistemas de denuncias internas (art. 24).

De acuerdo con el art. 34 LOPD se regulan multitud de supuestos en los que ha de designarse un Delegado de Protección de Datos (DPD o DPO por sus siglas en inglés), destacando la obligación de los colegios profesionales, entidades que exploten redes y presten servicios de comunicaciones electrónicas, centros sanitarios obligados a mantener historiales clínicos de clientes, entidades financieras o empresas que desarrollen actividades de publicidad.

El título VI regula las transferencias internacionales de datos (arts. 40-42 de la LOPD). Se establece la necesidad de obtener autorización para efectuar transferencias internacionales en una serie de circunstancias concretas: (a) cuando la transferencia pretenda basarse en la adopción de ciertas cláusulas contractuales que no correspondan a las cláusulas tipo adoptadas o aprobadas por la Comisión y (b) cuando la transferencia se lleve a cabo por determinadas entidades, principalmente organismos del sector público (artículo 77.1 de la LOPD), y esté fundada en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados.

Con respecto al régimen sancionador, contemplado en el Título IX de la nueva LOPD, se intenta realizar una fusión del sistema previsto en el RGPD y el que se encontraba en la antigua LOPD. En la adaptación al ordenamiento español, se distingue entre infracciones leves, graves y muy graves, remitiéndose al RGPD en relación a la cuantía de las sanciones. También se introducen criterios adicionales en la regulación de imposición de las sanciones, así como sus plazos de prescripción.

Garantías de los derechos digitales

Uno de los aspectos que más revuelo ha desatado (al igual que lo hizo la Disposición final tercera y su artículo 58 bís del cual hablamos aquí), es el Título X de la LOPD, denominado Garantías de los derechos digitales. El legislador español, haciendo gala de su creatividad, introduce un compendio de artículos que en la mayoría de casos no tienen base alguna en el RGPD. No sólo no tienen base alguna en el RGPD, sino que en muchos casos incluso se solapan o contradicen.

El Título propuesto en principio por el Partido Socialista intenta regular los derechos de las personas en internet, lo que ha generado una crítica feroz por parte de algunos de los prestadores de servicios más conocidos del panorama internacional.

Se incluyen derechos como el de la neutralidad de Internet, el acceso universal a Internet, a la seguridad digital, a la educación digital y a la protección de los menores en Internet.

Dicen que los empleados de las consultoras internacionales trabajan mucho. Pues bien, los trabajadores de las big four, o los que simplemente echen más horas que un reloj, están de suerte. La nueva LOPD establece una serie derechos digitales a los trabajadores en el ámbito laboral como, por ejemplo, los derechos a: la desconexión digital, la intimidad frente al uso de dispositivos de video vigilancia y de grabación de sonidos en el lugar de trabajo y la intimidad ante la utilización de sistemas de geolocalización.

Pero la cosa no acaba aquí. En este Título X, que incluye artículos que nada tienen que ver directamente con el RGPD o con la protección de datos de carácter personal, también se regula el derecho al olvido en las búsquedas de Internet, el derecho al olvido en servicios de redes sociales y servicios equivalentes; el derecho de portabilidad en servicios de redes sociales y servicios equivalentes; el derecho de rectificación en Internet, y derecho a la actualización de informaciones en medios de comunicación digitales. No nos extendemos más aquí, porque igual al lector le da un patatús, y tiene que hacer uso del derecho al testamento digital, que, por cierto, también se incluye en este Título.

¿Más vale tarde que nunca?

Pues depende de a quién le preguntes. Desde la perspectiva puramente local, la nueva LOPD ha dejado a su vez la puerta abierta para la aprobación de un reglamento español que la desarrolle y supla definitivamente Real Decreto 1720/2007, de 21 de diciembre. Junto con dicho reglamento, toca esperar para ver qué novedades nos presentan las futuras resoluciones de la AEPD y sentencias que interpretan la nueva LOPD. Las malas lenguas dicen que desde Bruselas se están planteando la compatibilidad con el RGPD del régimen sancionador de nuestra querida (y nueva) LOPD y del nuevo Título X. No matéis al mensajero.

Seguramente se nos ha quedado algún “dato” en el tintero, por lo que intentaremos manteneros informados próximamente.

Dejar respuesta

Please enter your comment!
Please enter your name here

Time limit is exhausted. Please reload CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.