La nueva LOPD – Garantía de los derechos digitales… LOPDGDD

La nueva LOPD – Garantía de los derechos digitales… LOPDGDD

La nueva LOPD – Garantía de los derechos digitales… LOPDGDD

30/01/2019

Tras la publicación el pasado 06 mes de diciembre de 2018 en el BOE la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), entró en vigor al días siguiente de su publicación como norma complementaria, con el objetivo de hacer efectiva la aplicación del Reglamento General de Protección de Datos (UE) 2016/679, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

Esta nueva normativa deroga la anterior Ley Orgánica de Protección de datos (LOPD) de 1999 e introduce una serie de cambios que afectan a la mayoría de empresas de nuestro país.

Está estructurada en 97 artículos, 22 disposiciones adicionales, una disposición derogatoria única, 6 transitorias y 16 finales que pretenden ofrecer la seguridad jurídica para aquellos conceptos que no quedaban claros tras la entrada en vigor del Reglamento General de Protección de Datos el pasado 25 de mayo de 2018.

La nueva LOPDGDD ofrece un aporte que clarifica determinados aspectos del RGPD,  y una mejora respecto de la anterior regulación, más completa ahora, siendo las novedades más destacadas las que recoge el Título X, sobre los derechos digitales, plantea un reto para todos los operadores del mercado involucrados, ya que obliga a renovar y regenerar numerosos negocios basados en los datos personales, pero, al mismo tiempo, ofrece valiosa oportunidad para intentar lograr un justo equilibrio entre los derechos contemplados en favor de los ciudadanos y los lógicos intereses perseguidos por las empresas.

Se han introducido además un número considerable de matizaciones con respecto a determinados tratamientos de datos personales mediante sistemas de videovigilancia, los sistemas de exclusión publicitaria, o la especial consideración jurídica de los datos de contacto de empresarios individuales y profesionales liberales.

La nueva LOPDGDD amplía el papel del DPO, estableciendo un listado de entidades que deberán designar un delegado de Protección de datos y comunicación a la AEPD, obligación que se basa sin duda en los riesgos que de manera habitual presentan los tratamientos de datos personales  realizados por este tipo de entidades, aclarando y matizando cuestiones relativas a esta novedosa figura importada del derecho alemán al ordenamiento europeo, alguna de ellas como pueden ser las cualificaciones profesionales que el delegado de protección de datos debe reunir, indicando que por su idoneidad podrá demostrarse entre otros, mediante mecanismos voluntarios de certificación, exime al DPO del régimen sancionador y que el hecho de que las empresas dispongan de un DPO cuando no sea obligatorio podrá ser tenido en cuenta como criterio de graduación de las sanciones y medidas coercitivas que pudieran llegar a imponerse.

Intervención del Delegado de Protección de Datos en la resolución de reclamaciones

El Delegado de Protección de Datos debe recibir las reclamaciones que le dirijan los ciudadanos, cuando opten por esta vía antes de plantear una reclamación ante la AEPD, y comunicará la decisión adoptada al particular en el plazo máximo de dos meses.

Asimismo, el delegado deberá recibir las reclamaciones que la AEPD decida trasladarle con carácter previo al inicio de un expediente sancionador. El delegado debe comunicar la decisión adoptada a la AEPD en el plazo máximo de un mes.

De esta forma, con carácter general, si el Delegado de Protección de Datos consigue que el responsable resuelva por cualquiera de estas dos vías la reclamación, y sin perjuicio de que el interesado posteriormente se dirija a la AEPD, no se iniciaría expediente sancionador.

A todos estos cambios, a los que hay que sumar las novedades que afectan al régimen sancionador, que son propios o tienen su razón de ser en la voluntad del legislador nacional, hay que añadir además los cambios estructurales que introdujo con anterioridad el legislador europeo en 2016 con la aprobación del RGPD y que han empezado a desplegar efectos a partir de mayo de 2018.

La LOPDGDD ha recogido así, también, el concepto de accountability y la responsabilidad proactiva, que se concreta en las evaluaciones de riesgo y la necesidad de realizar evaluaciones de impacto. El nuevo Registro de Actividades de Tratamiento, RAT, los cambios en las bases de legitimación, los cambios estructurales en los principios y derechos de la protección de datos y de forma muy significativa en el consentimiento del interesado, el auge del interés legítimo y la exigencia de justificación y legitimación de los tratamientos, la privacidad por defecto, el nuevo régimen para las transferencias internacionales, la protección de los menores de edad, las medidas complementarias de cumplimiento normativo como los códigos de conducta y los mecanismos de certificación, la figura del Delegado de Protección de Datos, etc.

Principales novedades de la LOPDGDD

https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

  1. Ámbito de internet.

La Ley 3/2018 facilita el ejercicio de derechos a los ciudadanos al exigir, particularmente, que los medios para ejercerlos sean fácilmente accesibles. También se regula el modo en que debe informarse a las personas a cerca del tratamiento de sus datos, específicamente en el ámbito de internet, optándose por un sistema de información por capas que permite al ciudadano conocer de forma sencilla y clara los aspectos más relevantes del tratamiento, pudiendo acceder a través de un enlace directo a los restantes.

  1. Obligación de información a los ciudadanos sobre el tratamiento de sus datos y sobre el ejercicio de sus derechos

Las organizaciones quedan obligadas a informar a los ciudadanos de forma clara y sencilla sobre los aspectos más importantes del tratamiento de sus datos, identificando quién trata los datos, con qué base jurídica para qué finalidad, y sobre la forma de ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y decisiones automatizadas, incluida la elaboración de perfiles.

Las organizaciones no podrán denegar el ejercicio de estos derechos en el caso de que el ciudadano quiera ejercitarlos de un modo diferente al que se le ofrezca.

Las organizaciones que traten datos de carácter básico pueden utilizar la herramienta gratuita FACILITA para su adaptación al Reglamento General de Protección de Datos.

  1. Las bases jurídicas que legitiman el tratamiento de datos personales de los ciudadanos por parte de las organizaciones

El Reglamento General de Protección de Datos y la Ley Orgánica recogen varias bases jurídicas legitimadoras del tratamiento de datos personales por parte de las organizaciones privadas: relación contractual previa que contemple el tratamiento, consentimiento del ciudadano o interés legítimo que prevalezca sobre los derechos de las personas, entre otras.

Por tanto, en la actualidad, no resulta necesario que el particular consienta el tratamiento de sus datos personales si existe otra base jurídica que legitime el tratamiento.

En los casos en los que el consentimiento del ciudadano sea preciso por no existir otra base legitimadora, la Ley establece que debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que una persona acepta el tratamiento de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa. Se excluye el consentimiento tácito o por omisión.

Además, cuando se pretenda que el consentimiento del ciudadano legitime un tratamiento para una variedad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.

No podrá denegarse un contrato o la prestación de un servicio por el hecho de que la persona no consienta el tratamiento de sus datos personales para finalidades que no guarden relación con ese contrato o con la prestación de ese servicio.

  1. Personas fallecidas

Se reconoce específicamente el derecho de acceso y, en su caso, los derechos de supresión o rectificación por parte de quienes tuvieran personas fallecidas por razones de hecho o familiares y a sus herederos. Cuando el fallecido los hubiera prohibido, la medida limita el ejercicio de estos derechos.

  1. Menores de edad

En el caso de datos personales de menores, cuando el tratamiento de datos esté legitimado por el consentimiento, la organización debe recabar el consentimiento del menor cuando este tenga al menos 14 años; y el de los padres o sus representantes legales en el caso de que sea menor de 14 años.

  1. Sistema educativo.

Como propuso la AEPD, la ley refuerza las obligaciones del sistema educativo para garantizar el uso adecuado y seguro de internet, incluyéndolo en los currículums académicos de forma específica y exigiendo que el profesorado reciba una formación adecuada en esta materia. El gobierno, en el plazo de un año desde la entrada en vigor de la nueva LOPD, deberá remitir un proyecto de ley específicamente dirigido a garantizar estos derechos, por otra parte, las administraciones educativas tendrán el mismo plazo para la inclusión en los currículums dicha información.

  1. Derecho al olvido en redes sociales y otros servicios equivalentes.

Asimismo, la nueva normativa regula el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domesticas se exceptúa la supresión.

  1. Sistemas de denuncias internas: exención de responsabilidad penal de las organizaciones

La Ley recoge los sistemas de denuncia interna, incluso anónima, como mecanismo para que los integrantes de una organización puedan poner en su conocimiento, la comisión de infracciones en su seno que pudieran resultar contrarias a la normativa general o sectorial que le fuera aplicable.

  1. Derechos de los empleados: mayor intimidad

Por otra parte, la Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de grabación de sonido y videovigilancia en el trabajo. Refuerza igualmente las garantías del derecho a la intimidad en relación con el uso de dispositivos generales puestos a disposición de los trabajadores, completando la regulación del derecho a la intimidad ante la utilización de sistemas de control por geolocalización, videovigilancia, uso de redes sociales como canal de comunicación interno de la empresa, tratamiento de datos biométricos para control o registro de jornada horaria en el ámbito laboral, de los que deberán ser informados los empleados.

  1.  Inclusión en sistemas de información de solvencia crediticia (“ficheros de morosos”)

Los ciudadanos podrán ser incluidos en los sistemas de información de solvencia crediticia cuando mantengan una deuda de más de 50 euros con algún prestador de servicios (la ley anterior no establecía ninguna cuantía mínima).

Los ciudadanos no podrán mantenerse registrados en estos sistemas más de 5 años, contados desde la fecha de vencimiento de la obligación de pago (la ley anterior establecía un plazo de 6 años).

La Ley establece que se podrán consultar estos sistemas de información:

cuando quien consulte tenga una relación contractual con la persona y esta relación implique el abono de una cuantía concreta,

• cuando la persona hubiera solicitado financiación, pago aplazado o facturación periódica.

Si como consecuencia de la consulta realizada se denegase la solicitud de celebración del contrato o este no llegara a celebrarse, quien haya consultado deberá informar al afectado del resultado de la consulta.

  1. Novedades sobre videovigilancia

Captación de la vía pública. Sólo podrán captarse imágenes de la vía pública cuando resulte imprescindible para preservar la seguridad de las personas y los bienes, así como de sus instalaciones.

No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.

Supresión de los datos. Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando tuvieran que conservarse para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.

Deber de información. El deber de información en el caso de videovigilancia se cumplirá colocando un dispositivo informativo en un lugar suficientemente visible que identifique, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información. En este enlace puede consultarse el modelo de cartel de videovigilancia realizado por la Agencia Española de Protección de Datos.

En todo caso, el responsable del tratamiento deberá mantener a disposición de los ciudadanos la información especificada en el punto 1 de este documento.

  1. Derecho a la desconexión digital en el ámbito laboral

Por primera vez, el legislador contempla, que los empleadores no podrán utilizar redes sociales, servicios de mensajería digital o cualquier otra plataforma electrónica para contactar a sus empleados fuera del horario laboral o en sus días de descanso.

Además, el articulado obliga a los empleadores a definir una política interna al respecto, previa audiencia de los representantes de los trabajadores.

  1. Derechos digitales en la negociación colectiva

Se reconoce el derecho a que los convenios colectivos establezcan “garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el ámbito laboral”.

  1. Competencia desleal

Por último, la Ley de competencia desleal se modifica, se regulan como prácticas agresivas las que tratan de suplantar la identidad de la Agencia Española de Protección de Datos o sus funciones y las relacionadas con el asesoramiento conocido como “adaptación a coste cero” a fin de limitar el asesoramiento de escasa calidad no cumpliéndose realmente lo establecido en la legislación en materia de protección de datos a las empresas, y estar participado por personal no profesional, colaboradores sin formación en la materia.

LOPD a Coste Cero o poco coste. Te lo hacen a través de fundae y así es "gratis". TIMO. Es ilegal. Está prohibido gastar el dinero de los créditos de formación de la empresa en cursos para formar a los trabajadores, en adecuación legal de empresas a las normativas de protección de datos, ¿Qué garantías de cumplimiento legal te da una empresa (despacho abogados, consultorías, informáticos, etc.) que en sus servicios directamente incumplen la ley?, habiéndose detectado casos de organizaciones que cobran 50/100 euros +un curso de formación en complicidad con empresas de formación.

https://www.aepd.es/sites/default/files/2019-09/coste-cero_0.pdf

¿Qué empresas están obligadas por la nueva LOPDGDD y el RGPD?

Cualquier persona o entidad pública o privada que realice un tratamiento automatizado de datos personales y que utilice cualquier dato personal en el desarrollo de sus actividades está obligada a respetar lo dispuesto en la nueva LOPDGDD y en el RGPD. Es decir, da igual que se sea autónomo o empresa, que se tenga empleados a cargo o no, que sea una ONG o una empresa privada. Por tanto, si una empresa o persona física utiliza datos de proveedores, datos de clientes, datos de suscriptores...etcétera, estará obligada a cumplir con estas normativas.

No obstante, existen una serie de excepciones, siendo la más importante la siguiente: "aquellas actividades exclusivamente personales o domésticas". Por tanto, la agenda de los móviles con los contactos personales de amigos o familiares no se encuentra sujeta al RGPD.

 

 

OSCADATOS CONSULTING, 2.0 cuenta con profesionales especialistas en protección de datos, que prestan asesoramiento jurídico y técnico personalizado para las empresas/entidades en de ámbito público/privado obligadas al cumplimiento de las normativas de privacidad, y asesoramiento legal en nuevas tecnologías ofreciendo un servicio integral con los mejores especialistas en cada uno de los servicios que prestamos.

En este sitio WEB utilizamos cookies para mejorar su experiencia de usuario, mejorar nuestros servicios y para mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando o vuelve a acceder al portal de nuevo sin cambiar su configuración, consideraremos que acepta recibir cookies en esta página web. Le recordamos que puede cambiar la configuración de cookies de su navegador en cualquier momento así como obtener más información de nuestra política de cookies.
Continuar y cerrar