Saltar als continguts principals.

La nueva Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales.

04/03/2019

El pasado 6 de diciembre de 2018, se publicó en el BOE la nueva Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales, que ahora denominamos LOPDGDD y que entró en vigor al día siguiente de su publicación.

El objeto de la nueva LOPGDD, es adaptar la legislación española, desarrollando determinados aspectos del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, y a su vez, garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución, donde se establece que: “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

 

Destacamos en este artículo, las principales novedades que nos trae esta nueva LOPDGDD:

 

Datos de las personas fallecidas

Regulado en sus artículos 3 y 96, establece que ( a excepción de que el fallecido lo hubiese prohibido expresamente, o así lo establezca una ley, no afectando dicha prohibición al derecho de los herederos a acceder a los datos de carácter patrimonial del causante), las personas vinculadas al fallecido, por razones familiares o de hecho, así como sus herederos, o las persona o instituciones a las que el fallecido hubiese designado expresamente para ello, podrán ejercer ante el Responsable o Encargado del tratamiento de datos de carácter personal del difunto, los derechos de acceso a los datos personales del fallecido, y, en su caso, su rectificación o supresión.

Si los fallecidos fueran menores, estos derechos podrán ser ejercidos por sus representantes legales o, por el Ministerio Fiscal (artículo 96.1.c LOPDGDD).

Si fueran personas con discapacidad, estas facultades también podrán ejercerse, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

En todo caso, y atendiendo a lo dispuesto en el artículo 96.4 de la LOPDGDD, lo establecido en dicha norma en relación con las personas fallecidas, en las comunidades autónomas con derecho civil, foral o especial se regirá por lo establecido por estas dentro de su ámbito de actuación. Esto nos hace remitirnos a la actual normativa en materia de voluntades digitales existente en Cataluña, y más concretamente a la Ley 10/2017, de 27 de junio, de las voluntades digitales y de modificación de los libros segundo y cuarto del Código civil de Cataluña, actualmente en vigor y más concretamente, sus artículo 1, 4, 5, 6, 7, 8, 9, 10 y 11, que modifican los artículos 222-2, 222-43, 236-27 del libro segundo del Código civil de Cataluña; artículo  421-2 del libro cuarto del Código civil de Cataluña y adicionan un artículo en el capítulo I del título I del libro cuarto del Código civil de Cataluña, con relación a las voluntades digitales en caso de muerte, así como dos disposiciones adicionales a dicho libro cuarto del Código civil de Cataluña, una relativa a la creación del Registro electrónico de voluntades digitales y otra relativa a la ordenación del Registro electrónico de voluntades digitales.

Consentimiento de los menores de edad

Si bien el artículo 8.1 párrafo segundo del RGPD, no consideraba lícito el tratamiento de datos personales de un niño menor de 16 años en relación con la oferta directa a niños de servicios de la sociedad de la información, salvo que los Estados miembros establecieran por ley una edad inferior, el legislador estatal ha optado en su artículo 7 por establecer como lícito el tratamiento de datos de carácter personal de los menores cuando estos sean mayor de 14 años, en cualquiera de los casos.

Resumiendo, que el consentimiento para el tratamiento de datos de carácter personales, podrá prestarse por el propio menor, cuando éste sea mayor de 14 años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

El tratamiento de los datos personales de los menores de catorce años, fundado en el consentimiento, será lícito si lo otorga el titular de la patria potestad o tutela.

Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos

El legislador ha querido establecer cuándo nos encontramos ante un tratamiento de datos por obligación legal, interés público o  ejercicio de poderes públicos, tal y como ha dispuesto en el artículo 8 de la LOPDGDD. Así pues se entenderá que nos encontramos ante dicho tratamiento cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

En todo caso, el tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.

Protección de los menores en Internet

El artículo 84.2 de la LOPDGDD establece que la utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes, que puedan implicar una intromisión ilegítima en sus derechos fundamentales, determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.

A su vez, el legislador ha puesto especial énfasis en el deber de padres, madres, tutores, curadores o representantes legales en enseñar a los menores a hacer un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales (artículo 84.1 LOPDGDD).

Así mismo, obliga a los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad, a garantizar la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.

Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, de acuerdo a lo dispuesto en el artículo 7 de la LOPGDD.

En todo caso, el legislador nos avanza en la disposición adicional decimonovena de la LOPGDD que en el plazo de un año desde la entrada en vigor de esta ley orgánica, el Gobierno remitirá al Congreso de los Diputados un proyecto de ley dirigido específicamente a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminación y la violencia que sobre los mismos es ejercida mediante las nuevas tecnologías.

Categorías especiales de datos

En caso de que el tratamiento de datos de categorías especiales tenga por finalidad única y exclusiva la de identificar ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico NO se habilitará el tratamiento basado únicamente en el consentimiento del interesado. Ello no impedirá el tratamiento en los restantes supuestos contemplados en el Art. 9.2 del RGPD.

El tratamiento de las categorías * g), h) e i) del artículo 9.2 del RGPD tendrán que estar amparados en una norma con rango de ley.

*g) el tratamiento es necesario por razones de un interés público esencial, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social,

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.

Disposiciones aplicables a tratamientos concretos

La nueva LOPDGDD contempla, entre otros, tratamientos concretos tales como el tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales. Regulado en el Art. 19, permite el tratamiento de dichos datos de carácter personal en base al art. 6.1.f) RGPD (satisfacción de intereses legítimos perseguidos por el responsable de tratamiento), siempre que el tratamiento se refiera a datos necesarios para su localización profesional, y que la finalidad del tratamiento sea el mantenimiento de relaciones de cualquier índole con la persona jurídica en que el afectado preste servicios.  

Bloqueo de los datos

La LOPDGDD establece al Responsable de Tratamiento  la obligación de bloquear los datos cuando proceda a su rectificación o supresión (artículo 32 LOPDGDD).

Las acciones a efectuar en caso de bloqueo de datos serán:

- Identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.

Transcurrido ese plazo deberá procederse a la destrucción de los datos.

- Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.

- Cuando para el cumplimiento de esta obligación, la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo.

- La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.

Designación  y obligaciones de los delegados de protección de datos

La nueva LOPDGDD añade a los supuestos ya contemplados en el artículo 37.1 del Reglamento (UE) 2016/679, la obligación de designar un Delegado de Protección de Datos, en todo caso, cuando se trate de las siguientes entidades:

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad.

En cuanto a las obligaciones del delegado de protección de datos designados por los responsables y encargados de tratamientos, el artículo 37 de la LOPDGDD habilita a los afectados, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, a dirigirse al delegado de protección de datos de la entidad contra la que se reclame, obligando al delegado de protección de datos a comunicar al afectado su decisión en el plazo de dos meses a contar desde la recepción de la reclamación.

Así mismo, se habilita a la autoridad de control, en nuestro caso la Agencia Española de Protección de Datos (a partir de este momento AEPD), a remitir la reclamación interpuesta por el afectado ante esta al delegado de protección de datos, otorgándole el plazo de un mes para responder. Transcurrido dicho plazo, en caso de que el delegado de protección de datos no conteste a dicha reclamación, la AEPD continuará con el procedimiento por posible vulneración de la normativa de protección de datos.

Vulneración de la normativa de protección de datos y régimen sancionador

Regulada en los títulos VIII y IX de la LOPDGDD, establece el procedimiento sancionador y graduación de infracciones, sanciones y prescripción de las mismas.

Garantía de los derechos digitales

Conforme al mandato establecido en el artículo 18.4 de la Constitución, donde se establece que: “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, la nueva LOPDGDD regula los siguientes derechos:

 

Modificación electoral general

El punto más polémico se ha producido por la adición del artículo 58 bis en la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General. El legislador, dicho coloquialmente, ha colado por la puerta de atrás modificaciones legislativas, que desde el punto de vista de los autores de este artículo, atentan directamente contra el RGPD. Veamos:

En primer lugar, se habilita la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas (artículo 58.bis.1).

En segundo lugar, se habilita a los partidos políticos, coaliciones y agrupaciones electorales a utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral. (artículo 58 bis.2).

En tercer lugar, no tendrán consideración de actividad o comunicación comercial el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes (artÍculo 58.bis.3). Ello permite a los partidos políticos, coaliciones y agrupaciones electorales  no recabar el consentimiento previo de los interesados (ciudadanos) durante el periodo electoral.

Siendo conscientes de que nos dejamos en el tintero más novedades que ha traído consigo la LOPDGDD, las expuestas son las que entendemos más importantes.

Il·lustre Col·legi de l'Advocacia de Tarragona © Copyright 2015. Reservats tots els drets.
  • Tecnologies
  • Disseny Pàgines Web Tarragona

Avís cookies

Per poder millorar els nostres serveis, utilitzem cookies de tercers per recollir informació estadística. Si contínua navegant considerem que accepta la seva utilització. Més informació aquí..