Por fin se aprobó, el pasado mes de diciembre, La nueva Ley de Protección de Datos y Garantía de los Derechos Digitales, la norma de rango estatal que traspone las modificaciones introducidas por el RGPD (Reglamento Europeo de Protección de Datos), normativa que entró en vigor con aplicación directa en los estados miembros el 25 de mayo de 2018.
La aplicación directa del Reglamento Europeo de Protección de Datos generó algo de incertidumbre en España al llegar la fecha de cumplimiento. Muchas empresas tomaron medidas desproporcionadas ante las elevadas sanciones que prevé la norma europea. Y la incertidumbre era lógica teniendo en cuenta que, durante unos meses, la norma europea se veía obligada a convivir con nuestra antigua LOPD, una norma del año 1999. Teniendo en cuenta que esta normativa regula, entre otros aspectos, la utilización de las nuevas tecnologías por empresas y profesionales es lógico que en casi 20 años la norma del 99 hubiera quedado completamente obsoleta.
Vamos a resumir cuales son las novedades más importantes a tener en cuenta:
1.- Consentimiento expreso
Tal como prevé la normativa europea, uno de los puntos cardinales de la nueva Ley es el consentimiento expreso del afectado para que empresas y profesionales puedan tratar sus datos. Una medida encaminada a reforzar las garantías de los ciudadanos.
El articulo 6 establece, textualmente, que cuando vayan a tratarse datos para una pluralidad de finalidades «será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas».
En ningún caso podrá condicionarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. Es una restricción que permitirá a los ciudadanos tener garantías a la hora de comprar o adquirir un producto o servicio por medio de un contrato o la aceptación de los términos de uso.
Por otro lado, sólo podrán tratarse datos mediante consentimiento cuando se trate de mayores de 14 años.
2.- Figura del Delegado de Protección de Datos en la LOPD GDD 2019
Según el RGPD el responsable del Fichero debe tener DPD en tres supuestos:
- Si el tratamiento de los datos corre a cargo de una autoridad u organismo público.
- Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
- Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
Este punto del Reglamento europeo había creado mucha confusión por la imprecisión a la hora de establecer los supuestos en los que tener DPD es obligatorio. La nueva Ley española ha sido más taxativa y establece hasta 16 casos concretos en los que, de manera más clara y concisa, se exige su existencia.
Entre otros: colegios profesionales, centros de enseñanza, establecimientos financieros de créditos, aseguradoras, empresas de servicios de inversión…
Los delegados tienen que ser conocidos por la Agencia de Protección de Datos Española o la entidad autonómica equivalente, y están obligados a tener una titulación universitaria que acredite los conocimientos especializados en el derecho y la práctica en materia de protección de datos.
El DPD actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. Podrá inspeccionar procedimiento en la empresa y está habilitado para emitir recomendaciones vinculantes.
3.- Las albaceas digitales
En el artículo 3 se regulas las llamadas albaceas digitales, es decir, el testamento digital. Todos disponemos, hoy en día, de perfiles personales en algún servicio digital, ya sea una aplicación o una red social. A partir de ahora, ¿qué sucede con ellos uno fallece?
La nueva Ley regula que las personas vinculadas al fallecido por “razones familiares o de hecho”, así como en cualquier caso sus herederos, podrán dirigirse al responsable o encargado del tratamiento (red social o app) al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.
Por lo tanto, no solo los herederos podrán solicitar la consulta de su historial en internet o de sus perfiles sociales.
Veremos que aplicación práctica tiene esta nueva medida, ya que podrían darse casos extremos o incongruentes, como el caso de que la persona que quiera acceder tuviera una mala relación con la persona fallecida. La ley, la única limitación que establece, es que el fallecido hubiera podido establecer de forma expresa quien es su “albacea digital”, y en ese caso el resto de personas no tendrían derecho a acceder a sus perfiles ni redes sociales.
4.- Un nuevo derecho de rectificación y supresión
En los artículos 14 y 15 de la nueva normativa se amplía la esfera de los derechos de rectificación y cancelación. A diferencia de la anterior normativa, que lo establecía como un derecho objetivo, reconoce este derecho también cuando pueda atentar contra la intimidad y el honor.
Dice el artículo 85: «Los responsables de redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en internet y el derecho a comunicar o recibir libremente información veraz».
Así, cuando los medios de comunicación digitales deban atender la solicitud de rectificación deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original.
5.- Derecho a la desconexión digital
Con el fin de garantizar, fuera de tiempo de trabajo legal o convencionalmente establecido, «el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar», se regula también el derecho del individuo a la desconexión digital.
6.- Derecho al Olvido
En los artículos 93 y 94, se han separado, a diferencia de la regulación que establece el RGPD, la regulación del derecho al olvido en motores de búsqueda y en redes sociales.
El primero establece el derecho del individuo a exigir la desvinculación de sus datos identificativos en los motores de búsqueda cuando «fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo».
El segundo establece que toda persona tiene derecho a que sean suprimidos, a su simple solicitud, los datos personales «que hubiese facilitado para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes».
Expertos creen que esta medida será polémica, pues puede generar limitaciones a la libertad de comunicación.
7.- Las sanciones
La normativa europea contempla sanciones muy elevadas ya que, según la infracción, las multas administrativas pueden alcanzar entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.
El problema es que no quedaba muy claro en qué casos podías ser sancionado y por cuánta cantidad.
La LOPD ha sido mucho más concisa que la normativa europea. Mantiene la clasificación del antiguo articulado entre muy grave, grave y leve, según el grado de afectación de los datos.
Así, el régimen español de infracciones se divide en:
- Muy graves: las que supongan una vulneración sustancial del tratamiento y tengan que ver con el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos propios almacenados, transferencia internacional de información sin garantías…
Este tipo de infracción prescribe a los 3 años.
- Graves: las que supongan una vulneración sustancial del tratamiento y tengan que ver con datos de un menor recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, el incumplimiento de la obligación de nombrar responsable o encargado de tratamiento de datos.
Este tipo de infracción prescribe a los 2 años.
- Leves: las restantes que no queden contempladas en los grupos anteriores. Prescribirán al año y se refieren a casos como la no transparencia de la información, el incumplimiento de no informar al afectado cuando lo haya solicitado o, por ejemplo, el incumplimiento por parte del encargado de sus obligaciones.
Además, para aplicar una u otra sanción también se tendrán en cuenta circunstancias como el carácter continuado de la infracción, la vinculación de la actividad del infractor con el tratamiento, la afectación a los derechos de los menores, etc.
Estas son las novedades más importantes que debemos conocer de la nueva LOPD. En cualquier caso, seguiremos informando y ampliando información.
Xavi Saula
Abogado – Socio de Auris Advocats
Especializado en Protección de Datos y adaptación al nuevo RGPD.