El día 7 de diciembre de 2018 entró en vigor la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, para adaptarnos al nuevo Reglamento Europeo de Protección de datos (en adelante, RGPD), que desde el día 25 de mayo del mismo año se viene aplicando en España.

Por un  lado, la nueva normativa realiza una transposición de las novedades introducidas por el RGPD, que repasamos a continuación.

1.- Todo tratamiento de datos requiere de una base legal que lo legitime y, por ello, la nueva Ley recoge las mismas que el RGPD. A partir de ahora hay que incluir la base legal sobre la que se desarrolla el tratamiento al facilitar la información en la recogida de datos y, en los casos, de las Evaluaciones de impacto, especificar y documentar los intereses legítimos en que se fundamenta las operaciones de datos.

Las bases jurídicas son: El consentimiento, la relación contractual, intereses vitales de los interesados o de otras personas, obligación legal para el responsable, interés público o ejercicio de poderes públicos, intereses legítimos prevalentes del responsables o de terceros a los que se comunican los datos.

Respecto al consentimiento deberá ser expreso y solo recabar aquellos datos estrictamente necesarios para el cumplimiento de los fines del tratamiento (art. 25.2 RGPD), de modo que deberá facilitarse la información precisa para que pueda prestarse un consentimiento libre, verificable e inequívoco (Considerando 32 y artículo 4.11 RGPD, así como artículo 6 LOPD), desapareciendo así el consentimiento tácito.

2.- En virtud del principio de responsabilidad proactiva, pilar angular de la nueva normativa, los responsables del tratamiento deberán aplicar medidas técnicas y organizativas apropiadas para garantizar y demostrar que el tratamiento de datos llevado a cabo es conforme a la normativa (arts. 24.1 RGPD y 28.1 LOPD). Es decir, deberán analizar qué datos tratan, con qué finalidad y que tipo de operaciones de tratamiento llevarán a cabo para determinar explícitamente qué medidas introducidas por el RGPD pueden adoptar con el fin de que sean las adecuadas a los fines que el mismo prevé y, luego, además, poder demostrarlo ante los interesados y autoridades de supervisión

¿De qué medidas habla el RGPD?

a) Análisis del riesgo: El Reglamento condiciona las medidas de responsabilidad activa al riesgo que el tratamiento de los datos pueda suponer para los derechos y libertades de las personas y en este sentido el riesgo se trata de dos maneras:

• Mediante una Evaluación de impacto cuando el tratamiento suponga un alto riesgo para los derechos y libertades de las personas. El RGPD establece un contenido mínimo aunque no contempla ninguna metodología específica para su realización.
• Y en función del nivel o tipo de riesgo que el tratamiento conlleve mediante unas medidas sobre la Protección de Datos desde el diseño o bien con las medidas de seguridad, (arts. 35 RGPD y 28 LOPD).

b) Registro de actividades de tratamientos (arts. 30 RGPD y 31 LOPD) debiendo rendir cuenta con un registro de operaciones de tratamiento que contenga la información que exige el Reglamento, quienes cuenten con una plantilla con más de 250 empleados y las que aún no reuniendo este requisitos traten datos de especial sensibilidad como son los relativos a las infracciones o condenas penales o relativos a derechos y libertades fundamentales; religión, origen étnico, racial, salud, la vida sexual, etc.

c) El nombramiento de un Delegado de Protección de Datos (arts. 37 RGPD y 34 LOPD) siempre que sea obligatorio. El Delegado de Protección de datos será un supervisor independiente del cumplimiento de la normativa de Protección de Datos en el seno de la empresa. No todas las compañías están obligadas a nombrarlo, según el art. 37 RGPD solo lo es para los que traten datos a gran escala. La nueva LOPD ha concretado al igual que el RGPD los distintos casos en el que es preceptivo dicha designación (art. 34. 1 LOPD) como son; los colegios profesionales, las aseguradoras, las empresas de seguridad privada, los centros sanitarios que deban tener historiales clínicos, los centros docentes y universidades, etc. por ser entidades que tratan datos a gran escala.

d) Protección de Datos desde el diseño: Las medidas de protección de los datos deben realizarse desde las primeras fases de desarrollo de los medios de tratamiento de los datos (art. 25.1 RGPD).

e) Medidas de Seguridad: En esta ocasión el RGPD exige a los responsables y encargados del tratamiento que utilicen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad correcto en función de los riesgos detectados en el análisis previo.

f) Notificación de las violaciones de seguridad. Con esta obligación las empresas y organizaciones tienen la obligación de comunicar a la AEPD las violaciones o brechas de seguridad de los datos a la mayor brevedad posible y a ser posible en el plazo de 72 horas desde su conocimiento. Sólo se estaría exento de este deber si se puede demostrar que dicha brecha es improbable que genere un riesgo para los derechos y libertades de las personas (Considerando 85 RGPD). Además, en los supuestos de alto riesgo, se debe comunicar la violación de seguridad de forma individualizada al particular, aunque en este caso el RGPD no señala ningún plazo máximo para llevarla a cabo (Considerando 86 RGPD). Dicha comunicación no será necesaria si se han tomado medidas para hacer inteligibles los datos afectados, se han tomado posteriores medidas que impidan que se materialice dicho riesgo o suponga un esfuerzo desproporcionado. En este último caso se sustituye por una comunicación pública.

3.- En tercer lugar, introduce el derecho de Olvido recogido ya por el Tribunal de Justicia de la Unión Europea en 2014, que defiende el derecho de las personas a que información obsoleta o no relevante por el transcurso del tiempo sea bloqueada, suprimida o desindexada y el derecho de portabilidad que permite solicitar el envío de sus datos al responsable de tratar con ellos para transmitirlos a otro responsable.

4.- Transferencias Internacionales. El modelo que establece el RGPD sigue los mismos criterios establecidos por la Directiva 95/46 y por las legislaciones nacionales de transposición. En este sentido, los datos solo podrán ser comunicados fuera del Espacio Europeo a países, territorios específicos, incluyendo organizaciones internacionales, sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado, cuando se hayan ofrecido garantías adecuadas sobre la protección o cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o intereses generales.

Y por otro lado, la nueva Ley incorpora una serie de medidas en las que se introduce nuevos derechos, los digitales, en su Título X no contemplados en el RGPD.

¿ A qué derechos se refiere?

a) Derechos de carácter general de los ciudadanos en Internet como el derecho al acceso universal a Internet (art. 81), a la neutralidad de Internet (art. 80) o a la seguridad de las comunicaciones en Internet (art. 82);

b) Derechos en el ámbito laboral como el derecho a la desconexión digital en el ámbito laboral (art. 88) para garantizar la conciliación laboral y familiar o el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo (art. 89), ante la utilización de sistemas de geolocalización en el ámbito laboral (art. 90) o en el uso de los dispositivos digitales de empresa (art. 87);

c) Derecho al olvido en Internet, tanto en las búsquedas de Internet (art. 93) como en las redes sociales (art. 94). Nuestra norma separa en dos áreas el derecho al olvido, en los motores de búsqueda y en las redes sociales, como entes diferentes. Con relación a ello ampliaremos más información en próximas entradas del blog.

d) Derecho al testamento digital (art. 96), dejando abierta la posibilidad de que los herederos del fallecido puedan gestionar su huella digital, es decir, la norma establece que «las personas vinculadas» al fallecido «por razones familiares» o de hecho así como sus herederos puedan dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

e) Derechos en los medios de comunicación digitales como el derecho a la rectificación en Internet (art. 85) o el de portabilidad en las redes sociales (art. 95). En esta ocasión la ley en los artículos 14 y 15 regula nuevos derechos de rectificación y supresión, pero a diferencia de la norma actual, no solo se limita a la exactitud de la información publicada o su veracidad, sino que entra también en el área de la intimidad y el honor.

f) Derechos digitales específicos de los menores como la protección de los datos de los menores en Internet (art. 92), la obligación de los padres o tutores para que los menores hagan un uso responsable y equilibrado de Internet y los dispositivos digitales (art. 84) o el derecho a la educación digital (art. 83).

En definitiva, lo que pretende la nueva Ley Orgánica de Protección es reforzar el control sobre nuestros datos personales, a la par de exigir un mayor compromiso a las empresas y organizaciones para su protección.

En próximas entradas del blog seguiremos profundizando sobre esta nueva normativa.

Contáctenos si lo desea para cualquier duda, consulta o aclaración sobre este y otros temas comentados en nuestro blog, estaremos encantados de asesorarles.

Nuestro teléfono de contacto es el 689 17 32 43.

Otras entradas sobre Protección de Datos:

https://lopmanabogados.es/el-derecho-al-olvido-en-el-nuevo-reglamento-de-proteccion-de-datos/